Les multinationales ne sont pas les seules victimes des attaques informatiques lancées par les hackers. Les PME et les ETl, souvent plus vulnérables, font également partie des cibles de choix des cyberpirates. À ce titre, on estime qu'en 2015, la cybercriminalité aurait coûté pas moins de 3 milliards d'euros aux entreprises françaises. Une bonne occasion de faire le point sur les dangers courus, mais aussi sur les techniques et méthodes à déployer pour atténuer le risque d'attaques et limiter leurs conséquences.
Les risques courus
Le vol de données et de secrets
Données commerciales, coordonnées personnelles et surtout bancaires, voire secrets industriels sont les cibles favorites des Cyberattaques. Ainsi, quels que soient sa taille ou son secteur d'activité, une entreprise détient forcément des éléments d'informations à caractère personnel ou confidentiel susceptibles d'être piratés car tout simplement monnayables.
La perte de données
Mais l'attaque d'un virus ou le déploiement d'un cheval de Troie n'a pas pour seule vocation de subtiliser des informations. Quelquefois l'ambition, bien plus dérisoire mais tout aussi lourde de conséquences, consiste à détruire des données ou à en empêcher l'accès. À l'origine du vol ou de la perte, on constate qu'il s'agit le plus souvent d'attaques lancées automatiquement à partir d'ordinateurs infectés (virus, cheval de Troie, ver...) ou par un hacker qui agit de l'extérieur.
Des outils indisponibles
Ordinateurs contaminés, réseau informatique ou site Internet indisponibles... Ce type de risques peut rapidement se révéler problématique pour toute entreprise qui s'appuie fortement sur un système informatique pour exercer son activité. Une indisponibilité qui peut résulter d'un virus informatique accidentellement « contracté » ou d'une attaque informatique volontairement menée contre l'entreprise telle qu'un déni de service (DoS), une attaque visant délibérément à neutraliser pendant un temps indéterminé les services ou les ressources d'une entreprise.
Pour parvenir à leurs fins, les pirates envoient un très grand nombre de requêtes aux serveurs de l'entreprise ou à ses sites Internet afin de les mettre en état de surcharge. Il devient donc impossible de les utiliser ou de les consulter. Et attention, le plus souvent, les pirates, pour perpétrer leur attaque avec plus d'efficacité et sans risque d'être identifiés, n'hésitent pas à prendre le contrôle, via des malwares, d'ordinateurs appartenant à des tiers (souvent d'autres entreprises).
Dans cette hypothèse, on compte deux victimes : l'entreprise cible, dont les ressources informatiques sont momentanément hors jeu, et l'entreprise « agresseur involontaire », qui voit également la disponibilité de ses machines mise à mal et qui, au surplus, devra démontrer sa bonne foi en cas de poursuites judiciaires.
L'extorsion
Le principe de l'extorsion est le suivant : au lieu de voler des données pour les exploiter ou les vendre, le cyberdélinquant contacte sa victime pour la contraindre à lui verser de l'argent soit en la menaçant d'une attaque informatique si elle ne s'exécute pas, soit en exigeant le versement d'une rançon pour récupérer les données présentes sur l'ordinateur pris en otage par la technique du cryptage (via un rançongiciel).
Et ce risque d'être victime d'un rançongiciel est loin d'être théorique si l'on en croit la dernière étude de Kaspersky*. Entre le 1a et le 3e trimestre 2016, le nombre d'attaques de ce type dont les entreprises, au niveau mondial, ont été victimes a triplé. Leur fréquence est ainsi passée en quelques mois d'une attaque toutes les 2 minutes à une attaque toutes les 40 secondes !
Les bonnes pratiques à adopter
Les PME ne sont pas toujours en mesure d'investir des compétences et de l'argent dans la sécurité de leurs solutions informatiques. Fortes de ce constat, la Confédération générale du patronat des petites et moyennes entreprises (CGPME) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont publié un guide permettant aux PME de prévenir à peu de frais les conséquences d'une attaque informatique. Ce guide est mis à disposition gratuitement sur le site de l'ANSSI (www.anssi.gouv.fr).
Parmi les « bonnes pratiques » mises en lumière, on peut d'abord citer la création et l'administration d'un mot de passe. Sur ce point, compte tenu du nombre d'intrusions dont les entreprises sont victimes, il convient de rappeler à quel point il est important d'élaborer une véritable politique de gestion des mots de passe. Ainsi, devront être définis leurs règles de conception (dimension, composition) mais également leur mode de gestion (règles de communication, d'enregistrement dans les navigateurs, périodicité de changement). En outre, le guide revient sur la mise en œuvre d'une politique de sauvegarde. Cette dernière est la seule parade véritablement efficace en cas de corruption des données par un virus mais aussi dans l'hypothèse d'une prise d'otage par un rançongiciel. En effet, payer la rançon ne garantit en rien la « libération » des informations. Le guide aborde également la sécurisation des réseaux wifi de l'entreprise, les précautions d'usage relatives aux tablettes et aux smartphones ou encore les règles de prudence à respecter lors de l'utilisation d'une messagerie électronique. Outre la mise en œuvre de ces principes, les entreprises sont fortement incitées à renforcer la politique de sécurité de leur équipement, par exemple en confiant à un collaborateur la responsabilité de la sécurité informatique. À charge pour lui de sensibiliser ses collègues et de veiller au bon équipement des machines (pare-feu, antivirus...).
Un changement de culture
Souvent, les salariés considèrent les mesures de sécurisation des systèmes au mieux comme des pratiques étranges qui ne les concernent en rien, au pire comme un excès de zèle qui vient compliquer leur travail. Cette situation rend délicate la sécurisation d'une entreprise.
Dès lors, avant même la mise en place de solutions techniques, il est nécessaire qu'une prise de conscience s'opère au sein de l'entreprise pour que chacun comprenne que la sécurité est un enjeu de taille et l'affaire de tous. Car en cas d'attaque non parée, c'est l'entreprise qui risque de disparaître. Il devient donc urgent et impératif de diffuser dans l'entreprise la culture de la sécurité.
Que faire en cas de Cyberattaque ?
-se déconnecter d'Internet;
-faire un balayage de l'ordinateur au moyen du logiciel antivirus pour vérifier s'il est infecté et, le cas échéant, éliminer le virus ;
-procéder à une restauration complète de l'ordinateur, si besoin ;
-faire appel à un expert si le fonctionnement de l'ordinateur est toujours compromis ;
-modifier tous les mots de passe ;
-procéder ensuite au dépôt d'une plainte au commissariat ou à la gendarmerie ;
-à cette fin, conserver des images en utilisant la fonction « Imprimer écran » ;
-lister tous les préjudices subis ;
-se munir de tous les éléments qui semblent pertinents (traces informatiques qui font penser à une attaque, fichier encrypté suite au virus, etc)
Et la rançon ?
L'étude de Kaspersky, nous apprend que 20 % des entreprises qui ont payé une rançon suite à une attaque de rançongiciel n'ont jamais revu leurs données. A méditer
* Rapport de Kaspersky sur les attaques informatiques enregistrées au 3ème trimestre 2016.
Pourquoi ne pas s'assurer ?
En complément des bonnes pratiques, il peut être envisagé de s'assurer pour couvrir les dommages découlant de cyberattaques. Des offres commencent en effet à sortir. N'hésitez pas à vous renseigner.
Les objets connectés
De plus en plus présents dans le monde des entreprises, les objets connectés sont quelquefois utilisés par les pirates pour atteindre leurs cibles. Les prendre en compte dans la politique de sécurisation informatique est donc devenu indispensable.