Toutes
les entreprises, de l’auto-entrepreneur à la multinationale, sont concernées.
La question n’est pas « si » mais « quand » l’attaque aura lieu.
Nicolas Touchet,
associé membre affilié Walter Allinial, et Mehdi Lahkim, responsable des
systèmes d’information, décryptent les différentes facettes de la
cyber-criminalité et proposent un plan de défense pour s’en prémunir.
Elle est loin, l’époque
où un mail malfaisant bourré de fautes d’orthographe était facile à détecter.
Aujourd’hui, le piratage est passé à une tout autre dimension. Les attaques
cyber sont de plus en plus ciblées et subtiles. Les hackers peuvent consacrer
plusieurs mois à les préparer, et, grâce à l’intelligence artificielle,
récolter une multitude d’informations sur leur cible qui aura les plus grandes
difficultés à déceler la fraude.
> Des groupes de
pirates de plus en plus organisés
S’il existe toujours
des pirates « solitaires » qui tentent plus ou moins adroitement de vous
soutirer de l’argent, il faut être conscient qu’aujourd’hui, il existe de
véritables groupes de pirates, de plus en plus structurés, et spécialisés. Par
exemple, certains se spécialisent en phishing, d’autres en recherche de failles
de sécurité sur Windows, d’autres en recherche de failles sur les téléphones
mobiles, etc. Plus les groupes sont spécialisés, plus ils sont « compétents »,
donc efficaces et dangereux pour leurs cibles.
> Trois principaux
objectifs d'attaque
Les types d’attaque
sont de trois ordres. Les deux premiers concernent directement les entreprises,
le troisième est d’ordre géopolitique
- les attaques qui ont
pour objectif un gain financier. C’est le cas, entre autres, des piratages de
boîtes mails, classiques, de l’hameçonnage, des blocages informatiques avec
demande de rançon qui ont tous le même objectif : soutirer de l’argent aux
entreprises.
- les attaques
économiques,
beaucoup plus stratégiques puisqu’il s’agit là d’espionnage industriel. Et
attention, à partir du moment où elles développent un produit ou un service
innovant, les PME qui détiennent un secret industriel ne sont pas à l’abri. Il
peut s’agir également de campagnes de dénigrement pour déstabiliser une
entreprise.
- les attaques géopolitiques. Des Etats peuvent
financer des groupes de pirates qui auront pour mission soit de déstabiliser un
autre Etat ou une région, soit de mener des attaques permettant de financer
ledit Etat.
> Mettre en place
une panoplie d'actions pro-actives
Face à cette professionnalisation du piratage, un certain nombre de dispositions doivent être impérativement prises par les entreprises, et couvrir aussi bien les aspects techniques qu’humains. Ces trois premières mesures sont totalement incontournables :
- installer des
systèmes de protection technique capables de détecter les attaques en temps réel,
d’alerter l’utilisateur et de le protéger… contre lui-même ;
- former toutes les
équipes au sens large,
et dispenser une culture d’entreprise selon laquelle, au moindre doute, les
utilisateurs doivent avoir le réflexe de s’adresser au service informatique ;
- consolider les prérequis
techniques :
la robustesse des mots de passe, la double authentification pour les accès et
les opérations à enjeu, la mise à jour des machines et des logiciels. Il faut
bien comprendre que dans la course entre les pirates d’une part, et les
informaticiens des constructeurs de machines et de logiciels d’autre part,
mieux vaut ne pas attendre un mois avant d’installer la mise à jour recommandée
!
Ensuite, il s’agit de
formaliser deux plans d’actions :
- un plan de
continuation d’activité, qui préparera soigneusement et décrira en détails comment,
après une attaque, l’entreprise est capable de poursuivre son activité en mode
dégradé ;
- un plan de reprise
d’activité,
après une attaque ayant généré l’interruption totale de l’activité.
Cela suppose
d’installer un système de sauvegarde en propre, et, surtout, de tester la
restauration des sauvegardes, de disposer de disques durs qui répliquent, de
sauvegardes « à froid », totalement coupées du système fonctionnel.
Quand on parle de sauvegardes, les opérationnels pensent aux sauvegardes de données, or les sauvegardes des machines et des serveurs sont tout aussi cruciales. Certaines entreprises peuvent avoir plusieurs systèmes d’information différents, des dizaines d’applications différentes ; il peut s’avérer très compliqué de disposer d’une cartographie exhaustive de ces systèmes et de tester toutes les restaurations de sauvegardes.
> Bien étudier les contrats avec ses prestataires
La gestion de la
relation avec les fournisseurs de logiciels est primordiale. Il est courant que
les entreprises utilisent des logiciels en mode SaaS, qui sont donc « dans les
nuages », ou sur des serveurs extérieurs, et pas sur les serveurs physiques de
la société. Pour Nicolas Touchet : « Il est indispensable que
l’entreprise étudie tous les contrats qui la lient à des constructeurs de
machines, à des éditeurs de logiciels ou autres, afin de déterminer qui a la
responsabilité de la restauration des sauvegardes en cas d’attaque. Si c’est
nécessaire, même si cela engage un budget, elle ne devra pas hésiter à faire
appel à un avocat spécialisé qui procèdera à une revue contractuelle. »
Même sans parler
d’attaque, personne n’est à l’abri d’un accident : le cas de l’hébergeur
dont les bâtiments abritant les serveurs physiques avaient brûlé, entraînant la
perte totale de leur site internet et d’autres données pour des centaines
d’entreprises, avait fait grand bruit il y a quelques années. Ces entreprises
avaient omis d’étudier le contrat, ce qui leur aurait permis de découvrir que
ledit hébergeur ne portait pas la responsabilité des sauvegardes…
> Souscrire une
assurance cyber
Les entreprises ont tout intérêt à souscrire un contrat d’assurance cyber pour couvrir, en cas d’attaque subie et aboutie, les préjudices, les pertes directes, les pertes d’exploitation, etc. Une telle assurance peut également englober un service d’assistance en cas d’attaque.
Un autre avantage : la
souscription d’un tel contrat obligera les entreprises à réfléchir à leur
cybersécurité en amont, les assurances exigeant des prérequis techniques avant
d’accepter d’assurer.
> Etablir une
check-list des dispositions urgentes à prendre en cas d'attaque
En cas d’attaque cyber,
la fuite de données étant susceptible d’avoir des impacts sur le RGPD, il
conviendra dans ce cas de se rapprocher de la CNIL.
Bien évidemment,
l’entreprise devra aller porter plainte, sachant qu’il existe des départements
spécialisés de la police et de la gendarmerie ; et faire une déclaration auprès
de son assureur.
Dans toutes ces
démarches, préventives et curatives, l’ANSSI – agence nationale de la sécurité
des systèmes d’information –, peut accompagner les entreprises.
Dans la cartographie
des risques, au niveau mondial, ceux liés à la cybercriminalité sont parmi les
plus importants. Malgré toutes les précautions prises, personne n’est à l’abri.
Citons pour exemple l’attaque récente d’une banque asiatique, où des pirates
ont réussi à détourner 30 M€. Et pourtant… le responsable comptable a suivi
toutes les procédures, sauf que, lors d’une visio-conférence où il discutait
avec ses supérieurs, les pirates ont réussi à prendre le contrôle de la
réunion, en direct, et à modifier les voix et les messages…
Le risque ne pourra jamais être totalement supprimé, mais une bonne prévention et une rigoureuse préparation pourront en atténuer les effets.