Par Nicolas Touchet, associé membre affilié Walter Allinial, et Mehdi Lahkim, responsable des systèmes d’information
Toutes les entreprises, de l’auto-entrepreneur à la multinationale, sont concernées. La question n’est pas « si » mais « quand » l’attaque aura lieu.
Les différentes facettes de la cyber-criminalité – quel plan de défense pour s’en prémunir.
Elle est loin, l’époque où un mail malfaisant bourré de fautes d’orthographe était facile à détecter. Aujourd’hui, le piratage est passé à une tout autre dimension. Les attaques cyber sont de plus en plus ciblées et subtiles. Les hackers peuvent consacrer plusieurs mois à les préparer, et, grâce à l’intelligence artificielle, récolter une multitude d’informations sur leur cible qui aura les plus grandes difficultés à déceler la fraude.
> Des groupes de pirates de plus en plus organisés
S’il existe toujours des pirates « solitaires » qui tentent plus ou moins adroitement de vous soutirer de l’argent, il faut être conscient qu’aujourd’hui, il existe de véritables groupes de pirates, de plus en plus structurés, et spécialisés. Par exemple, certains se spécialisent en phishing, d’autres en recherche de failles de sécurité sur Windows, d’autres en recherche de failles sur les téléphones mobiles, etc. Plus les groupes sont spécialisés, plus ils sont « compétents », donc efficaces et dangereux pour leurs cibles.
> Trois principaux objectifs d’attaque
Les types d’attaque sont de trois ordres. Les deux premiers concernent directement les entreprises, le troisième est d’ordre géo-politique
– les attaques qui ont pour objectif un gain financier. C’est le cas, entre autres, des piratages de boîtes mails, classiques, de l’hameçonnage, des blocages informatiques avec demande de rançon qui ont tous le même objectif : soutirer de l’argent aux entreprises.
– les attaques économiques, beaucoup plus stratégiques puisqu’il s’agit là d’espionnage industriel. Et attention, à partir du moment où elles développent un produit ou un service innovant, les PME qui détiennent un secret industriel ne sont pas à l’abri. Il peut s’agir également de campagnes de dénigrement pour déstabiliser une entreprise.
– les attaques géo-politiques. Des Etats peuvent financer des groupes de pirates qui auront pour mission soit de déstabiliser un autre Etat ou une région, soit de mener des attaques permettant de financer ledit Etat.
> Mettre en place une panoplie d’actions pro-actives
Face à cette professionnalisation du piratage, un certain nombre de dispositions doivent être impérativement prises par les entreprises, et couvrir aussi bien les aspects techniques qu’humains. Les trois premières mesures sont totalement incontournables :
– installer des systèmes de protection technique capables de détecter les attaques en temps réel, d’alerter l’utilisateur et de le protéger… contre lui-même ;
– former toutes les équipes au sens large, et dispenser une culture d’entreprise selon laquelle, au moindre doute, les utilisateurs doivent avoir le réflexe de s’adresser au service informatique ;
– consolider les pré-requis techniques : la robustesse des mots de passe, la double authentification pour les accès et les opérations à enjeu, la mise à jour des machines et des logiciels. Il faut bien comprendre que dans la course entre les pirates d’une part, et les informaticiens des constructeurs de machines et de logiciels d’autre part, mieux vaut ne pas attendre un mois avant d’installer la mise à jour recommandée !
Ensuite, il s’agit de formaliser deux plans d’actions :
– un plan de continuation d’activité, qui préparera soigneusement et décrira en détails comment, après une attaque, l’entreprise est capable de poursuivre son activité en mode dégradé ;
– un plan de reprise d’activité, après une attaque ayant généré l’interruption totale de l’activité.
Cela suppose d’installer un système de sauvegarde en propre, et, surtout, de tester la restauration des sauvegardes, de disposer de disques durs qui répliquent, de sauvegardes « à froid », totalement coupées du système fonctionnel.
Quand on parle de sauvegardes, les opérationnels pensent aux sauvegardes de données, or les sauvegardes des machines et des serveurs sont tout aussi cruciales. Certaines entreprises peuvent avoir plusieurs systèmes d’information différents, des dizaines d’applications différentes ; il peut s’avérer très compliqué de disposer d’une cartographie exhaustive de ces systèmes et de tester toutes les restaurations de sauvegardes.
> Bien étudier les contrats avec ses prestataires
La gestion de la relation avec les fournisseurs de logiciels est primordiale. Il est courant que les entreprises utilisent des logiciels en mode SaaS, qui sont donc « dans les nuages », ou sur des serveurs extérieurs, et pas sur les serveurs physiques de la société. Pour Nicolas Touchet : « Il est indispensable que l’entreprise étudie tous les contrats qui la lient à des constructeurs de machines, à des éditeurs de logiciels ou autres, afin de déterminer qui a la responsabilité de la restauration des sauvegardes en cas d’attaque. Si c’est nécessaire, même si cela engage un budget, elle ne devra pas hésiter à faire appel à un avocat spécialisé qui procèdera à une revue contractuelle. »
Même sans parler d’attaque, personne n’est à l’abri d’un accident : le cas de l’hébergeur dont les bâtiments abritant les serveurs physiques avaient brûlé, entraînant la perte totale de leur site internet et d’autres données pour des centaines d’entreprises, avait fait grand bruit il y a quelques années. Ces entreprises avaient omis d’étudier le contrat, ce qui leur aurait permis de découvrir que ledit hébergeur ne portait pas la responsabilité des sauvegardes…
> Souscrire une assurance cyber
Les entreprises ont tout intérêt à souscrire un contrat d’assurance cyber pour couvrir, en cas d’attaque subie et aboutie, les préjudices, les pertes directes, les pertes d’exploitation, etc.
Une telle assurance peut également englober un service d’assistance en cas d’attaque.
Un autre avantage : la souscription d’un tel contrat obligera les entreprises à réfléchir à leur cybersécurité en amont, les assurances exigeant des pré-requis techniques avant d’accepter d’assurer.
> Etablir une check-list des dispositions urgentes à prendre en cas d’attaque
En cas d’attaque cyber, la fuite de données étant susceptible d’avoir des impacts sur le RGPD, il conviendra dans ce cas de se rapprocher de la CNIL.
Bien évidemment, l’entreprise devra aller porter plainte, sachant qu’il existe des départements spécialisés de la police et de la gendarmerie ; et faire une déclaration auprès de son assureur.
Dans toutes ces démarches, préventives et curatives, l’ANSSI – agence nationale de la sécurité des systèmes d’information –, peut accompagner les entreprises.
Dans la cartographie des risques, au niveau mondial, ceux liés à la cyber-criminalité sont parmi les plus importants. Malgré toutes les précautions prises, personne n’est à l’abri. Citons pour exemple l’attaque récente d’une banque asiatique, où des pirates ont réussi à détourner 30 millions d’euros. Et pourtant… le responsable comptable a suivi toutes les procédures, sauf que, lors d’une visio-conférence où il discutait avec ses supérieurs, les pirates ont réussi à prendre le contrôle de la réunion, en direct, et à modifier les voix et les messages…
Le risque ne pourra jamais être totalement supprimé, mais une bonne prévention et une rigoureuse préparation pourront en atténuer les effets.