Cybersécurité : nos entreprises sont menacées !

by Lisa LOMBARDI , 11 avril 2022

En matière de cybercriminalité, une étude a montré que les PME sont trois fois plus victimes d’attaques de social engineering (ou spear phishing) que les grandes organisations. Les PME sont aussi plus lentes à détecter un problème de cybersécurité. En moyenne, les sociétés mettent 200 jours à détecter une cyberattaque, ce qui est très long ! Cet article a pour vocation de vous fournir quelques clés pour protéger au mieux votre entreprise et réagir efficacement en cas d’attaque…

La cybersécurité, c’est la protection des données numériques, des ressources et des systèmes informatiques, permettant d’adresser le vecteur de risque « CID » :

Confidentialité : le caractère confidentiel de vos données ou de celles de vos clients/utilisateurs et le fait qu’elles ne soient pas divulguées à des personnes qui n’ont pas besoin de les connaître.
Intégrité : l’assurance que les données de votre entreprise (p.ex. financières) ne sont pas modifiées à votre insu.
Disponibilité : la capacité à accéder à vos données quand vous en avez besoin (boite mail, site internet, base de données, etc.).

Quels sont différents types de menaces qui pèsent sur les entreprises ?

ll y a quatre grands types de menaces, la première c’est l’atteinte à l’image, le détournement de marque, d’identité numérique pour nuire à la réputation de l’entreprise. Le 2e type de menace, c’est l’extorsion de fonds par voie électronique. C’est-à-dire que l’on va vous demander de payer une rançon en échange de la rétrocession de vos données, fichiers clients, etc. sur lesquelles les cybercriminels auront fait main basse. Le 3e type de menace, c’est le cyberespionnage, afin de pouvoir en tirer en avantage concurrentiel. La 4e, c’est le sabotage. Des programmes malveillants informatiques peuvent stopper des lignes de production et mettre à l’arrêt une entreprise entière.

Quelles entreprises sont les plus visées ?

En matière de cybercriminalité, une étude a montré que les PME sont trois fois plus victimes d’attaques de social engineering (ou spear phishing) que les grandes organisations. Les PME sont aussi plus lentes à détecter un problème de cybersécurité. En moyenne, les sociétés mettent 200 jours à détecter une cyberattaque, ce qui est très long !

La bonne approche est donc triple : se protéger pour éviter un maximum d’attaques, avoir la visibilité sur ce qui se passe dans les infrastructures informatiques et inciter au maximum les employés à signaler immédiatement à leur responsable informatique le moindre e-mail suspect ou comportement à risque qu’ils peuvent avoir eu.

A noter également que 92% des cyberattaques commencent avec un mail (phishing/hameçonnage). Le phishing (hameçonnage en français) consiste à tromper la victime pour l’inciter à télécharger un document piégé, ou à livrer ses identifiants ou des informations personnelles, par le biais par exemple de sites contrefaits. Le phishing sert souvent de porte d’entrée pour d’autres attaques. Il peut être la source d’attaques par ransomwares (rançongiciels), d’arnaques au faux support technique ou de piratages de compte.

Les ransomwares sont des logiciels espions qui cryptent toutes les données informatiques de l’entreprise et vous empêchent ensuite d’y accéder, à moins de payer une somme d’argent équivalente à une rançon. Les entreprises sont très souvent victimes de ce genre d’arnaque, car les pirates savent qu’elles sont solvables. Seule solution pour récupérer la situation en cas d’attaque réussie : faire des sauvegardes régulières.

Tout cela démontre la nécessité de mettre en place une bonne politique de formation du personnel en la matière, ce qui fait parfois défaut dans les PME. Un autre point d’attention est de s’assurer d’avoir des fournisseurs à la pointe au niveau de sécurité et de mettre en place des systèmes de filtrage et de protection efficaces. Mieux vaut prévenir que guérir. Si l’entreprise réussit à rendre ses collaborateurs vigilants, en plus de la mise en œuvre de systèmes de protection performants, alors le risque d’exposition à ce type de menaces sera réduit.

Comment mettre en place une politique de cybersécurité ?

Les étapes essentielles généralement recommandées sont les suivantes :

Mesurer l’exposition aux risques

Commercer par identifier quelles sont les menaces qui pourraient peser sur l’entreprise. Une PME active dans l’agro-alimentaire n’a pas les mêmes types de menaces qu’un cabinet d’avocat ou une entreprise de consultance.

Une étude a cependant montré que 82% des responsables informatiques se sont déjà sentis contraints de minimiser la gravité des risques auprès du conseil d’administration de leur entreprise. Il y a également un décalage entre les grands groupes et les PME/TPE : les premiers sont beaucoup plus réceptifs et sensibles aux questions de cybersécurité que ces dernières. Ce n’est pas qu’une question de sensibilisation : même les dirigeants des petites structures ont entendu parler de la cybermenace dans les médias. Ce qui justifie la différence d’action, c’est surtout ce qui est considéré comme une prise de risque acceptable au regard des montants à investir dans la cybersécurité: à quel moment est-il rentable d’investir pour faire face à la menace, dans quelle mesure le business est-il exposé ?

Se protéger

Il faut mettre en place des protections sur ses systèmes numériques avec une approche à 360°, partant du principe que le maillon le plus faible de la chaîne donnera le niveau réel de sécurité. C’est ainsi que tous les « flux transactionnels » doivent être protégés (ex. flux de mails, le browsing du web, …). Au niveau de la prévention, que ce soit par e-mail ou SMS, on peut recommander de faire attention aux signes, parfois très discrets, tels que :

caractère inattendu du message, du destinataire ou de la demande ;
invitation à cliquer sur un lien, une pièce jointe ;
demande d’informations personnelles ou financières ;
demande de prise d’action, comme changer un mot de passe, faire un don, etc. ;

Il peut s’agir aussi d’un e-mail qui semble provenir d’un collègue ou qui reprend d’anciennes conversations avec des membres du personnel, ce qui ajoute bien évidemment à la confusion.

Il faut également :

choisir des mots de passe robustes et activer l’authentification multi-facteurs quand cela est possible ;
sauvegarder régulièrement ses données ;
garder ses logiciels à jour ;
ne pas insérer de clef USB ;
…

Enfin, la détection permanente des cyberattaques est la première étape permettant, dans des phases ultérieures, de stopper ces attaques et de les rendre visibles. Dans ce cadre, avoir des tableaux de bord permettant de voir l’évolution des cyberattaques constitue un outil de pilotage devenu indispensable de nos jours.

Réagir en cas d’attaque

Même si on peut comprendre qu’une entreprise qui se retrouve complètement bloquée par une attaque peut être tentée par le paiement d’une rançon, il est souvent recommandé de ne pas donner suite aux demandes de rançon parce le paiement ne donnerait de toute façon en aucune manière la garantie de recevoir par après les clés de déchiffrement. De plus, ce paiement alimenterait un système qui va renforcer les moyens d’action des hackers et leur permettre par exemple d’investir pour adapter leur technologie.

Que faire en cas de cyberattaque présumée ou avérée ?

Empêcher toute propagation supplémentaire ;
Préserver les « traces » permettant l’analyse et pouvant être utilisé pour le dépôt de plainte ;
Chercher la cause ;
Éliminer l’infection ;
Contrôler les accès ;
Changer tous les mots de passe des utilisateurs à pouvoirs et au minimum ceux pour qui il y a un soupçon de compromission ;
Surveiller son environnement informatique ;
Prévenir les autorités, avec un éventuel dépôt de plainte ;
Déclarer un sinistre à votre compagnie d’assurance (pour autant que vous possédiez une assurance couvrant ce risque).

Détail de tous ces conseils pratiques dans cette vidéo explicative du CCB.

Se relever et se prémunir d’incidents futurs

Après une cyberattaque en profondeur, ramener son système d’information à des conditions opérationnelles peut s’avérer difficile, long et coûteux. Mais une approche méthodique et rigoureuse avec une analyse de type cybersecurity forensic pour mieux comprendre l’infection est indispensable. À moins de vouloir laisser à l’assaillant une porte ouverte pour revenir.

Dès que vous êtes informé d’un cyberincident, la marche à suivre conseillée est la suivante :

Prendre contact avec la Computer Emergency Response Team fédérale, ou CERT.be, qui est le service opérationnel du Centre pour la Cybersécurité Belgique (CCB). Le CERT.be est chargé de détecter, d’observer et d’analyser les problèmes de sécurité en ligne ;
Contacter la police ;
Contacter éventuellement l’Autorité de Protection des Données (APD).

Le dépôt d’une plainte est nécessaire si vous avez souscrit à une police d’assurance.

Même sans compétences, la cybersécurité reste un sujet de dirigeants. Au même titre que la santé ou la sécurité au travail, la cybersécurité d’une entreprise relève de la responsabilité du chef d’entreprise. Malheureusement, dans de nombreux cas, les dirigeants ne s’intéressent à ce sujet qu’après une cyberattaque majeure.

Or, les conséquences d’une cyberattaque peuvent être lourdes pour une PME/TME, tant d’un point de vue économique que social. Plus qu’un sujet de compétences, il s’agit donc d’un sujet de gouvernance.

Intégrer les enjeux de cybersécurité au sein de la stratégie d’entreprise est donc crucial et passera par la détermination d’un budget à allouer au sujet en fonction des risques encourus.

Ressources utiles

Cyberguide pour entreprises développé par le Centre for Cyber Security Belgium (CCB): https://cyberguide.ccb.belgium.be/fr

Lien vers Safeonweb (site développé par les autorités publiques à l’attention des citoyens belges) pour signaler un problème, passer le test de cybersécurité ou recevoir des conseils pratiques: https://safeonweb.be/fr/home

Webinaires pratiques du CCB à destination des entreprises visant à informer tant le management que l’ensemble des employés concernés au sein d’une organisation. Les webinaires sont libres d’utilisation dans le cadre de formations destinées aux collaborateurs : https://ccb.belgium.be/fr/publication/webinaires-pour-les-organisations

Des subsides sont également accessibles pour les entreprises wallonnes. Voir à ce sujet la présentation réalisée par l’UWE : « Quels subsides pour vous aider à faire face aux cybercriminels? » https://fr.slideshare.net/lisalombardibe1/quels-subsides-pour-vous-aider-faire-face-aux-cybercriminels

Categories: R&D, innovation, numérique, Union Wallonne des Entreprises

A propos de l'auteur

Lisa LOMBARDI

Senior Advisor Entrepreneuriat | PME | Numérique

Sur le(s) meme(s) theme(s)...

Communales 2018 : 20 priorités pour une Alliance Entreprises / Pouvoirs locaux

Challengez-vous en équipe sur le marché innovant des Smart Cities

Les communes séduisent-elles assez les entreprises ? Non, selon l’UWE…

Des avancées réelles sur les aides, des questions sur le budget et trop de dispersion dans le plan de relance

Participez aux BeCommerce Awards !

«Smart Buildings» : BESIX Group et Proximus annoncent leur partenariat

L’UWE demande la libération d’Olivier Vandecasteele

L’UWE partenaire du congrès E-FORUM 2020 : les bonnes pratiques pour réussir en e-commerce

3 questions à…

... Grégorio MATIAS, Managing Partner de MCG, consultant en cybersécurité et membre de la Commission Transformation Numérique de l’UWE.

Les cyberattaques tendent-elles
à se multiplier ?

Oui, les chiffres tendent à montrer une augmentation des interventions liées à des cyberattaques. De façon structurelle, c’est lié au fait qu’au plus il y a de valeur dans le numérique, au plus il y a d’attractivité pour les hackers et du coup il y a de plus en plus d’attaques. Mais on a particulièrement remarqué depuis une quinzaine de jours une recrudescence des attaques en provenance de la Chine combinée à une apparition d’attaques à partir de l’Ukraine alors que ce n’était pas du tout le cas auparavant, du moins pour cette dernière. On peut donc clairement parler d’une période d’explosion des cyberattaques. Il faut cependant noter que des pirates informatiques peuvent mener des attaques en se cachant derrière des adresses IP chinoises ou ukrainiennes. C’est même très probablement ce qui est en train de se passer avec l’Ukraine.

(NDLR : Plus précisément, les attaques informatiques provenant d’adresses IP chinoises et ayant pour cible la Belgique ont plus que doublé. Entre la dernière semaine avant l’invasion et le début de la guerre, les cyberattaques ont augmenté de 109%, contre 123% entre la dernière semaine avant l’invasion et les trois premières semaines du conflit, voir l'article dans Geeko).

Que peut-on faire pour
se prémunir de cette situation ?

En plus de tous les conseils de base en matière de cybersécurité, certaines entreprises ont également mis en place des politiques de géoprotection pour bloquer automatiquement des pays avec lesquels elles ne commercent pas. C’est un conseil à donner pour des entreprises ou des organisations qui n’ont pas nécessairement de collaborations internationales ou avec un nombre limité de pays. Toutes les attaques sont ainsi rejetées automatiquement notamment lorsqu’elles viennent de bots, ce qui est un des moyens permettant de se protéger plus efficacement contre les recrudescences d’attaque de l’étranger comme celle que nous sommes en train de vivre.

Qu’est-ce qui explique que les PME
sont plus touchées que les grandes entreprises ?

Les cyberattaques sont en effet les plus ciblées en intensité et également en taux d’efficacité dans les PME que dans les grandes entreprises. On estime que le taux de succès d’une attaque est 2 à 5 fois plus important chez les premières... Deux raisons pour lesquelles c’est le cas :

1) Le manque d’investissements structurés / structurels dans les PME, ce qui fait qu’on ne voit que très tardivement qu’une attaque a eu lieu (une entreprise «leader» est dans la majorité des cas capable d’identifier une attaque dans les 15 jours, alors qu’une «non-leader» aura besoin de plusieurs semaines voire plusieurs mois) ;

2) Une sorte d’effet de mode en matière de «cybersecurity awareness» qui tend à reporter le défaut de cybersécurité sur l’utilisateur. Or, dans le cas de cyberattaques structurées, ce sont des personnes qui ont des pouvoirs particuliers au sein du système informatique (responsables IT) qui sont ciblées. Le manque de formation ou un certain sentiment de supériorité (en termes de compréhension) font parfois que ces problèmes sont minimisés voire cachés. Pour ne pas ouvrir la porte aux cybercriminels, il faut considérer la cybersécurité comme un investissement stratégique et non comme une dépense !