Cybercriminalité, comment se protéger ?

Chaque avancée technologique et technique amène son lot de revers. La cybercriminalité, virtuelle pour certains, concrète pour d’autres est préoccupante pour les entreprises. Des gestes simples et des solutions professionnelles peuvent radicalement réduire les risques.

cybercriminalité

La cybercriminalité : une réalité concrète

La cybercriminalité, bien que présente sur une plateforme virtuelle est moins concrète qu’un voleur qui irait vous cambrioler. Elle regroupe toutes les infractions pénalement répréhensibles dans un système informatique, généralement relié à un réseau. D’après l’étude « Breach Level Index » menée par SageNet et Gemalto, – deux sociétés spécialisées en cyber-sécurité -, plus d’1,3 milliards de données ont été volées durant l’année 2014, soit une hausse de 78% sur un an. De 2013 à aujourd’hui, c’est plus de 3 milliards.

Des risques financiers

La cybercriminalité, toujours en nette expansion, prend donc des proportions considérables. Quand on sait que les pertes qui y sont liées sont évaluées entre 375 et 575 milliards* de dollars par an et dans le monde, c’est un véritable gouffre financier, pouvant causer le dépôt de bilan de l’entreprise mal protégée. Charles Préaux, Directeur de la formation d’ingénieurs en cyberdéfense, nous le confirme « La cybercriminalité est une réalité, ce n’est plus quelque chose de virtuel, elle peut avoir des conséquences fâcheuses. Les entreprises n’ont pas la perception du danger à cause de la dimension virtuelle du piratage, il n’est pas palpable, ce qui ne rend pas les choses simples. »

PME et TPE: plus qu’une prise de conscience, un devoir

Au-delà des risques pécuniaires, ce sont des problèmes d’image qui guettent les entreprises. Pour exemple, la société Piscines Desjoyaux a subi en janvier dernier, une attaque de ses sites internet, nommée « défiguration » (modification d’un site web). Fanny Desjoyaux, Responsable marketing, souligne que peu de leurs clients s’en sont rendu compte, mais concède tout de même que « la presse locale nous a consacré quelques lignes. »

Entreprises : cibles de choix

Les TPE ne sont pas en reste en ce qui concerne les cyberattaques. Selon Symantec, société spécialisée dans les logiciels informatiques, en 2014 77% des cyberattaques visaient les petites entreprises, 71% d’entre elles ont des conséquences irréversibles. François Asselin, président CGPME, ajoute même que « La cyber-sécurité est un facteur de productivité, de compétitivité et donc de croissance pour les entreprises. […] les conséquences des attaques informatiques pour les entreprises et plus particulièrement les TPE, sont généralement désastreuses et peuvent impacter leur pérennité. » **

Cybercriminalité

Faille informatique, ou faille humaine ?

Un grand nombre de données sensibles (fichiers clients, contrats, projets etc.) peuvent être récupérées par des hackeurs. Guillaume Poupard, Directeur général de l’agence nationale de la sécurité des systèmes d’informatiques explique que « Devoir remédier à un incident dans l’urgence peut s’avérer bien plus coûteux que leur prévention. »*** A partir de là, la prévention devient l’un des meilleurs remparts contre les attaques. Cependant, pour correctement lutter et se prévenir de la cybercriminalité, il vaut mieux connaître le large panel des cyberattaques.

Des attaques plus importantes que les autres

Parmi toutes les menaces, certaines inquiètent plus que les autres. D’après l’étude « Bitdefender », les APT1 (19,7%) arrivent en tête des menaces les plus difficiles à traiter pour les DSI dans les PME et les grandes entreprises. A la seconde place les ransomwares2 (13,7%), particulièrement difficiles à gérer pour les entreprises novices dans les malwares3. Le spear-phising4 (13%) et les rootkits5 préoccupent aussi les entreprises.

Négligence humaine

Dans l’esprit de la majorité des individus, les cyberattaques sont principalement dues à une négligence technique et informatique de l’entreprise. Pourtant, les plus grands risques sont liés aux employés eux-mêmes. Charles Préaux, expert en cyberdéfense nous le confirme, « 70% des menaces sont internes et 30% sont externes ». Dès lors, les employés deviennent des acteurs de la négligence sécuritaire des entreprises. En cause, une mauvaise sensibilisation.

 

Sensibilisation des employés

Sensibiliser ses employés permet de réduire considérablement et à moindre coût les risques d’attaques. D’après l’étude américaine « cybercrime : Rinsing risks, reduced readliness », les dépenses liées aux incidents de sécurité informatique sont 76% moins importantes pour les entreprises qui sensibilisent leur personnel. Ces derniers ne se rendent pas toujours compte de l’impact d’une cyberattaque sur leur propre vie : vol de données personnelles, chantage etc.

Former les salariés

Divers acteurs proposent des solutions pour la formation des salariés : conférences, formations payantes par des experts. De même, l’ANSSI et la CGPME ont publié le guide des bonnes pratiques de l’informatique destiné à éduquer les comportements, grâce à 12 règles. Parmi ces règles, sécuriser l’accès Wi-Fi de l’entreprise, être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur, télécharger ses programmes sur les sites officiels des éditeurs. Des pratiques simples, mais qui peuvent facilement faire la différence.

Quid des solutions proposées ?

Prenant conscience des enjeux de la cybercriminalité, certains proposent d’aider les entrepreneurs : formations, conférences, salons, antivirus etc. Pour éviter l’intrusion involontaire de menaces par le biais des employés, une campagne française et conçue par l’agence W est active depuis le 1er octobre : hack-acamedy.fr. Destinée à être pédagogique, la campagne sensibilise aux gestes de base dans la protection des données sur internet. Une autre plateforme, « Serious Games », créée par Kaspersky Lab. permet de former et d’avertir les employés des entreprises, peu importe leur niveau ou leur fonction dans la société.

Les profs

D’autres experts traitent carrément le problème sur les bancs de l’école. Quelques formations universitaires ou privées sont proposées pour parfaire les compétences en cyber-sécurité. Des formations plus brèves et des conférences animées par des experts peuvent aussi aider les entrepreneurs à mieux se protéger.

 


Sources :

* étude McAfee et Center for Strategic and International Studies

** ANSSI/CGPME Guide des bonnes pratiques informatiques

*** Ibid.

Glossaire

1 APT : attaque qui comprend tout un arsenal d’outils et de techniques. Elle se base sur une stratégie de furtivité, en restant le plus longtemps possible cachée.
2 Ransomware : programme malveillant, qui s’installe sur l’ordinateur sans le consentement de l’utilisateur. Il bloque à distance l’ordinateur et demande à l’utilisateur une rançon pour qu’il puisse y ré-accéder.
3 Malware : logiciel malveillant, dans le but de nuire à un système informatique.
4 Spear phishing : technique très répandue qui prend la forme d’une entreprise (logos, site etc.) dans un mail, avec pour but de leurrer le destinataire, pour qu’il puisse donner en toute confiance des informations sensibles (mots de passe, code de carte de crédit, informations financières présentes sur le PC etc.).
5 Rookits : malware particulièrement bien caché et discret, destiné à infecter un PC dans le but d’installer des outils permettant au cybercriminel d’accéder à distance à l’ordinateur (enregistreur de frappe, capture de mots de passe, module de vol comptes bancaires etc.).
6 BYOD : utiliser son propre matériel informatique à des fins professionnelles. Jusque-là, rien d’alarmant sauf que ce genre d’utilisation peut générer des incidents. Utiliser son propre ordinateur, prend le risque d’apporter les logiciels malveillants d’un consommateur.

L’avis d’expert

Denis Jacopini est spécialiste dans la protection des données personnelles et en cybercriminalité. Il acte des formations auprès des dirigeants d’entreprises et des salariés, pour leur donner des conseils et détecter les attaques. Il nous donne son avis d’expert pour aider les entreprises dans la prévention des cyberattaques.

Denis Jacopini, expert en cybercriminalité

Denis Jacopini, expert en cybercriminalité

EC: Quels sont les risques de la cybercriminalité ?

Denis Jacopini : La cybercriminalité prend plusieurs formes : des pirates qui ont message à faire passer et dont le but est la défiguration de sites internet, et d’autres qui recherchent l’aspect pécuniaire de la cybercriminalité. Une attaque entraine une mauvaise image et une perte de confiance autant auprès des clients que des salariés. Ces derniers risquent de moins s’engager dans l’entreprise et de perdre confiance dans la sécurité informatique avec la peur de voir leurs données personnelles volées.

EC: Que conseillerez-vous aux entreprises pour améliorer leur sécurité ?

DJ : Les entreprises ont conscience de la cybercriminalité mais se font toujours avoir. Il faut absolument éduquer. Toutes les entreprises risquent de se faire pirater. L’élément souvent négligé est la charte informatique qui va lier le salarié aux usages des outils informatiques.

EC: Et concrètement ?

DJ : Concrètement, pour anticiper, l’entreprise doit, faire un audit de la sécurité de son système d’information (analyses des mesures de sécurité existantes, test d’intrusion, analyse des usages illicites internes ou externes à l’entreprise) et prévoir une sensibilisation des salariés par un organisme extérieur. Les actions qui en ressortent souvent sont : l’amélioration d’outils et de mesures de sécurité, la mise en place d’une charte informatique, d’outils de cryptage des e-mails ou de cryptage des données. Enfin, la mise à niveau tous les 12 mois des employés car ils doivent connaître les nouvelles techniques couramment utilisées par les cybercriminels.

EC: Quel est le plus grand danger pour les entreprises ?

DJ : La plus grande menace reste le mail piégé. Dans la précipitation, l’employé va l’ouvrir et cliquer sur une page web usurpée. A partir de là, le pirate peut s’infiltrer, c’est ce qu’il s’est passé avec TV5 Monde. Contre ce genre d’attaque, appelée « spear-phising », la technologie arrive à ses limites. La question désormais, est celle du comportement. La sensibilisation des salariés est très difficile mais il est possible de leur apprendre toutes les formes d’attaques, grâce à des formations.

Vous aimerez aussi...

Une réponse

  1. 2 mars 2016

    […] DJ : La plus grande menace reste le mail piégé. Dans la précipitation, l’employé va l’ouvrir et cliquer sur une page web usurpée. A partir de là, le pirate peut s’infiltrer, c’est ce qu’il s’est passé avec TV5 Monde. Contre ce genre d’attaque, appelée « spear-phising », la technologie arrive à ses limites. La question désormais, est celle du comportement. La sensibilisation des salariés est très difficile mais il est possible de leur apprendre toutes les formes d’attaques, grâce à des formations. … [Lire la suite] […]

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *