Sensibilisation
La transformation numérique des entreprises présente des enjeux de sécurité importants. Elles doivent alors travailler sur l’ensemble du spectre technologique, tout en formant et en sensibilisant aux risques liés au numérique et à ses multiples usages.
Dans un premier temps, utiliser les équipements techniques et les réponses nécessaires pour renforcer la protection des équipements et des informations. Dès lors, identifier les données sensibles à protéger, en utilisant des technologies sécurisées et adaptées, notamment en matière de cryptage des communications.
En plus de ces mesures techniques, le facteur humain ne peut être ignoré. En effet, il est primordial de sensibiliser les différents collaborateurs d’une entreprise aux bonnes pratiques individuelles et collectives en matière de protection numérique en mettant en place une politique de sécurité des systèmes d’information claire et sans ambiguïté.
Enfin, la législation est intervenue à plusieurs reprises pour apporter des protections supplémentaires.
La Convention européenne du 23 novembre 2001 a établi un système de coopération internationale contre la cybercriminalité. Il permet notamment à la France de mieux s’équiper en sanctionnant l’intrusion des systèmes informatiques par des textes législatifs et vise à améliorer ses capacités dans le domaine de la cyberdéfense.
Les risques
On estime que 61 % des grandes entreprises mondiales ont été touchées par une ou plusieurs cyberattaques en 2018. Les conséquences sont parfois catastrophiques, comme des ralentissements d’activité, des vols de données ou des demandes de rançon. D’un point de vue financier, le coût moyen d’une cyberattaque pour une petite entreprise peut aller de 1,3 million de dollars à un maximum de 27 millions de dollars. En France, une entreprise met environ 30 semaines pour détecter une menace informatique et 75 jours pour s’en remettre.
Les différents types d'attaques :
Le phishing est une technique destinée à leurrer un individu pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour une personne de confiance.
Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie ou encore de site de commerce en ligne.
L’arnaque au président consiste à contacter une entreprise cible, en se faisant passer pour le président de la société ou du groupe. Le contact se fait par courriel ou par téléphone. Après quelques échanges destinés à instaurer la confiance, le fraudeur demande que soit réalisé un virement international non planifié, au caractère urgent et confidentiel.
Les ransomware ou rançongiciels sont des logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour de nouveau en récupérer l’accès.
On peut être infectée après l’ouverture d’une pièce jointe, ou après avoir cliqué sur un lien reçu dans des courriels ou encore suite à une intrusion sur le système.
Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes.
Logiciel en apparence inoffensif, installé ou téléchargé et à l’intérieur duquel a été dissimulé un second programme malveillant qui peut permettre la collecte frauduleuse, la falsification ou la destruction de données.
Une attaque en déni de service distribué (DDoS pour Distributed Denial of Service en anglais) vise à rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer ou par l’exploitation d’une faille de sécurité afin de provoquer une panne du service.
Ce type d’attaque peut être d’une grande gravité pour l’organisation qui en est victime. Durant l’attaque, le site ou service n’est plus utilisable, au moins temporairement ce qui peut entraîner des pertes de revenus et de productivité pour les sites marchands.
L’attaque est souvent visible publiquement et laisse à penser que l’attaquant aurait pu accéder à toutes ses données, y compris les plus sensibles (données personnelles, bancaires, commerciales…) : ce qui porte directement atteinte à l’image et donc la crédibilité du propriétaire du site.
Les solutions
En France, les dispositifs juridiques et de sécurité permettent de définir des normes et des contrôles. Par exemple, la Loi de Programmation Militaire (LPM), soumet les Organismes d’Importance Vitales (OIV). Plus précisément, il s’agit de renforcer les protections en matière de cybersécurité pour les organisations publiques ou privées jugées vitales pour l’État. Ces groupes jouent un rôle stratégique car en cas de cyberattaque, ils peuvent paralyser la vie du pays. En France, il existe 249 OIV répartis en 12 secteurs de l’énergie, de la santé, des transports (terrestres, fluviaux, maritimes, aériens), de la finance, de l’armement, de l’espace et des télécommunications.
Au niveau de l’entreprise, les DSI (Directeurs des Services d’Information) et RSSI (Responsable de la Sécurité des Systèmes d’Information) sont les garants de la cybersécurité. Ils sont chargés de mettre en place des équipements de sécurité adaptés aux infrastructures de l’entreprise et de sensibiliser les collaborateurs aux risques cyber.
Nos conseils :
La première étape pour vous protéger de cyberattaques est de vous doter d’un équipement informatique efficace et régulièrement mis à jour.
- Choisissez une messagerie sécurisé :
Le courriel est dans une entreprise l’un des moyens de communication les plus utilisés. Il fait aussi régulièrement l’objet de cyberattaques, notamment en matière d’usurpation d’identité ou de fraude(Assurez vous que le fournisseur d’accès choisi soit à jour sur les standards de sécurité actuels).
- Protégez vos informations sensibles :
Les mesures de protection prises pour vos documents doivent être proportionnelles à la confidentialité et à la sensibilité des données contenues.
- Assigner un RSSI :
Afin d’organiser au mieux votre cybersécurité et dans la mesure de vos ressources, il peut être utile de désigner un responsable de la sécurité des systèmes d’information (RSSI).
- Sensibiliser :
Au-delà des outils à mettre en place, en tant que chef d’entreprise vous pouvez vous prémunir gratuitement contre beaucoup de ces menaces en ayant les bons réflexes, ainsi qu’en sensibilisant vos salariés. Un MOOC proposé par l’ANSSI sur secnumacademie.gouv.fr peut ainsi vous aider à en apprendre un peut plus sur les bonnes pratiques à adopter.
Aujourd’hui, l’enjeu de la cybersécurité est double : lutter efficacement contre la cybercriminalité et s’adapter en temps réel à l’apparition de nouvelles menaces. Vous pouvez retrouver l’actualité sur la cyber malveillance sur cybermalveillance.gouv.fr.