Depuis l’apparition de la crise sanitaire, le nombre d’attaques cyber a augmenté de plus de 30 000%. Tentatives d’intrusion, hameçonnage, logiciels malveillants… les pirates informatiques se font de plus en plus astucieux et agressifs pour déjouer les systèmes des entreprises qui figurent parmi leurs premières cibles.
«Il ne se passe pas une journée sans qu’un grand groupe soit attaqué », souligne Lionel Marchaud, Directeur général Hexanet. Généraliste de l’informatique, le groupe Hexanet est un prestataire IT (Technologie de l’information), spécialisé dans les PME-PMI et ETI jusqu’à 250 salariés et aussi un hébergeur de données en data center. « Aujourd’hui, le risque cyber est le risque le plus important pour les organisations en Europe », ajoute David Dubus, spécialiste de la cybersécurité, à la tête de l’entreprise Unumkey. Et si en cinq ans, le coût moyen des cyberattaques dans le monde a augmenté de 72 %, selon McAfee et le Centre d’études stratégiques et internationales (CSIS), qui ont publié début décembre un nouveau rapport sur les coûts cachés de la cybercriminalité, les pertes dues à cette criminalité s’élèveraient à plus d’1% du PIB mondial, soit 100 milliards de dollars.
Pour Emmanuel Mesnard, Responsable de la sécurité des systèmes d’informations (RSSI) à l’Université de Reims Champagne-Ardenne, « il y a globalement une augmentation des attaques depuis la crise sanitaire, même s’il y en a quotidiennement, avec des degrés d’intensité différents. La recrudescence des attaques vient du fait que les basculements du travail en entreprise au travail à la maison a souvent été fait dans l’urgence, avec des failles plus importantes. Les attaques ont des typologies différentes : automatiques ou ciblées. Ce sont ces dernières qui sont les plus dangereuses et malveillantes ».
NE PAS MÉLANGER PERSONNEL ET PROFESSIONNEL
« La première clé de la cybersécurité c’est de bien connaître son contexte et d’identifier les informations qui ont de la valeur, pour déterminer un niveau de protection adéquat », précise Stéphane Locatelli, Directeur Technique Adjoint d’Hexanet, chargé de la sécurité. « Il faut ensuite prioriser les informations à sécuriser en fonction de leur valeur ». Si les failles peuvent être techniques, elles sont tout aussi souvent d’origine humaine : « Vous pouvez avoir tous les meilleurs outils, si un utilisateur transmet ses codes, le pirate pourra avoir accès à toutes vos données ». Et contrairement aux idées reçues, les dirigeants d’entreprise sont un point d’entrée privilégié par les hackers : « Souvent, les dirigeants veulent avoir accès à tous les services de l’entreprise. C’est une erreur à proscrire absolument », insiste Lionel Marchaud. « Il faut que l’ensemble de l’entreprise soit impliqué dans la démarche de sécurité à commencer par la direction générale. La sensibilisation de tous les utilisateurs des outils informatiques dans l’entreprise est primordiale ». Le télétravail, qui multiplie le nombre d’ordinateurs connectés et de données en circulation, devient forcément un facteur d’exposition au piratage. « Le premier des conseils est de ne pas mélanger le personnel et le professionnel, de différencier les deux usages, avec smartphone, tablette ou ordinateur. Ensuite de ne pas cliquer sur les liens douteux, bien vérifier avec la souris quand on passe dessus s’il y une cohérence entre le nom affiché du lien et l’adresse mail. Pour parer tout risque, ne pas hésiter à passer un document à l’anti-virus », souligne Emmanuel Mesnard.
« LE RÉFLEXE DE DOUTER »
« On ne travaille pas de chez soi si on ne dispose pas d’un VPN (ou Virtual Private Network, à savoir un système permettant de créer un lien direct entre des ordinateurs distants, isolé du reste du trafic) sécurisé », conseille Stéphane Locatelli. « Si la sécurisation du télétravail n’est pas assurée, il peut ouvrir des brèches dans lesquelles les pirates s’engouffrent facilement ». D’autant plus avec les ordinateurs personnels ou avec des utilisateurs qui téléchargent eux-mêmes les logiciels pour mettre en place leur propre système. Parmi les attaques « en vogue », le vol de données, leur cryptage et une demande de rançon à leur propriétaire en échange de la récupération des fichiers. « Souvent ce type de vol fait l’objet d’une double peine puisque, en plus de détenir les données, les pirates menacent de les divulguer en cas de non-paiement de la rançon », ajoute Stéphane Locatelli. Une professionnalisation des groupes de « hackers » qui rend de plus en plus fréquentes et dangereuses les attaques.
Autre vecteur d’attaque très fréquent auquel tout le monde est confronté aujourd’hui : le mail via le « phishing » (ou hameçonnage), une technique qui consiste à mettre en confiance la personne qui reçoit le mail frauduleux pour l’inciter à divulguer ses données personnelles et mots de passe. Les pirates se faisant souvent passer pour un opérateur (mail, téléphone), un établissement bancaire, une administration ou une société de livraison de colis. « Ces approches sont souvent assez grossières mais elles deviennent de plus en plus habiles. Il faut toujours être vigilant et surtout avoir le réflexe de douter », insiste le spécialiste.
Ne pas laisser traîner trop d’informations potentiellement sensibles sur les sites web des entreprises (organigrammes détaillés par exemple), utiliser des adresses mails génériques (et non pas nominatives), sécuriser les messageries, faire appel à des spécialistes pour installer des produits de sécurisation (firewalls par exemple) doivent devenir des réflexes. Tout comme la sauvegarde de données. « La sauvegarde est l’un des principes majeurs de la protection, selon la règle du 3-2-1 : Avoir trois copies de données, deux supports différents, et une copie hors-site ».
Un avis partagé par Emmanuel Mesnard : « Il y a un minimum à faire, comme des sauvegardes régulières. Il est aussi possible d’auditer son système informatique par une société qui va, comme un hacker, voir ce qu’il va être possible de trouver. La base aussi est d’avoir des mots de passe complexes et de ne pas utiliser les mêmes pour tous les sites. Car si on vous hacke sur un site, il y a de fortes chances que le hacker utilise ce mot de passe sur d’autres et que cela marche. La meilleure pratique est alors d’utiliser un logiciel appelé coffre-fort de mot de passe, dans lequel vous stockez ceux correspondant aux différents sites que vous utilisez. Les coffres-forts numériques sont très sécurisés. Les entreprises et collectivités doivent mettre les moyens humains et techniques pour protéger les données les plus importantes. Pour cela, une réflexion est à engager sur l’importance et la priorité des données à protéger : qu’elles soient pour le business, financières ou correspondant à des données personnelles sensibles ».
Autant de protections qui ne doivent pas empêcher les entreprises (comme les particuliers d’ailleurs) d’avoir toujours à l’esprit : « la sécurité zéro n’existe pas ».
SAVOIR GÉRER UNE CRISE
Elément important d’une crise : savoir faire la différence entre un incident IT et une crise cyber. « La plupart du temps, l’incident IT est un acte lié à une erreur ou à une perte de matériel tandis que la crise cyber inclut souvent une notion de malveillance, comme une intrusion par exemple », note David Dubus. « La crise cyber présente trois spécificités : son impact réel est difficile à évaluer, sa gestion est plus longue qu’un incident IT (trois semaines en moyenne, voire plus) et elle requiert des compétences spécifiques ».
Pour le spécialiste, en cas d’attaque, outre faire appel à des professionnels, la communication est un élément essentiel de la convalescence qui mène à la reprise d’activité et donc à la survie de l’entreprise. « La communication est très difficile à maitriser, d’où la nécessité impérieuse d’avoir tout préparé en amont. Il faut notamment adapter sa communication en fonction du public : on ne s’adresse pas aux actionnaires et aux salariés comme à un client ou à un fournisseur. Il faut aussi s’adapter en fonction de la spécificité de l’attaque ». Dans tous les cas, la pire solution est de minimiser l’impact de l’attaque et le pouvoir de nuisance des pirates. « Ne surtout pas mentir ou mettre la poussière sous le tapis », insiste David Dubus.
Après avoir défini puis rédigé un process de gestion de crise avec un interlocuteur dédié à la communication, les organisations doivent avant tout privilégier une approche la plus factuelle possible. Sans oublier que les premiers instants s’avèrent souvent les plus décisifs. Faut-il débrancher ou éteindre le système ? Comment réagir face aux pirates ? Que faire en cas de demande de rançon ? Les questions sont nombreuses et doivent être envisagées en amont pour pouvoir y faire face au mieux et au plus vite. Car le temps est un facteur majeur en la matière : toujours selon le rapport McAfee/CSIS, ces temps d’arrêt ont des conséquences sur la productivité puisque, en moyenne, les organisations interrogées ont perdu 9 heures de travail par semaine à cause des cyberattaques.
LE CONSEIL
L’ANSI a publié avec la CGPME un guide des bonnes pratiques en direction des PME qui est très bien fait. Le site www.cybermalveillance.gouv.fr a mis en place des kits à destination des entreprises, collectivités et administrations, avec des fiches techniques.
