Rappel des risques
Vol, destruction des données, indisponibilité du matériel informatique, extorsion de fonds… les conséquences d’une cyberattaque peuvent être importantes pour l’entreprise qui en est la victime.
Le vol...
Données commerciales, coordonnées personnelles et surtout bancaires, voire secrets industriels sont les cibles favorites des cyberattaques. Ainsi, quels que soient sa taille ou son secteur d’activité, une entreprise détient forcément des éléments d’informations à caractère personnel ou confidentiel susceptibles d’être piratés car tout simplement monnayables.
... et la perte de données
Mais l’attaque d’un virus ou le déploiement d’un cheval de Troie n’a pas pour seule vocation de subtiliser des informations. Quelquefois, l’ambition, bien plus dérisoire mais tout aussi lourde de conséquences, n’est que de détruire des données ou d’en empêcher l’accès.
À l’origine du vol ou de la perte, des attaques lancées le plus souvent automatiquement à partir d’ordinateurs infectés (virus, cheval de Troie, ver...), mais aussi par un hacker qui agit de l’extérieur.
Des outils indisponibles
Ordinateurs contaminés, réseau informatique ou site Internet rendus indisponibles… Ce type de risques peut rapidement se révéler problématique pour toute entreprise qui s’appuie fortement sur un système informatique pour exercer son activité.
L’indisponibilité de l’outil informatique peut résulter d’un virus informatique accidentellement « contracté » ou d’une attaque informatique volontairement menée contre l’entreprise tels qu’un déni de service (DoS), une attaque visant délibérément à rendre indisponible pendant un temps indéterminé les services ou les ressources d’une entreprise.
Pour parvenir à leurs fins, les pirates envoient un très grand nombre de requêtes aux serveurs de l’entreprise ou à ses sites Internet afin de les mettre en état de surcharge. Il devient donc impossible de les utiliser ou de les consulter. Et attention, le plus souvent les pirates, pour perpétrer leur attaque avec plus d’efficacité et sans risque d’être identifiés, n’hésitent pas à prendre le contrôle, via des malwares, d’ordinateurs appartenant à des tiers (souvent d’autres entreprises).
Dans cette hypothèse, il y a deux victimes : l’entreprise cible, dont les ressources informatiques sont momentanément hors-jeu, et l’entreprise « agresseur involontaire » qui voit également la disponibilité de ses machines mise à mal et qui, au surplus, devra démontrer sa bonne foi en cas de poursuites judiciaires.
L’extorsion
Le principe est le suivant : au lieu de voler des données pour les exploiter ou les vendre, le cyberdélinquant contacte sa victime pour la contraindre à lui verser de l’argent soit en la menaçant d’une attaque informatique si elle ne s’exécute pas, soit en lui demandant le versement d’une rançon après avoir pris les données présentes sur l’ordinateur en otage en les cryptant (via un rançongiciel).
Et ce risque d’être victime d’un rançongiciel est loin d’être théorique si l’on en croit la dernière étude de Kaspersky. Ainsi, entre le 1er et le 3e trimestre 2016, il a été constaté que le nombre d’attaques de ce type dont les entreprises, au niveau mondial, ont été victimes a triplé. Dès lors, leur fréquence est passée en quelques mois d’une attaque toutes les 2 minutes à une attaque toutes les 40 secondes.
Les bonnes pratiques à adopter
Outre mettre en place des solutions logicielles antimalwares, il faut faire en sorte que la sécurité devienne la préoccupation de tous les collaborateurs de l’entreprise et plus seulement du service informatique.
Les conseils de l’Anssi
Les PME ne sont pas toujours en mesure d’investir des compétences et de l’argent dans la sécurité de leurs solutions informatiques. Fortes de ce constat, la Confédération générale du patronat des petites et moyennes entreprises (CGPME) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ont publié un guide permettant aux PME de prévenir à peu de frais les conséquences d’une attaque informatique. Ce guide est mis à disposition gratuitement sur le site de l’ANSSI (www.anssi.gouv.fr).
Parmi les « bonnes pratiques » mises en lumière, on peut d’abord citer la création et l’administration d’un mot de passe. Sur ce point, compte tenu du nombre d’intrusions dont les entreprises sont victimes, il convient de rappeler à quel point il est important d’élaborer une véritable politique de gestion des mots de passe. À cette occasion, seront définis les règles de conception des mots de passe (dimension, composition), mais également leur mode de gestion (règles de communication, d’enregistrement dans les navigateurs, périodicité de changement).
Outre la gestion des mots de passe, le guide revient sur la mise en œuvre d’une politique de sauvegarde. Cette dernière, rappelons-le, est la seule parade véritablement efficace en cas de corruption des données par un virus, mais aussi dans l’hypothèse d’une prise d’otage par un rançongiciel. En effet, payer la rançon ne garantit en rien la « libération » des informations.
Le guide aborde également la sécurisation des réseaux Wi-Fi de l’entreprise, les précautions d’usage relatives aux tablettes et aux smartphones ou encore les règles de prudence à respecter lors de l’utilisation d’une messagerie électronique. Outre la mise en œuvre de ces principes, les entreprises sont fortement incitées à renforcer la politique de sécurité de leur équipement, par exemple en confiant à un collaborateur la responsabilité de la sécurité informatique. À charge pour lui de sensibiliser ses collègues (rédaction d’une charte) et de veiller au bon équipement des machines (pare-feu, antivirus…).
Un changement de culture
Souvent les salariés considèrent les mesures de sécurisation des systèmes, au mieux comme des pratiques étranges qui ne les concernent en rien, au pire comme un irritant opérationnel qui vient compliquer leur travail. Cette situation rend délicate la sécurisation d’une entreprise.
Dès lors, avant même la mise en place de solutions techniques, il est nécessaire qu’une prise de conscience s’opère au sein de l’entreprise pour que chacun comprenne que la sécurité est l’affaire de tous. Car en cas d’attaque non parée, c’est l’entreprise qui risque de disparaître. Cette culture de la sécurité doit être portée et encouragée.
Que faire en cas de cyberattaque ?
Le ministère de l’Intérieur préconise une démarche à suivre en cas de cyberattaque.
Sur son site Internet (www.interieur.gouv.fr, rubrique : Ma sécurité/conseils pratiques/ Sur Internet), le ministère de l’Intérieur préconise une démarche à suivre lorsque l’on est victime d’une cyberattaque :
- se déconnecter d’Internet ;
- faire un balayage de l’ordinateur au moyen du logiciel antivirus pour vérifier s’il est infecté et, le cas échéant, éliminer le virus ;
- procéder à une restauration complète de l’ordinateur si besoin ;
- faire appel à un expert si le fonctionnement de l’ordinateur est toujours compromis ;
- modifier tous les mots de passe ;
- procéder ensuite au dépôt de plainte au commissariat ou à la gendarmerie ;
- à cette fin, conserver des images en utilisant la fonction « Imprimer écran » ;
- lister tous les préjudices subis ;
- mais aussi, se munir de tous les éléments qui semblent pertinents : traces informatiques qui font penser à une attaque, fichier encrypté suite au virus, etc.
© Les Echos Publishing - 2018