|
Vous savez probablement que les PME sont les cibles préférées des hackeurs, mais savez-vous comment les hackeurs vous attaquent ? Et, plus important encore, comment vous défendre ? Je vous propose une immersion dans le cyber-monde.
En tant que directeur, vous avez passé des années à développer et à faire croitre votre entreprise ; vous commercialisez votre produit ou votre service et méritez la fidélité de vos clients. Votre PME est tout ce que vous aviez voulu, espéré et rêvé. Et vous n’êtes pas seul : en Suisse, 99.6% des entreprises sont des PME et représentent deux tiers des emplois.
De nombreuses petites et moyennes entreprises pensent que leur taille les met à l’abri d’une attaque potentielle par des pirates informatiques mais c’est très loin de la vérité.
Nous notons clairement une augmentation des cyber-attaques et vols de données, en particulier ciblant les grandes entreprises telles que Yahoo, Equifax, TV5, etc. Toutefois, ces attaques ne sont que la partie émergée de l’iceberg ; alors que les grandes entreprises obtiennent une couverture médiatique lorsque leurs données sont compromises, les PME sont les victimes les plus fréquentes et pourtant les plus ignorées du piratage.
Pourquoi les pirates voudraient-ils s’en prendre aux PME?
Les PME ne disposent pas des mêmes ressources de protection que les grandes entreprises. Pourtant, leurs besoins en matière de cyber-sécurité sont identiques. Tout comme une grande entreprise, une PME possède des données sur ses clients, fournisseurs et employés ; elle communique par email, reçoit des pièces jointes et échange des données sensibles ; elle utilise le Ebanking, détient des secrets de production et doit se différencier de ses concurrents. Mais, contrairement à une grande entreprise, une PME n’est pas suffisamment protégée. Hormis les outils techniques tels qu’antivirus, firewall, backup, IPS, SIEM, SOC, Sandbox, cryptage, etc., dont certaines PME trouvent le prix souvent trop élevé, c’est l’absence de mise en place de processus de sécurité et de personnes dédiées à maintenir et faire évoluer la cyber-sécurité qui expose les PME à un piratage informatique.
Les grandes entreprises possèdent généralement une équipe affectée à la protection de leur infrastructure digitale. A l’inverse, les PME délèguent habituellement cette responsabilité à leurs informaticiens qui ne saisissent pas toujours les risques, l’enjeu et les conséquences des stratégies mises en place.
Les grandes entreprises utilisent des processus et un Workflow structurés et clairement prédéfinis ; les PME ne font pas appel à de telles structures, car du fait d’équipes plus réduites, les processus sont plus empiriques et ad hoc. Toutefois, lorsqu’il s’agit de sécurité, il est fortement déconseillé d’improviser ou imaginer spontanément des protocoles : ceux-ci doivent être définis et choisis avec une compréhension claire des menaces et des risques en avance. La majorité des PME sont souvent dépourvues de cette structure et se trouvent ainsi plus exposées aux cyber-attaques. Ce manque de structure se reflète aussi dans l’absence de formation, essentielle, afin que tous les employés comprennent les risques et les meilleures pratiques à adopter.
Les PME, à cause de leur vulnérabilité, sont aussi des passerelles très intéressantes pour pénétrer des grandes entreprises. L’interconnectivité et le partenariat de confiance entre les grandes entreprises et les PME, encouragent les hackeurs à transiter par les PME pour accéder aux données des grandes entreprises : les PME ne seront, dans ce cas, qu’un dommage collatéral.
En s’attaquant aux PME plutôt qu’aux grandes entreprises, un hackeur a moins de chance de toucher le gros lot et donc doit optimiser ses efforts et ressources de piratage.
Comment les hackeurs pénètrent les systèmes des PME ?
Les PME dépendent beaucoup des services cloud. Ces derniers sont essentiels pour les plus petites entreprises, car le cloud offre des services et solutions haut de gamme à des coûts d’entrée très faibles. Néanmoins, contrairement à des solutions sur site, la seule protection d’un service cloud est le mot de passe qui permet d’y accéder. Ainsi, la qualité du mot de passe est fondamentale à la protection du service cloud. Pourtant, les PME ne semblent pas y prêter beaucoup d’attention et il y a une grande variation entre la fiabilité des mots de passe dans les PME et dans les grandes entreprises : seuls 2% des grandes entreprises utilisent des mots de passe faibles, face à près de 20% des entreprises de taille moyenne et 37% des petites.
Les hackeurs, conscients de cette faiblesse, s’attaquent aux mots de passe des services cloud des PME. Ils essaient de les casser en se basant sur des listes de mots de passe volés sur d’autres plateformes cloud ou les plus communément utilisés.
La façon la plus commune pour hacker des utilisateurs est par des emails de phishing. Ces derniers sont des emails qui, sous une apparence légitime et semblant provenir d’une personne de confiance, ne sont en réalité qu’une ruse pour vous pousser à accomplir une action mettant votre entreprise en danger : ils vous demanderont de cliquer sur un lien, ouvrir une pièce jointe ou encore dévoiler une information sensible.
Lorsqu’une personne est victime d’un email de phishing, il risque d’installer un malware/virus sur son ordinateur, permettant ainsi à un hackeur d’en prendre le contrôle, voler des documents et espionner l’activité de l’utilisateur. Le hackeur pourra ensuite utiliser l’ordinateur infecté pour mener d’autres attaques en envoyant des emails par l’ordinateur piraté, prendre ses données en otage (ransomware) ou encore effectuer des transactions bancaires en son nom. Il n’y a pas que l’ordinateur de la victime qui est en danger, mais toute son entreprise. Une fois un ordinateur infecté, il est très facile de se déplacer latéralement sur d’autres machines de l’entreprise pour les infecter. Cette propagation est simplifiée chez les PME car elles n’ont que très rarement des outils pour se protéger contre des attaques latérales.
N’ayant souvent pas une équipe d’informatique et encore moins une équipe de cyber-sécurité, les PME tendent à ne pas mettre leurs systèmes à jour suffisamment rapidement. Les mises à jour sont essentielles pour protéger correctement un système informatique, car elles réparent des vulnérabilités qui sont publiques, connues et facilement utilisables par les hackeurs. Généralement, quelques jours après la parution d’une mise à jour pour corriger une vulnérabilité, des hackeurs les exploitent afin d’abuser des systèmes informatiques. La principale problématique concernant les mises à jour est qu’elles ne s’installent pas toujours automatiquement. Nombreux appareils (comme l’Internet des Objets) et applications doivent être mis à jour manuellement ; cela implique la nécessité d’avoir un inventaire complet des logiciels et matériels, ainsi que d’être au courant des mises à jour importantes à installer.
Comment une PME peut-elle se protéger ?
Deux points essentiels sont à considérer lorsqu’on veut protéger son entreprise des cyber-attaques. Ces deux facteurs sont complémentaires et ne peuvent se substituer l’un à l’autre. Le choix se porte sur le degré d’effort que l’on peut et veut mettre dans chacun de ces deux facteurs :
Les ordinateurs sont utilisés par des humains et l’erreur est humaine. Nous estimons que plus de 90% des cyber-attaques impliquent l’erreur d’un utilisateur. L’explication des risques et l’éducation sur les façons de se protéger sont donc essentielles.
Dans notre cursus scolaire, les enseignants en mathématiques démontrent toujours les théorèmes afin que l’élève puisse comprendre leurs fondements : l’élève n’aura pas besoin de se rappeler de la démonstration, mais saura toujours qu’elle fait sens. Les principes de cyber-sécurité doivent suivre la même logique et les utilisateurs doivent comprendre le fondement des décisions afin de pouvoir les appliquer correctement.
Que ces formations se fassent en ligne, par email ou en séminaire, elles permettent de faire en sorte que l’utilisateur ne soit plus un handicap pour la société, mais devienne un atout capable de contribuer activement à la protéger.
Les humains, à eux seuls, ne peuvent déjouer toutes les attaques. Avec 120 millions de nouveaux virus créés chaque année, plus de 1'500 vulnérabilités critiques découvertes en 2017 et 1 email sur 10 étant malveillant, il faut des solutions et processus systématiques et efficaces pour correctement protéger notre environnement digital. C’est l’ensemble des processus, outils et savoir-faire qui protège des cyber-attaques. Acheter une solution qui n’est pas intégrée dans un processus de sécurité, et qui ne répond pas à un risque clair n’apporte aucune sécurité supplémentaire. Pour se protéger efficacement, il faut analyser quelles sont les menaces, établir des processus pour les arrêter et finalement utiliser des protocoles pour mettre ces processus en pratique.
Les dizaines de milliers de solutions de protections disponibles sur le marché, créent la confusion et il devient alors difficile de savoir lesquelles acquérir. Le choix des solutions à déployer dépend des besoins et des menaces ; Toutefois, de façon générale, on ne peut pas esquiver la nécessité d’installer un antivirus, firewall et backup. Ces trois outils de base de la cyber-sécurité doivent être installés et configurés correctement avant tout autre produit ou service de protection.
Comme nous l’avons expliqué, les PME sont des cibles de choix. Cependant, les cyber-attaques ne sont pas une fatalité ; dès qu’une PME se protège correctement, elle n’est plus rentable pour un hackeur car l’effort nécessaire pour la pénétrer dépasse le gain potentiel. Il est donc fondamental que les PME prennent la cyber-sécurité au sérieux afin de ne pas devenir la prochaine victime.
STEVEN MEYER
FONDATEUR DE ZENDATA
Possédant un master de l’EPFL spécialisé en cyber-sécurité & cryptographie, Steven Meyer est aussi certifié Certified Information Systems Security Professional (CISSP). Après avoir travaillé chez Microsoft, il a été crackeur de mots de passe et consultant expert en sécurité informatique. Steven a finalement, en 2012, fondé ZENData une compagnie spécialisée en cyber-protection.
BILAN
|