Dans un monde totalement digitalisé, le cyber risque doit être pris au sérieux

Le cyber risque. Comment cela se manifeste-t-il, en réalité ? La PME est-elle concernée ? Comment réduire ce risque quand on a « le nez sur le guidon » ? Un entretien avec Romuald Blondel de la société Cybex Assistance. (cybex-assistance.com)

Cyber risque : y a-t-il urgence ? 

Les médias n’en parlent pas ou peut-être pas de la bonne façon. On occulte le fait que 6 entreprises sur 10 mettent la clé sur la porte après un premier incident cyber. Notre monde est totalement digitalisé. Toute l’activité, la production ou encore la gestion commerciale et comptable d’une entreprise, est informatisée et quand le système d’information est touché, l’entreprise ne peut plus rien faire. Un incident de cybersécurité, c’est au mieux 3 semaines d’incapacité à produire, à honorer ses commandes, à gérer ses stocks mais bien souvent les conséquences sont encore bien présentes 6 mois après les premiers symptômes avec des répercussions sur le chiffre d’affaires, des pertes d’exploitation et une atteinte à l’image.

D’ailleurs, les systèmes d’information ne passionnent pas les chefs d’entreprise. Certains disent, même, « je suis un petit plombier, rien ne peut m’arriver ». Au contraire. Ils sont souvent moins préparés et armés à faire face à un incident et l’impact est d’autant plus fort.

Et pourtant, il en faut peu pour réduire ce risque ! S’acculturer aux bonnes pratiques en matière de sécurité, simples à mettre en œuvre, est un premier pas et permet de réduire considérablement son exposition au risque Cyber.

Qu’est-ce que le cyber risque ? 

On pense attaque malveillante, alors que ce n’est qu’une partie de la question. 

Le cyber risque est une atteinte au système d’information et aux données informatisées de l’entreprise. Cela peut venir d’un acte malveillant, d’une défaillance technique ou d’une erreur humaine. Et il faut entendre système d’information dans son acception la plus large, y compris, par exemple, les téléphones portables des collaborateurs. 

L’attaque malveillante peut être celle d’un virus suite au téléchargement d’une pièce jointe compromise, l’installation d’un logiciel au cours d’une navigation sur un site peu fiable, le phishing ou hameçonnage (un mail d’un émetteur se faisant passer pour un tiers de confiance et qui vous demande des informations confidentielles), mais aussi toutes les formes d’intrusion sur les systèmes par une porte dérobée à des fins d’espionnage ou de sabotage, ou encore le ransomware, ce type d’attaque actuellement très répandue, qui exfiltre et crypte vos données avec la volonté de vous faire payer une rançon.

On n’a pas de chiffres fiables en matière de cyber risque, le sujet reste tabou, beaucoup d’entreprises se terrent dans le silence plutôt que d’avouer qu’elles ont fait l’objet d’un incident. On sait seulement que l’augmentation des attaques est très importante. Certaines études mondiales parlent d’un facteur 5 en un an, entre 2019 et 2020. Et de plus de deux en France. Les attaquants sont purement opportunistes. Ils n’ont pas de cible précise, seulement les entreprises dont les systèmes peuvent présenter des vulnérabilités ou des failles exploitables, quel que soit leur secteur d’activité ou leur taille.

On sait aussi que 65% des incidents ont pour origine une erreur humaine. Je ne dis pas que le collaborateur est le maillon faible, il est juste en première ligne et c’est souvent l’absence de sensibilisation au risque ou même de formation sur les usages en matière informatique qui va ouvrir la porte à un attaquant et faciliter son travail destructeur, avec toutes les répercussions financières qu’un incident peut engendrer. Cela peut consister en de mauvaises manipulations, des écrasements de fichier, mais aussi des formes d’ingénierie sociale, ces manipulations psychologiques dont peuvent faire l’objet certains cadres d’une entreprise pour agir parfois inconsciemment et en dépit du bon sens. Je pense notamment aux fraudes au président ou aux arnaques au faux RIB ou au faux support technique, encore très présentes dans les PME.

Y a-t-il des gestes qui sauvent ? 

La première chose à faire est une prise de conscience. Le sujet est occulté. Les chefs d’entreprise pensent trop souvent que cela ne les concerne pas. Accepter le risque et se préparer à faire face à une attaque constitue une étape importante vers la résilience et permet d’envisager le problème sous un autre angle.

Je ne sais pas si on peut réellement parler de gestes qui sauvent, mais une attitude proactive face aux menaces et à l’écoute des premiers symptômes d’un incident peut freiner l’impact d’une attaque. Généralement, la règle est, même en cas de doute, d’isoler l’équipement qui présente des signes de compromission. Couper le wifi, retirer le câble qui relie l’ordinateur infecté au réseau, sans toutefois l’éteindre électriquement, reste la première des mesures urgentes pour éviter un phénomène de surcontamination et permettre aux équipes techniques d’investiguer dans de bonnes conditions.

En matière de prévention, la priorité est de vérifier périodiquement l’état de son système. L’audit de sécurité, qui peut être réalisé tous les ans ou tous les deux ans selon le niveau d’évolution de votre infrastructure et de ses équipements, permet d’avoir une photographie à un instant T de son système d’information avec une approche critique des points sensibles à corriger, selon la criticité et le niveau d’investissement à consacrer. Des experts en cybersécurité sont en capacité de procéder à cette analyse au cours d’investigations et de tests d’intrusion. 

Pour schématiser, il y a une douzaine de points à vérifier. Exemples :

  1. Les mots de passe. Très peu d’entreprises ont une politique de gestion des mots de passe, qui doivent être suffisamment longs et complexes, uniques par service et modifiés régulièrement. Il faut 45 secondes pour un utilitaire que l’on va trouver gratuitement sur internet pour « craquer » un mot de passe de 4 caractères. Plus le mot de passe va être long, plus le temps nécessaire pour le forcer dissuadera un attaquant de s’y attaquer.
  2. La mise à jour des logiciels et des équipements. Dès qu’un éditeur met à disposition une mise à jour, il faut la télécharger et l’installer. On trouve encore trop souvent des ordinateurs équipés de systèmes d’exploitation comme Windows dans des versions anciennes qui ne sont même plus maintenues. C’est dangereux et pourtant tellement simple à corriger.
  3. Le système de sauvegarde. Une procédure utilisant des disques durs externes connectés en permanence au système n’est pas efficace, car en cas d’infection sur le serveur ou l’ordinateur, tous les équipements connectés sont contaminés. La plupart des entreprises auprès desquelles nous intervenons nous disent avoir des sauvegardes mais elles ne testent jamais l’efficacité de leur procédure et il faut attendre l’incident pour se rendre compte que rien ne fonctionne ou qu’il manque des données dans le processus de sauvegarde. Cela peut paraître basique, mais c’est une réalité dans la plupart de nos interventions en gestion de crise.
  4. La gestion des profils administrateur et utilisateur pose également problème. Trop souvent, nous avons des entreprises avec tous les ordinateurs configurés avec des droits d’administration et des privilèges très larges. Dès la moindre compromission d’un ordinateur, vous offrez à l’attaquant la possibilité d’agir en toute discrétion sur tous les organes sensibles de votre infrastructure, ce qui ne serait pas possible avec un profil utilisateur. Il va pouvoir, par exemple, couper l’antivirus, télécharger des données cruciales pour votre activité, en effacer ou encore installer des logiciels servant de ressources dans le cadre d’attaques contre des systèmes tiers (attaque DDOS) et susceptibles d’engager votre responsabilité. On le voit, les possibilités d’exaction d’un attaquant sont nombreuses avec des conséquences souvent très lourdes.

Le risque est une question, souvent, de petites choses qui se cumulent. En adoptant quelques bonnes pratiques on peut le réduire très notablement. 

L’étape d’après consiste à installer des outils qui vont monitorer votre système et identifier les menaces. On parle de SOC (Security Operation Center) qui est une plate-forme permettant de superviser un système d’information au travers d’outils de collecte, de corrélation d’évènements et d’intervention sur site. C’est très utile pour détecter le moindre agissement suspect sur un système et cela constitue une bonne parade contre les ransomware par exemple qui, très souvent, ne se déclenchent que 3 ou 4 semaines après l’intrusion dans le système d’information. Plus vite est repérée la présence d’un attaquant ou l’activation d’un logiciel malveillant, plus simple sera la remédiation.

Comment trouver un prestataire ?

En ce qui concerne la gestion d’un incident, il y a beaucoup de monde. Il faut privilégier les prestataires qui sont spécialistes de la gestion de crise. Car ils ont l’habitude de trouver les ressources disponibles et dans un temps de réaction rapide. La gestion de crise répond par ailleurs à un cadre très formaté qui laisse peu de place à l’improvisation. Il faut faire appel à des experts techniques bien entendu mais aussi des spécialistes de la communication de crise ainsi que des compétences juridiques pour veiller au respect des obligations déclaratives dans le cadre du RGPD.

On peut souscrire une assurance Cyber qui permet d’avoir accès à ces experts en gestion de crise et de bénéficier de précieux conseils pour traiter efficacement un incident. Les assurances n’ont pas encore de volet Prévention mais c’est un sujet sur lequel nous travaillons avec elles pour leur apporter des solutions comme les analyses de maturité ou d’exposition au risque, les services monitorés de détection des menaces ou encore des programmes de sensibilisation au risque Cyber.

Quelle est l’histoire de votre entreprise et quelle est sa spécialité ?

Le cyber risque a plus de 30 ans, mais les choses ont changé en 2015. Auparavant, le cyber risque était plutôt perçu comme servant des causes idéologiques ou politiques. Aujourd’hui, le problème est devenu complexe, très technique, et concerne tout le monde, entreprises, professionnels, collectivités… avec un fort enjeu financier. Les velléités d’un cyber attaquant sont désormais lucratives. Les assureurs ont, alors, commencé à se pencher sur cette question. Un réassureur allemand nous a demandé de lui proposer des solutions. 

Au-delà du conseil, nous sommes une société d’assistance. Nous travaillons à 70% pour des compagnies d’assurance ou des courtiers qui nous confient la gestion des sinistres d’origine Cyber de leurs clients, et à 30% pour des entreprises de toutes tailles qui ont compris les enjeux de la fiabilité de leurs outils informatiques et ont besoin de vérifier leur exposition au risque d’un incident Cyber et de se préparer à y faire face. 

Nos services :

  1. Intervention en gestion de crise (technique, juridique et communication)
  2. Réponse à incident (analyses et recherches de compromission et de menaces, remédiation informatique)
  3. Prévention (audit de sécurité, tests d’intrusion, formation, simulation de crise, validation de PRA). Beaucoup de sensibilisation. C’est peu coûteux et efficace, mais cela demande du temps, et des piqûres de rappel fréquentes (« réfléchissez avant d’ouvrir un mail »…) 
  4. Conseil en sécurisation des systèmes d’information (sauvegarde, outils de sécurité EPP/EDR, SOC)

Notre assistance est disponible 7J/7 de 8H à 19H et nous traitons en moyenne 2 à 3 incidents par jour.

Une illustration

Manutan subit une cyberattaque : https://www.lemagit.fr/etude/Recit-comment-Manutan-sest-sorti-de-la-cyberattaque-du-21-fevrier

Publié par Christophe Faurie

Président association des INTERPRENEURS. Nos entreprises ont une créativité hors du commun : c'est la solution aux problèmes du pays.

Un avis sur « Dans un monde totalement digitalisé, le cyber risque doit être pris au sérieux »

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Créez votre site Web avec WordPress.com
Commencer
%d blogueurs aiment cette page :