Transition numérique : Cyber-sécurité, anticiper les risques pour renforcer sa pérennité
Phishing, ransomware, vol de données... Les attaques informatiques ne montrent aucun signe de faiblesse. Et elles ont un impact fort sur le business des entreprises. Selon le baromètre du risque Allianz 2019, le montant de la perte moyenne assurée d’un cyberincident est de 2 millions d’euros. Mettre en place une politique de sécurité devient indispensable pour renforcer la pérennité de son activité et être en conformité avec les règlementations. Par Philippe Richard.
Rien de nouveau ou presque dans le paysage de la cybercriminalité. Exceptées des attaques très sophistiquées et minutieuses visant des grands comptes sensibles ou leurs sous-trai- tants, les techniques et les motivations restent les mêmes. Selon une étude du cabinet Wavestone, s’appuyant sur des données de septembre 2018 à août 2019, l’appât du gain financier reste le moteur principal (43 %) des cybercriminels. Ces attaques sont issues de ransomwares (virus chiffrant les fichiers et demande de rançon) pour la majorité des réponses des incidents qu’il a étudiés (36 %), suivies des actions frauduleuses (7 %). La deuxième motivation des attaquants est le vol de données, tant métiers que techniques. Cela représente 34 % des attaques analysées. 4 % visent à nuire à l’image de l’entreprise via de la défiguration de sites web, le vol de comptes sur les réseaux, etc.
BAISSE DU CHIFFRE D’AFFAIRES
Autre constat : plus de la moitié des attaquants ne présentent pas de compétences techniques avan- cées. La majorité des cyberattaquants sont oppor- tunistes (65 %), ils ne relèvent pas d’un haut niveau de technicité ou ne visent pas une organisation en particulier. C’est un constat récurrent depuis des années : ce sont les entreprises qui sont faibles, pas les attaquants qui sont forts. Elles ne perdent pas seulement des données sensibles. Elles perdent également du temps et des clients ou prospects. Le vol ou la fuite d’informations liées à la propriété intellectuelle peut entraîner la perte de centaines d'heures de développement d’un projet, impacter la croissance et entacher la réputation d’une organisation. En cas de crise avérée, au moins 6 semaines sont nécessaires pour une reconstruction saine constate le cabinet Wavestone. Ces semaines de reconstruction ont, pour la plupart des cas, un impact fort sur l’activité de l’entreprise et sur son chiffre d’affaires.
Et aucun secteur d’activité n’est épargné. Les enseignes Go Sport et Courir ont été touchées par un ransomware fin octobre 2019. Go Sport a dû fermer deux magasins pendant une journée tandis que le système d'encaissement de Courir a été sérieusement impacté. “La perte a été estimée entre 10 et 20 % du chiffre d'affaires durant les deux semaines qui ont suivi”, a indiqué Pierre Chambaudrie, président de Courir, à Challenges. Différents hôpitaux ont également subi des cyberattaques. Dans ce contexte de plus en plus délétère, les entreprises multiplient les investissements. Mais le déploiement de différentes solutions de sécurité, plus ou moins efficaces, ne sert à rien si les serveurs et les postes de travail ne sont pas mis à jour régulièrement! Ils représentent toujours le principal point d’attaque. Il est indispensable d’intégrer rapidement les correctifs de sécurité proposés par tous les éditeurs afin de limiter les risques d’infection. Cette règle s’applique aussi bien aux ordinateurs fixes et portables qu’aux smartphones !
Ne maîtrisant pas les outils qu’elles déploient pour répondre aux besoins des métiers, les entreprises facilitent la tâche des pirates ! Une étude de Check Point rappelait que les quatre principales vulnérabilités citées par les personnes interrogées sont les accès non autorisés au cloud (42 %), les interfaces non sécurisées (42 %), les erreurs de configuration du cloud (40 %) et les détournements de comptes (39 %). Si une très forte majorité (80 %) affirme avoir déjà été confrontée à des problématiques de sécurité, la moitié reconnaît avoir une mauvaise visibilité de leur réseau. “Dans un monde hyperconnecté, tous les maillons d’une entreprise présentent, à un moment ou un autre, des failles.” Or toutes les entreprises n’ont pas encore intégré cette problématique de gestion des accès et la règle du “moindre privilège”. On ne doit donner les droits d’accès à une ressource qu’aux personnes ayant un besoin légitime d’y accéder.
CHIFFRER SES DONNÉES
Selon le cabinet Gartner, en 2020, seuls 40 % des PME et des grands comptes auront par exemple déployé des solutions de PAM (Privileged Access Management) pour répondre aux problèmes de sécurité du cloud. Les entreprises doivent intégrer les menaces numériques dans leur gestion des risques, en adoptant les bonnes pratiques. La cybersécurité ne doit plus être vue comme une logique de produits développée par les éditeurs ; elle doit être un d’état d’esprit et une méthode. Cela implique une politique de sécurité adaptée au contexte. L’être humain reste toujours le maillon faible. Il n’a jamais été sensibilisé aux risques numériques par des formations ad hoc, régulières et variées. Tous les échelons d’une organisation doivent les suivre, car tout le monde accède et partage des informations sensibles. Le risque “humain” peut aussi venir des prestataires. Chaque personne extérieure à l'entreprise doit être identifiée et sa mission doit être encadrée. Afin d’assurer la pérennité de son activité, il est indispensable de renforcer la confidentialité de ses données critiques et personnelles . On ne le répètera jamais assez, mais seul le chiffrement des informations garantit leur confidentialité. Combien de cadres nomades disposent encore d’un PC portable avec un disque dur non chiffré ? En cas de perte ou de vol (les malfrats savent aujourd’hui que le matériel a souvent moins de valeur que les données qu’il stocke…), les conséquences sur le business peuvent être très fortes. Contrairement à une idée reçue et partagée par de nombreux métiers, cette solution n’est pas handicapante. Il existe des techniques qui sont transparentes et n’altèrent pas le travail des équipes. Il convient aussi de séparer les réseaux. Il est nécessaire de créer des zones distinctes pour les serveurs et les postes de travail. Dans l’idéal, le réseau de l’administration doit être distinct de celui des utilisateurs, et les postes de travail de ce réseau d’administration n’ont pas d’accès à Internet. En cas d’attaque par un ransomware, cette séparation permet d’endiguer la propagation du virus. Toujours à propos des réseaux, le Wi-Fi représente une faille de sécurité dans de nombreuses entreprises. La compromission d’un réseau sans-fil donne accès à l’ensemble des flux réseaux qui y sont échangés. “La sécurité informatique, c’est l’affaire de tous !” 93 % des brèches des cyberattaques ciblent spécifiquement des personnes (et
96 % de ces attaques se font via l’e-mail), déclare Ryan
Kleber, vice-président exécutif et expert cybersécurité chez Proofpoint. Pour être efficace, la sécurité doit être globale et proactive.
AUCUN SECTEUR D’ACTIVITÉ N’EST ÉPARGNÉ