La prise de conscience de l’importance de la cybercriminalité au sein des organisations reste récente. Elle est aujourd’hui l’une des formes de criminalité qui connaît la plus forte croissance partout dans le monde. Le cybercrime s’est professionnalisé notamment avec des organisations de plus en plus structurées qui génèrent des revenus très importants : 1.500 milliards de dollars par an.
La cybercriminalité à la pointe de la technologie
Les cybercriminels ont développé de fortes expertises sur les technologies informatiques que nous employons au quotidien et sur leurs failles. Leurs démarches s’appuient bien évidemment sur les failles des systèmes, mais surtout sur les techniques d’ingénierie sociale afin d’inciter les utilisateurs à partager des informations confidentielles. Ils peuvent alors compromettre graduellement la sécurité informatique de toute l’organisation. En moyenne, les PME et ETI victimes d’une attaque subissent une perte d’exploitation comprise entre 1 semaine et 1 mois, des violations de leurs données sensibles et un impact financier de 200.000 €.
Les entreprises sont responsables de la sécurité de leurs propres données : soit par obligation business, soit par obligation réglementaire. L’impératif de protection des données de l’individu et de l’entreprise doit donc être au cœur de leur stratégie opérationnelle.
Lorsque les hackers sont dans la place, les conséquences sont souvent dramatiques pour l’organisation attaquée puisque les pirates détruisent, corrompent ou volent les données personnelles ou sensibles (liste de clients, tarifs, secrets industriels) pour mieux les exploiter ou les vendre sur le Dark Web.
Leur seconde source de revenu consiste à rançonner les entreprises en encryptant ou en supprimant les données du Système d’Information, y compris les sauvegardes, ce qui met totalement les entreprises à la merci des hackers.
Au-delà du préjudice, et parfois des rançons payées, elles exposent la faiblesse des entreprises attaquées sur leurs marchés, ce qui nuit bien évidemment à leur image.
Principaux modes opératoires des cybercriminels
- Hameçonnage (ou phishing) : courriels, sites web ou textos trompeurs pour voler de l’information.
- Harponnage (fraude au PDG) : courriels ciblés visant des personnes ou des entreprises.
- Appâtage : attaque d’ingénierie sociale, en ligne et physique, qui promet à la victime une récompense ou un cadeau.
- Maliciel : attaque qui fait croire qu’un maliciel a été installé sur l’ordinateur de la victime en lui offrant de payer pour le supprimer.
- Faux-semblant : fausse identité pour tromper les victimes et soutirer de l’information.
- Quiproquo : attaque utilisant un échange d’informations ou de services pour convaincre la victime d’agir.
- Talonnage : procédé basé sur la confiance humaine pour donner au criminel l’accès physique à un édifice ou une zone sécurisée.
- Hameçonnage vocal (Vishing = voice + phishing) : message téléphonique qui semble urgent pour convaincre les victimes d’agir dans la précipitation pour éviter une arrestation ou d’autres risques.
- Attaque par point d’eau : attaque d’ingénierie sociale sophistiquée qui infecte, par un logiciel malveillant, à la fois un site web et les internautes qui le visitent.
Comment se protéger ?
Les démarches « Cyber Sécurité » sont généralement organisées autour d’une Politique de Sécurité des Systèmes d’Information (PSSI) qui est l’équivalent d’un « Schéma Directeur » sur le plan de la sécurité informatique. Elle est, en principe, mise en œuvre par le Responsable de la Sécurité des Systèmes d’Information (RSSI) qui définit les objectifs à atteindre ainsi que les multiples moyens mis en œuvre. Ci-après quelques exemples :
- Antimalware et MDM (Mobile Device Management) : ce premier niveau de protection est essentiel. Les antimalware ou solutions MDM tels que Windows Defender, Trend ou Microsoft Intunes sécurisent et contrôlent les terminaux d’entreprise ou personnels et permettent ainsi l’application effective d’une politique de sécurité globale de type « Conditional Access » possiblement basée sur du MFA (MultiFactor Authentication) et d’autres critères comme les heures et lieux de connexion par exemple.
- Comptes à privilège : les comptes administrateurs permettent de gérer l’ensemble des actifs IT stratégiques de l’entreprise : on premise ou Cloud, matériels comme logiciels. En conséquence, ces comptes, qui chapeautent l’annuaire d‘entreprise, doivent respecter certaines bonnes pratiques : mots de passe complexes et renouvelés, authentification multi-facteurs, séparation des rôles et principe du moindre privilège.
- Cyber sensibilisation : pour aider à instaurer une culture de sécurité et un changement de comportement durable, un programme de sensibilisation interne à la sécurité doit être engagé de manière efficace auprès de tous les utilisateurs. Il est la condition sine qua non pour réduire significativement le risque issu des utilisateurs.
- Charte informatique : la PSSI est complétée par une Charte informatique, qui délimite de manière synthétique les droits et devoirs des utilisateurs vis-à-vis du Système d’Information.
Dès aujourd’hui, la cybercriminalité est capable de mettre en péril la survie des entreprises. Celles-ci sont engagées dans une course contre la montre avec les cybercriminels.
Les hackers, hélas, au même titre que les dopés dans le sport, ont bien souvent un coup d’avance. Néanmoins, leurs modes opératoires sont à présent mieux connus, et les risques peuvent être significativement réduits grâce à des réponses organisationnelles et des technologies adéquates.
Avec une politique de sécurité efficace, les entreprises peuvent échapper aux pièges tendus par les cybercriminels et leur multiples ruses informatiques.
Tribune initialement publiée sur InformatiqueNews