Cybercriminalité, un risque pour tous les organismes ?
Déstabilisation, espionnage, sabotage, rançongiciel ou encore hameçonnage, l’imagination semble sans limites pour les pirates et autres hackers. Cette palette d’outils semble toucher aujourd’hui tout le monde, du particulier à l’entreprise internationale, en passant par les collectivités. Les conséquences sont elles aussi multiples et dépassent souvent de très loin l’achat de nouveaux ordinateurs. C’est en effet la crédibilité même de l’organisme victime qui est en jeu. Pour sensibiliser le plus grand nombre, le Cner nous aide à nous perfectionner dans l’art de la cyberdéfense…
Parce que les dangers du piratage sont malheureusement encore trop souvent sous-estimés, le Cner a consacré l’un de ses Rendez-vous du Cner, à la cybersécurité. Ces rencontres, imaginées pour informer et promouvoir les bonnes pratiques donnent la parole à des experts du développement économique des territoires. Quels sont les types de menaces pesant sur les entreprises? Quel est le risque économique engendré par ces menaces? Pourquoi la cybersécurité concerne-t-elle toutes les entreprises? Voilà autant de questions qui ont été posées par le CNER à Guillaume Laudière, Consultant Sécurité chez Orange Cyberdéfense.
Comme le souligne l’expert, la question « n’est pas tellement aujourd’hui de savoir à qui ça va arriver, mais de savoir quand ça va vous arriver ». En effet, ces dernières années, le nombre d’actes de cybermalveillance a considérablement augmenté. Pour la France, les pertes financières subies par les entreprises ont augmenté de 50% par rapport à l’année 2016. Elles sont estimées à 2,25 millions d’euros en moyenne.es attaques utilisent des formes très diverses. Ainsi, le ransomware représente 61 % des cas, le déni de service 38 % des attaques. La défiguration de site web s’élève à 23 % et enfin le vol de données personnelles est à hauteur de 18 %. « Nous sommes aujourd’hui face à une quantité de failles et de menaces tellement énormes que tout le monde peut être touché, petite structure, collectivité ou grande entreprise ». Les hackers s’intéressent prioritairement aux vulnérabilités bien connues et aux faiblesses « structurelles » de nos systèmes informatiques. Une mauvaise configuration ou le refus de lancer les mises à jour de l’éditeur peuvent par exemple nous exposer à d’importantes attaques.
Pour Guillaume Laudière, il est donc primordial que chaque organisme commence par s’interroger sur les informations qu’elle doit protéger coûte que coûte. Autrement dit, d’imaginer ce qui se passera si telle ou telle information n’est plus accessible. Concrètement, quels sont les risques « si une donnée personnelle fuit dans le cadre du GDPR ? Quelles sont les conséquences si telles ou telles données sont indisponibles dans le cadre de mon activité commerciale ? La priorité, « c’est de protéger son information, car elle a une valeur pour l’entreprise : si on la vole, on la modifie, on la confisque, l’impact peut être irréversible. Des petites structures se sont vues mettre la clé sous la porte par ce qu’elles n’ont pas imaginé qu’elles pourraient être un jour attaquées ».
Mais face à ces menaces, quels comportements adopter ? « Pour mettre en place un process de cyber sécurité, on a en général trois leviers d’actions » précise Guillaume Laudière, « le premier relève de l’organisation de la sécurité. Cela nécessite de se structurer, en identifiant des responsables et en réalisant des analyses de risques sur ses activités pour identifier les mesures de protection». Il s’agit donc de mettre en place des processus et bien évidemment de les contrôler.
Le second levier est plus technique, la cyberdéfense nécessite des investissements en matériel dédié spécifiquement à la sécurité. Il existe une multitude de propositions dans ce domaine, avec par exemple des protections anti-DDoS dans le cas d’un site d’achat en ligne. Ce type d’attaque vise à rendre un serveur indisponible en saturant la bande passante de ce dernier pour le rendre injoignable. Plutôt que de viser un gain financier immédiat, les APT (pour Menace Avancée Persistante) ciblent quant à elles le vol de propriété intellectuelle. Les attaques sont par conséquent discrètes et prolongées.
Comme le rappelle souvent l’Agence nationale de la sécurité des systèmes d’information (ANSSI), pour être protégé, « 5 à 10 % du budget global de l’entreprise devrait être alloué à la cybersécurité. La sécurité a un coût, mais ce n’est pas grand-chose comparé au prix à payer lorsqu’on est victime d’une attaque informatique ». En effet, ce pourcentage est à analyser au regard des pertes potentielles. On estime à 800 000 euros, le coût moyen d’une violation de sécurité. L’exemple de TV5 Monde reste dans tous les esprits depuis un hacking à grande échelle en 2015. La facture a été plus que salée : 4,6 millions d’euros ont été nécessaires pour réparer les dégâts. À cette somme, la chaîne va devoir ajouter 2,5 millions d’euros par an pour conserver un niveau de sécurité suffisant…
Enfin, le 3ème levier, concerne les utilisateurs qui vont manipuler l’information, qu’elle soit personnelle, liée au métier, transverse lié à l’entreprise. L’utilisateur doit être sensibilisé aux conséquences de ses actions. Quand il reçoit un mail de phishing, il doit être capable de le détecter et de le supprimer. En résumé, d’appliquer les bonnes pratiques et de s’assurer que l’ensemble des collaborateurs le fait également. Aussi, suivre une sensibilisation ou une formation spécifique, lorsqu’on exerce dans des domaines d’activités qui sont reconnus comme à risque, n’est pas superflu : « Il est bon de prendre le temps de se sensibiliser et de se former par exemple au développement sécurisé sur des applications mobiles pour éviter d’avoir des failles par la suite ».
Avant même de suivre des sensibilisations ou des formations, rendez-vous cyberdefense.orange.com . Vous y découvrirez un panorama de ce qui peut être mis en place. On trouve également de nombreux conseils sur les sites de la CNIL et de l’Anssi. Comment détecter un message malveillant ? Comment évaluer le niveau de sécurité des données personnelles de votre organisme ? Ou encore, comment apprendre à utiliser un gestionnaire de mot de passe ? L’Ansii met à disposition par exemple des recommandations pour choisir des pare-feux maîtrisés dans les zones exposées à Internet ou pour mettre en place un cloisonnement système.
