Temps de lecture estimé : 15 minutes
Deux millions d’euros, c’est le chiffre annoncé par le gouvernement pour sensibiliser les ETI aux bonnes pratiques de sécurité informatique. Et si ce budget a été débloqué, c’est à raison : 77% des attaques informatiques sont à destination des TPE et PME, selon une étude IFOP. La raison de la focalisation de ces attaques est simple, ces sociétés présentent plus de défauts de sécurité que les grandes entreprises, ce qui en fait donc des cibles faciles pour les pirates.
Des entreprises d’e-commerce sont obligées de fermer suite au piratage de leur serveur web, une entreprise lorientaise perd 300 000 euros lors d’une fraude au faux président, enfin une grosse collectivité territoriale bretonne victime d’un Ransomware, perds l’accès à l’intégralité de ses données. Les dommages subis se révélant d’une telle importance que l’avenir des entreprises victimes est remis en cause.
Le vol et la violation de la confidentialité, l’indisponibilité du réseau informatique, la cyber extorsion et les retombées médiatiques sont les principaux risques auxquels sont exposées les entreprises et occasionnent des pertes directes du chiffre d’affaires.
La mauvaise estimation de ces cyber-risques et la difficulté à définir un budget sécurité restent aujourd’hui les causes principales des dérives constatées. Pourtant comme les menaces utilisent les mêmes vecteurs d’attaques, des solutions communes existent. Il est donc possible de mutualiser les coûts et réduire considérablement les risques, comme nous allons le voir maintenant pour les principales menaces.
Reine parmi les menaces de 2018, les attaques par Phishing sont les attaques qui touchent le plus les entreprises. On en a déjà tous reçu une. Un mail avec un lien ou un fichier frauduleux joint. Si vous cliquez, vous activez le virus. Et ces derniers peuvent être très divers : Ransomware, cheval de troie, macrovirus, etc. Quoi de plus simple pour un pirate que ce soit l’utilisateur lui-même qui installe le virus. La solution la plus évidente est bien entendue d’avoir un antivirus capable de reconnaître les pièces jointes malveillantes et filtrer les connexions vers des liens malveillants.
Cependant comme plus de 3 millions de nouvelles menaces sont créées chaque jour, un antivirus ne bloquera que 95% des attaques de phishing. Les 5% restants, la dernière barrière de défense, c’est l’utilisateur. Seul ce dernier sera en mesure de reconnaître si le mail reçu est légitime par rapport à son activité ou si des indices peuvent laisser penser qu’il s’agit d’un mail frauduleux, et agir en conséquence.
Le second vecteur le plus utilisé est les arnaques au président ou faux ordres de virement (FOVI). Le plus souvent via une attaque téléphonique, les pirates jouent d’outils de manipulation connus comme l’urgence, la peur ou la flatterie pour parvenir à faire réaliser des actions par les services comptables d’une entreprise. Pendant l’absence du président, des arnaqueurs chinois ont réussi à soutirer 250 000 euros d’une société de Limoges. Cette dernière n’a malheureusement pas pu récupérer son argent, étant passé par plusieurs comptes dans différents pays (Chine, Israël,…) où la coopération avec la France est compliquée.
L’instauration de processus de validation et la sensibilisation des services comptables, trésorerie, secrétariats et standards est ici aussi la solution indispensable. Une demande de virement internationale non planifiée, urgente et confidentielle ; des changements de coordonnées téléphoniques ou mail sont des signes à reconnaître.
Le troisième vecteur est le piratage de site internet. Cela fait plusieurs décennies que nous sommes dans l’internet 2.0, et les services proposés par les entreprises ont gagné en richesse et en souplesse pour les utilisateurs. À cette fin, de nombreuses données sont collectées afin de proposer le service le plus personnalisé possible. Cette collecte fait peser un risque sur les données des utilisateurs. En cas de piratage, les données sont récupérées et exploitées par les cybercriminels occasionnant une forte perte de réputation et indirectement de chiffre d’affaires.
Les frais liés à une telle attaque peuvent être très importants, surtout pour les entreprises dont le site internet représente un canal de vente important. Nous ne citerons en 2018 que le piratage de la base de données des sites du groupe Marriott, où 500 millions de comptes clients, adresse mails, numéros de carte bleue et de passeports ont été piratés. La solution contre ce type d’attaque est des tests réguliers de la sécurité des sites. Il est préconisé de mettre en place des tests trimestriels de sécurité sur les sites exposés et de collecter des données à caractère personnel. Pour des sites sans interactions utilisateurs, un scan annuel peut être suffisant.
Le quatrième vecteur d’attaque le plus exploité est la mauvaise gestion de mises à jour du parc applicatif et système des parcs informatique. Des nouvelles failles de sécurité sont révélées chaque jour. Prise de contrôle à distance, déni de service, vol de données ou Ransomware sont quelques exemples de ce à quoi on s’expose lorsque l’on ne met pas à jour ses systèmes. Les tristement célèbres virus ‘NotPetya’ et ‘Wannacry’ en sont la preuve. En 2017, Microsoft avait publié un patch permettant de corriger la vulnérabilité exploitée par les virus. Cependant, de nombreuses entreprises n’ont pas mis à jour à temps leur système. En France, la SNCF, Saint-Gobain et une filiale du groupe Auchan sont touchées. À l’étranger, des banques, des sociétés de transport public et même la centrale nucléaire de Tchernobyl sont victimes des virus. La solution à cette menace est de conserver une vision précise des actifs de l’information de l’entreprise et de s’assurer de leur maintien opérationnel au travers de mises à jour et d’un suivi régulier.
Comme nous avons pu le voir sur ces quatre principaux vecteurs, les cybercriminels tendent plus à attaquer l’humain que la machine pour des raisons de simplicité. Les sociétés investissent dans des solutions matérielles de protection qui sont difficiles à contourner, alors qu’un simple coup de fil à la bonne personne peut permettre d’obtenir le même résultat.
La sensibilisation des collaborateurs est la première solution à mettre en œuvre pour les entreprises. Puis vient en second lieu l’utilisation d’antivirus, la mise à jour des systèmes et les tests réguliers, qui assureront un risque faible et un bon état de santé du parc informatique, à un coût maîtrisé. Pour aller plus loin, un bon système de sauvegarde ajoutera la couche de résilience nécessaire pour reprendre l’activité en cas d’incident non maîtrisé. Enfin pour conclure, je vous dirai qu’il faut envisager ces solutions sur le long terme avec un contrôle récurrent. « La sécurité de l’information est un process, pas un produit ».
Vous souhaitez recevoir nos prochains articles sur le thème de la sécurité ? Abonnez-vous à notre blog !