Cybersécurité : nos entreprises sont menacées !

Cybersécurité : nos entreprises sont menacées !

En matière de cybercriminalité, une étude a montré que les PME sont trois fois plus victimes d’attaques de social engineering (ou spear phishing) que les grandes organisations. Les PME sont aussi plus lentes à détecter un problème de cybersécurité. En moyenne, les sociétés mettent 200 jours à détecter une cyberattaque, ce qui est très long !  Cet article a pour vocation de vous fournir quelques clés pour protéger au mieux votre entreprise et réagir efficacement en cas d’attaque…

La cybersécurité, c’est la protection des données numériques, des ressources et des systèmes informatiques, permettant d’adresser le vecteur de risque « CID » :  

  • Confidentialité : le caractère confidentiel de vos données ou de celles de vos clients/utilisateurs et le fait qu’elles ne soient pas divulguées à des personnes qui n’ont pas besoin de les connaître.
  • Intégrité : l’assurance que les données de votre entreprise (p.ex. financières) ne sont pas modifiées à votre insu.
  • Disponibilité : la capacité à accéder à vos données quand vous en avez besoin (boite mail, site internet, base de données, etc.).

Quels sont différents types de menaces qui pèsent sur les entreprises ?

ll y a quatre grands types de menaces, la première c’est l’atteinte à l’image, le détournement de marque, d’identité numérique pour nuire à la réputation de l’entreprise. Le 2e type de menace, c’est l’extorsion de fonds par voie électronique. C’est-à-dire que l’on va vous demander de payer une rançon en échange de la rétrocession de vos données, fichiers clients, etc. sur lesquelles les cybercriminels auront fait main basse. Le 3e type de menace, c’est le cyberespionnage, afin de pouvoir en tirer en avantage concurrentiel. La 4e, c’est le sabotage. Des programmes malveillants informatiques peuvent stopper des lignes de production et mettre à l’arrêt une entreprise entière.

Quelles entreprises sont les plus visées ?

En matière de cybercriminalité, une étude a montré que les PME sont trois fois plus victimes d’attaques de social engineering (ou spear phishing) que les grandes organisations. Les PME sont aussi plus lentes à détecter un problème de cybersécurité. En moyenne, les sociétés mettent 200 jours à détecter une cyberattaque, ce qui est très long !  

La bonne approche est donc triple : se protéger pour éviter un maximum d’attaques, avoir la visibilité sur ce qui se passe dans les infrastructures informatiques et inciter au maximum les employés à signaler immédiatement à leur responsable informatique le moindre e-mail suspect ou comportement à risque qu’ils peuvent avoir eu.

A noter également que 92% des cyberattaques commencent avec un mail (phishing/hameçonnage). Le phishing (hameçonnage en français) consiste à tromper la victime pour l’inciter à télécharger un document piégé, ou à livrer ses identifiants ou des informations personnelles, par le biais par exemple de sites contrefaits. Le phishing sert souvent de porte d’entrée pour d’autres attaques. Il peut être la source d’attaques par ransomwares (rançongiciels), d’arnaques au faux support technique ou de piratages de compte.

Les ransomwares sont des logiciels espions qui cryptent toutes les données informatiques de l’entreprise et vous empêchent ensuite d’y accéder, à moins de payer une somme d’argent équivalente à une rançon. Les entreprises sont très souvent victimes de ce genre d’arnaque, car les pirates savent qu’elles sont solvables. Seule solution pour récupérer la situation en cas d’attaque réussie : faire des sauvegardes régulières.

Tout cela démontre la nécessité de mettre en place une bonne politique de formation du personnel en la matière, ce qui fait parfois défaut dans les PME. Un autre point d’attention est de s’assurer d’avoir des fournisseurs à la pointe au niveau de sécurité et de mettre en place des systèmes de filtrage et de protection efficaces. Mieux vaut prévenir que guérir. Si l’entreprise réussit à rendre ses collaborateurs vigilants, en plus de la mise en œuvre de systèmes de protection performants, alors le risque d’exposition à ce type de menaces sera réduit.

Comment mettre en place une politique de cybersécurité ?

Les étapes essentielles généralement recommandées sont les suivantes :

Mesurer l’exposition aux risques

Commercer par identifier quelles sont les menaces qui pourraient peser sur l’entreprise. Une PME active dans l’agro-alimentaire n’a pas les mêmes types de menaces qu’un cabinet d’avocat ou une entreprise de consultance.

Une étude a cependant montré que 82% des responsables informatiques se sont déjà sentis contraints de minimiser la gravité des risques auprès du conseil d’administration de leur entreprise. Il y a également un décalage entre les grands groupes et les PME/TPE : les premiers sont beaucoup plus réceptifs et sensibles aux questions de cybersécurité que ces dernières. Ce n’est pas qu’une question de sensibilisation : même les dirigeants des petites structures ont entendu parler de la cybermenace dans les médias. Ce qui justifie la différence d’action, c’est surtout ce qui est considéré comme une prise de risque acceptable au regard des montants à investir dans la cybersécurité: à quel moment est-il rentable d’investir pour faire face à la menace, dans quelle mesure le business est-il exposé ?

Se protéger

Il faut mettre en place des protections sur ses systèmes numériques avec une approche à 360°, partant du principe que le maillon le plus faible de la chaîne donnera le niveau réel de sécurité. C’est ainsi que tous les « flux transactionnels » doivent être protégés (ex. flux de mails, le browsing du web, …). Au niveau de la prévention, que ce soit par e-mail ou SMS, on peut recommander de faire attention aux signes, parfois très discrets, tels que :

  • caractère inattendu du message, du destinataire ou de la demande ;
  • invitation à cliquer sur un lien, une pièce jointe ;
  • demande d’informations personnelles ou financières ;
  • demande de prise d’action, comme changer un mot de passe, faire un don, etc. ;

Il peut s’agir aussi d’un e-mail qui semble provenir d’un collègue ou qui reprend d’anciennes conversations avec des membres du personnel, ce qui ajoute bien évidemment à la confusion.

Il faut également :

  • choisir des mots de passe robustes et activer l’authentification multi-facteurs quand cela est possible ;
  • sauvegarder régulièrement ses données ;
  • garder ses logiciels à jour ;
  • ne pas insérer de clef USB ;

Enfin, la détection permanente des cyberattaques est la première étape permettant, dans des phases ultérieures, de stopper ces attaques et de les rendre visibles. Dans ce cadre, avoir des tableaux de bord permettant de voir l’évolution des cyberattaques constitue un outil de pilotage devenu indispensable de nos jours.

Réagir en cas d’attaque

Même si on peut comprendre qu’une entreprise qui se retrouve complètement bloquée par une attaque peut être tentée par le paiement d’une rançon, il est souvent recommandé de ne pas donner suite aux demandes de rançon parce le paiement ne donnerait de toute façon en aucune manière la garantie de recevoir par après les clés de déchiffrement. De plus, ce paiement alimenterait un système qui va renforcer les moyens d’action des hackers et leur permettre par exemple d’investir pour adapter leur technologie.

Que faire en cas de cyberattaque présumée ou avérée ?

  • Empêcher toute propagation supplémentaire ;
  • Préserver les « traces » permettant l’analyse et pouvant être utilisé pour le dépôt de plainte ;
  • Chercher la cause ;
  • Éliminer l’infection ;
  • Contrôler les accès ;
  • Changer tous les mots de passe des utilisateurs à pouvoirs et au minimum ceux pour qui il y a un soupçon de compromission ;
  • Surveiller son environnement informatique ;
  • Prévenir les autorités, avec un éventuel dépôt de plainte ;
  • Déclarer un sinistre à votre compagnie d’assurance (pour autant que vous possédiez une assurance couvrant ce risque).

Détail de tous ces conseils pratiques dans cette vidéo explicative du CCB.

Se relever et se prémunir d’incidents futurs

Après une cyberattaque en profondeur, ramener son système d’information à des conditions opérationnelles peut s’avérer difficile, long et coûteux. Mais une approche méthodique et rigoureuse avec une analyse de type cybersecurity forensic pour mieux comprendre l’infection est indispensable. À moins de vouloir laisser à l’assaillant une porte ouverte pour revenir.

Dès que vous êtes informé d’un cyberincident, la marche à suivre conseillée est la suivante :

  • Prendre contact avec la Computer Emergency Response Team fédérale, ou CERT.be, qui est le service opérationnel du Centre pour la Cybersécurité Belgique (CCB). Le CERT.be est chargé de détecter, d’observer et d’analyser les problèmes de sécurité en ligne ;
  • Contacter la police ;
  • Contacter éventuellement l’Autorité de Protection des Données (APD).

Le dépôt d’une plainte est nécessaire si vous avez souscrit à une police d’assurance.

Même sans compétences, la cybersécurité reste un sujet de dirigeants. Au même titre que la santé ou la sécurité au travail, la cybersécurité d’une entreprise relève de la responsabilité du chef d’entreprise. Malheureusement, dans de nombreux cas, les dirigeants ne s’intéressent à ce sujet qu’après une cyberattaque majeure.

Or, les conséquences d’une cyberattaque peuvent être lourdes pour une PME/TME, tant d’un point de vue économique que social. Plus qu’un sujet de compétences, il s’agit donc d’un sujet de gouvernance.

Intégrer les enjeux de cybersécurité au sein de la stratégie d’entreprise est donc crucial et passera par la détermination d’un budget à allouer au sujet en fonction des risques encourus.

Ressources utiles

 

A propos de l'auteur

Lisa LOMBARDI

Experte Entrepreneuriat | PME | Numérique