Les menaces cybernétiques constituent un risque très important pour les entreprises. Néanmoins, la plupart d'entre elles n'ont pas mis en place de mesures d’urgence, d’assistance technique ou d'assurance pour éviter ces menaces ou en limiter les dégâts.
1. Les méthodes des hackers
Les méthodes employées par les cybercriminels sont de plus en plus sophistiquées. Toutefois, la technique de hacking la plus courante demeure l’hameçonnage par voie de courriels. Symantec, expert en sécurité Internet, estime que 156 millions de courriels d’hameçonnage sont envoyés chaque jour. Environ 8 millions sont ouverts et 800 000 liens sont activés. « Une attaque d’hameçonnage moyenne commence à s'exécuter dans la minute et demie qui suit le moment où elle a été envoyée à une entreprise », explique Xavier Leproux, Responsable souscription Cyber Risks chez ACE en France, citant une recherche mentionnée dans le Rapport d'enquête 2015 sur les compromissions de données de Verizon. « C'est le temps moyen qu'il faut à quelqu'un pour ouvrir le courrier et cliquer sur un lien. »
« En général, l'attaque d’hameçonnage commence à s'exécuter dans la minute et demie suivant le moment où elle a été envoyée à une entreprise. »
Xavier Leproux
2. Le coût croissant des attaques cybernétiques
En 2013, Symantec a détecté une hausse de 91 % des campagnes d’attaques contre des entreprises. Cela s’est traduit par une augmentation de 62 % du nombre de brèches de sécurité, avec plus de 552 millions d’identités exposées. Selon l’enquête 2014 réalisée par le département britannique Business, Innovation and Skills’ Information Security, une brèche de sécurité pourrait coûter entre 95 000 et 165 000 euros à une PME, et entre 860 000 et 1 650 000 euros à une grande entreprise.
3. Une fausse idée de l'informatique en nuage
De nombreuses entreprises craignent encore de mettre leurs données sur le cloud, car elles estiment que ce système est moins sûr que le stockage d’informations sur leurs propres serveurs. Cependant, Xavier Leproux affirme que le contraire peut aussi être vrai. « Le cloud comporte un grand nombre d'avantages, dont la sécurité réseau centralisée et la résilience intégrée, qui ne coûtent en général qu'une portion de ce que les entreprises dépenseraient pour s’équiper de la même manière », explique-t-il.
4. Les motivations diverses des hackers
Les pirates informatiques ont des objectifs différents. Certains sont intéressés par l’argent, d’autres ont des motivations politiques ou idéologiques, et d’autres encore n’ont pas vraiment de programme, comme ceux qui ont visé une aciérie allemande. Se servant du réseau de l’aciérie dont le nom n’a pas été divulgué, les cybercriminels sont parvenus à pénétrer dans son réseau de production et à modifier des systèmes de contrôle de sorte à empêcher un four d’être refermé. Cette attaque a causé d'importants dégâts à l’aciérie.
Fait troublant, une recherche réalisée par Ofcom, autorité de régulation et de concurrence indépendante de l’industrie des communications du Royaume-Uni, indique que plus de la moitié (55 %) des utilisateurs adultes d’Internet se servent du même mot de passe pour la plupart, voire tous les sites Internet.2
5. Les adeptes du télétravail
Bien que le télétravail soit de plus en plus apprécié des employés, sa pratique constitue un risque accru », selon Saïd Dami, Ingénieur préventionniste Cyber Risks, Europe Continentale Chez ACE. « Les entreprises font tout ce qui est en leur pouvoir pour s'assurer de la sécurité de leurs réseaux, mais avec le télétravail, les employés emportent les dispositifs hors du réseau. »
6. Les difficultés liées à la conformité
Il est prévu que le projet de régulation européenne sur la protection des données, qui vise à offrir des règles unifiées à tous les États membres de l’UE lors de sa mise en place en 2017, apportera au marché davantage de clarté –depuis longtemps nécessaire–, si les lois reçoivent le feu vert. « Si la régulation n'est pas approuvée, il est à craindre que les entreprises devront non seulement respecter les lois de 28 pays différents, mais également traiter avec 28 agences de contrôle, avertit Kyle Bryant. Les États peuvent peut-être respecter la même directive, mais les lois sont susceptibles d'être mises en œuvre différemment. Se conformer à tout cela est un véritable cauchemar. »
7. Chaque entreprise constitue une cible
Après la fusillade dans les locaux de Charlie Hebdo à Paris, la France a été la cible d’une vague d’attaques cybernétiques sans précédent qui a touché 19 000 sites Internet français. La plupart de ces attaques ont été réalisées par des groupes de hackers islamistes bien connus. Néanmoins, les sites visés n’étaient pas tous des cibles « logiques », et ils allaient de régiments militaires à une pizzeria. Dans le journal The Independent, Arnaud Coustillière, chef de la cyberdéfense à l’État-major des armées, a déclaré que ces attaques répondaient aux manifestations massives contre le terrorisme ayant suivi la fusillade.
« La sécurité la plus efficace est obtenue grâce à une technique de couches, l'anti-virus étant seulement l'une d’entre elles. »
Saïd Dami
8. Les logiciels anti-virus ne sont pas infaillibles
Après un hacking dirigé contre le New York Times en 2013, la société Symantec a publié un compte rendu dans lequel elle avertit que « le logiciel anti-virus seul n'est pas suffisant » pour bloquer les attaques cybernétiques. « La sécurité la plus efficace est obtenue grâce à une technique de couches, l'anti-virus étant seulement l'une d'entre elles, a déclaré Saïd Dami. Des procédures solides et la formation des employés sont également essentielles. »
9. Des mots de passe inchangés
L’une des manières les plus faciles de combattre la menace d’attaques d’hameçonnage consiste à s'assurer que les employés changent régulièrement le mot de passe de leur e-mail et de leur réseau. Fait troublant, une recherche réalisée par Ofcom, autorité de régulation et de concurrence indépendante de l’industrie des communications du Royaume-Uni, indique que plus de la moitié (55 %) des utilisateurs adultes d’Internet se servent du même mot de passe pour la plupart, voire tous les sites Internet.2
10. Penser à se préparer
« Ce à quoi vous devez aspirer, c’est à être aussi préparé que possible aux brèches de données, affirme Xavier Leproux. Il faut commencer par le haut de la hiérarchie et tout filtrer en descendant jusqu'au niveau le plus bas d’employés. En effet, la plupart du temps, c'est un employé qui répond à une attaque d’hameçonnage et rend ainsi le système vulnérable2. »
1. Les détails de l’incident sont mentionnés dans le rapport annuel du Bureau fédéral allemand de la sécurité des technologies de l'information.
2. Rapport 2013 d'Ofcom sur l'utilisation et l’appréhension des médias : http://stakeholders.ofcom.org.uk/binaries/research/media-literacy/adult-media-lit-13/2013_Adult_ML_Tracker.pdf