Blog GlobalSign

13 avr. 2018

L’éternelle quête de la sécurité

Pour les entreprises, l’un des meilleurs domaines dans lesquels investir est la cybersécurité. Le déferlement attendu de cyberattaques dans les quatre prochaines années devrait provoquer six mille milliards de dollars de dommages d’ici 2021. Toutes les entreprises sont potentiellement visées. Partout dans le monde, des hackers séduits par des perspectives de gains financiers sans précédent ont contribué à cette explosion de la cybercriminalité.

Même s’il semble impossible d’avoir toujours un coup d’avance sur les avancées technologiques, votre entreprise n’est pas condamnée pour autant. En maintenant le cap sur la sécurité, vous limitez les risques de pertes catastrophiques, en termes de données et sur le plan financier.

Cybercriminalité, prochaine menace majeure??

Notre dépendance croissante vis-à-vis des systèmes numériques ouvre sans cesse de nouvelles brèches dans lesquelles les hackers cherchent à s’engouffrer. Les derniers changements en matière de sécurité des cartes de crédit et des e-mails ne font qu’accroître le taux d’usurpations d’identités en ligne et d’autres cyber-délits. Le fait pour une entreprise d’investir beaucoup de temps et d’argent dans la cybersécurité ne la met pas pour autant à l’abri de tels actes.

Si le nombre d’attaques aléatoires recule, les stratégies de cybercriminalité ciblée, comme les campagnes de fraude au PDG (whale phishing) qui visent de hauts fonctionnaires et hauts dirigeants, sont en hausse. Cela s’explique notamment par le renforcement de la sécurité sur les cibles «?molles?» comme les cartes de crédit. Les hackers affûtent leurs armes et, à moins d’être préparés, les responsables d’entreprises paient cher cette nouvelle menace.

Des mesures de cybersécurité traditionnelles insuffisantes

Malgré une meilleure réactivité des entreprises face aux cyberdélinquants, les violations restent courantes. Les hackers se perfectionnent et contournent les mesures de cybersécurité traditionnelles. D’après une étude de « l’Usine Nouvelle » menée sur 374 entreprises françaises, plus de la moitié des petites structures interrogées ont été touchées par une attaque en 2016 (soit +13,4 points sur un an). Et près d’un tiers des PME attaquées font état d’un impact financier, contre 7,2 % des grandes entreprises.

Par ailleurs, BakerHostetler indique que 31 % des attaques qui aboutissent sont le fait de hameçonnage (phishing), et 24 % des attaques sont la conséquence d’une erreur humaine. Les pertes qui découlent de ces erreurs sont considérables?; pour la France, les pertes financières subies par les entreprises ont augmenté de 50% par rapport à l'année précédente. Elles sont estimées à 2,25 millions d'euros en moyenne.

La meilleure défense??

Pour réduire votre vulnérabilité, commencez par comprendre quelles sont les menaces auxquelles votre entreprise est exposée. La cybersécurité est un processus itératif?; mieux vaut donc revoir régulièrement vos pratiques de sécurité et tirer les leçons des succès comme des erreurs. Pour renforcer vos défenses en cas d’attaque, formez vos collaborateurs et adoptez des pratiques de cybersécurité.

Formation des collaborateurs

La cybersécurité de votre entreprise passe en grande partie par une bonne formation de vos collaborateurs. Il suffit d’une seule attaque réussie pour donner un coup d’arrêt à votre entreprise. C’est notamment le cas lorsqu’un employé se fait piéger par un e-mail d’hameçonnage et transmet accidentellement certaines informations non destinées à être divulguées. Les hackers ont sans cesse recours à de nouvelles techniques pour piéger leurs cibles dans le but d’ouvrir une porte d’accès à vos bases de données.

Nous vous recommandons de former vos équipes à reconnaître les principales techniques d’ingénierie sociale. En parallèle, organisez régulièrement des ateliers d’évaluation des menaces pour que vos collaborateurs soient capables de reconnaître les techniques les plus courantes, comme les arnaques de phishing, les rançongiciels et les arnaques par téléphone.

Pratiques de cybersécurité

La mise en œuvre de nouvelles routines de cybersécurité au quotidien accroît votre résistance en cas de violation.

  • Surveillez régulièrement les rapports de vulnérabilités de la Base de données américaine des vulnérabilités (National Vulnerability Database) ou de la base de données des avis de vulnérabilités du CERT (CERT Vulnerability Notes Database).
  • Utilisez les alertes Google ou les flux RSS pour vous tenir informé des violations de sécurité au niveau national.
  • Conservez une trace des attaques déjouées et partagez en interne toutes les informations vitales pour la sécurité.
  • Exigez une authentification à 2 facteurs et des mots de passe renforcés.
  • Utilisez un logiciel de chiffrement pour vous défendre contre les principaux virus.
  • Pensez à faire appel à un cabinet spécialisé en cybersécurité pour évaluer les vulnérabilités de votre entreprise.
  • Enquêtez sur les pratiques de sécurité adoptées par tout fournisseur externe avec lequel votre entreprise est en relation.

Protection intégrale : un leurre

Il sera finalement bien difficile pour votre entreprise d’être intégralement protégée en cas d’intrusion. Que l’on soit un technophile averti ou particulièrement bien formé, personne n’est à l’abri d’une attaque de phishing. Les hackers innovent en permanence et déploient des trésors d’imagination pour faire tomber les défenses de votre entreprise. Impossible de résoudre chaque vulnérabilité au rythme auquel avance la cybercriminalité. Les intrusions sont, on le sait, également très difficiles à repérer — la durée moyenne nécessaire pour les détecter dépassant bien souvent les 100 jours.

Repensez votre protection

Au lieu de compter sur les mesures classiques pour mettre votre entreprise à l’abri des menaces, repensez plutôt votre protection. Pour protéger votre entreprise et mesurer le rapport coût-efficacité de vos mesures de sécurité, le cabinet BBB recommande de gérer les risques plutôt que de les limiter. Pour être certain de bénéficier du meilleur service au meilleur coût, calculez le rapport coût-efficacité de plusieurs services de protection de la cybersécurité.

La prévention de la perte de données est aussi importante que l’évaluation des risques. Seules 35 % des entreprises restent rentables pendant les trois mois qui suivent la perte de données critiques après une attaque. Quant à l’érosion de la confiance de vos clients, les conséquences financières peuvent être encore plus lourdes.

Les interventions sur incident et la phase de récupération comportent plusieurs étapes. La dernière chose à faire est de penser que votre entreprise n’intéressera aucun hacker. Toutes les entreprises sont des cibles potentielles, personne n’est à l’abri.

D’après un rapport du Programme pour les analystes de l’Institut SANS, seulement 9 % des personnes directement impliquées dans une intervention sur incident faisaient état de processus d’intervention «?très efficaces?». En cause : un manque de temps pour mettre en pratique le plan et des budgets insuffisants pour l’achat d’outils. Or, malgré ce peu de confiance dans l’efficacité de leurs processus d’intervention, 61 % des personnes interrogées évoquaient au moins un incident de sécurité majeur subi par leur entreprise rien qu’entre 2012 et 2014. Violations de données, accès non autorisés, attaques par DOS et infections par malwares figuraient dans la liste des incidents incriminés. Et tristement, ce chiffre devrait continuer à grimper.

Étude de cas : réactivité et sauvegardes régulières, le duo gagnant pour se préparer au pire

Responsable informatique d’une petite entreprise de Salt Lake City, dans l’Utah aux États-Unis, Jordan Drake disposait d’un plan d’intervention sur incident lorsque l’ordinateur d’un des employés fut infecté par un fichier PDF qui contenait un malware. Ce CryptoLocker chiffre les fichiers d’un ordinateur pour en verrouiller l’accès. Si vous avez besoin d’accéder à un fichier Excel d’une importance capitale, vous vous retrouvez alors à la merci de votre rançonneur. Une fois la somme demandée réglée via des canaux anonymes, vous obtenez le mot de passe permettant de débloquer le fichier ou pas. Jordan Drake savait que les employés de l’entreprise recevaient souvent des PDF de leurs clients. Aussi avait-il pris ses précautions. Mais il suffit d’un seul clic malencontreux pour que ce soit la catastrophe. Et c’est exactement ce qu’il s’est produit.

Dans ce cas, l’ordinateur n’avait accès qu’aux comptes d’un seul département. Il fut rapidement déconnecté du réseau. Jordan Drake fut alerté et l’incident, qui aurait pu faire perdre à la petite entreprise d’importantes quantités de données et sommes d’argent, se solda par une journée de travail perdue pour l’employé concerné. Comme les systèmes en place étaient configurés pour sauvegarder les données à certaines heures précises vers un système dans le cloud, seule une quantité marginale de données ne put être récupérée après restauration complète de l’ordinateur. Grâce à une bonne planification, ce qui aurait pu tourner à la catastrophe ne fut qu’un désagrément.

Conseils pour limiter les pertes

Il est malheureusement impossible de savoir ce que vaut un plan d’intervention sur incident tant que l’on n’a pas été la cible d’une attaque. Rien ne vous empêche cependant de vous préparer dès maintenant pour limiter les pertes. Désignez une personne dans votre entreprise qui sera responsable des opérations en cas d’intervention sur incident. Définissez clairement les rôles et au besoin, faites appel à une société extérieure pour partir du bon pied.

Conservez les journaux détaillés de ce qui s’exécute sur vos systèmes. En cas de violation, vous pourrez ainsi consulter les accès, voir ce qui a été enlevé ou ajouté. Ne vous contentez pas d’identifier le mode opératoire et l’emplacement de l’infraction, mais étudiez ce qui a disparu et ce qui a pu être déposé. Il serait dommage de passer à côté d’une porte dérobée créée pour permettre à l’assaillant de revenir ultérieurement récupérer de ce qu’il aurait omis de prendre la première fois.

Sachez qui prévenir en cas d’infraction et quand donner l’alerte, même si l’attaque initiale est terminée et que la vulnérabilité est corrigée. Surtout, n’enterrez pas l’affaire et ne faites pas comme si de rien n’était. Pensez à prévenir les dirigeants, actionnaires, clients concernés, etc. Vous allez maintenant devoir revoir et actualiser votre plan d’intervention sur incident. Étudiez avec lucidité ce qui a bien — et moins bien — fonctionné et utilisez ces informations pour améliorer et faire évoluer votre plan.

Même s’il paraît ardu de renforcer et pérenniser la sécurité de votre entreprise, cela reste possible. Faites appel à des experts compétents, dans votre organisation et à l’extérieur, et tenez-vous informé des évolutions sectorielles pour qu’il ne soit pas compliqué de protéger vos résultats financiers, vos collaborateurs et vos clients. Si une bonne planification vous semble trop coûteuse, cela ne vaut-il pas mieux que de tout perdre??

À propos de l’auteur

Technophile avertie, Shea Drake est une experte des questions de business development, de croissance et de cybersécurité. Lorsqu’elle n’écrit pas sur les technologies, cette passionnée de photographie établie dans l’Utah, aux États-Unis, adore voyager.

Partager ce blog