TPE, PME, grandes entreprises : comment se protéger d’une cyberattaque ?

Aujourd’hui, Internet est devenu un outil de travail et de développement indispensable à toutes les entreprises, grandes ou petites. Les bénéfices apportés par cette connectivité engendrent également des risques, comme les cyberattaques. Voici comment s’en protéger.

Qu’est-ce qu’une cyberattaque ?

Qu’il s’agisse d’un autoentrepreneur, d’un artisan, d’une PME, d’une start-up ou d’une grande entreprise implantée dans différents pays, aucune société ne peut aujourd’hui se passer d’un ou des accès Internet. Or, qui dit ouverture sur le monde via le Web, dit prise de risque : les cybercriminels vont chercher à en tirer bénéfice pour gagner de l’argent, et mettre à mal la santé et les profits des entreprises.

C’est ce qu’on appelle une cyberattaque. « Attaque », parce que ce n’est pas un accident, comme pourrait l’être une panne de courant dans un centre de données, et « cyber », car elle passe par l’informatique. Avec une définition aussi large, le terme regroupe une grande variété de situations, selon que l’on vise plus spécifiquement une société ou un individu, ou au contraire, un groupe très large. Cela dépend aussi du but recherché : casser l’organisation de l’entreprise, voler des informations ou extorquer de l’argent, etc.

 

Les différents types de cyberattaques

Il existe donc différents types de cyberattaques. En voici les principales.

Le phishing (ou hameçonnage)

Bien connue du grand public, cette arnaque consiste à se faire passer pour un tiers connu de la victime (banque, organisme public…), pour soutirer des informations confidentielles à sa cible en l’envoyant vers un « faux » site, au moyen, le plus souvent, d’un courrier électronique ou d’un message mobile (WhatsApp, Signal et Messenger ont récemment été des vecteurs d’attaque de ce type⁽¹⁾. Il s’agit d’une première étape permettant à des tiers malveillants d’entrer dans le Système d’Information d’une entreprise, afin de récupérer des données personnelles et/ou d’identification, d’obtenir les adresses emails des contacts de la victime, ou d’initier une attaque de type « ransomware ».

Les informations soutirées sont souvent d’ordre confidentiel, comme des codes de CB par exemple. Le phishing peut parfois servir de première étape pour sonder, au sein d’une organisation, les personnes imprudentes.

 

Le ransomware (ou “rançongiciel”)

Également connu sous le nom de “rançongiciel” ou logiciel d’extorsion, ce programme malveillant va chiffrer et bloquer les données d’un appareil ou d’une partie du réseau de l’entreprise et exiger, comme son nom l’indique, une rançon en échange de la clé de déchiffrement. Il se propage de la même manière que les autres virus et chevaux de Troie informatiques, à partir de fichiers infectés. Le plus souvent, il incite la première victime à visiter un site corrompu grâce à du phishing, ou en la poussant à ouvrir un fichier corrompu, mais également (et surtout s’il s’agit d’une attaque ciblée) en connectant physiquement à la machine un appareil préalablement infecté (comme une clé USB ou un disque externe). Les conséquences peuvent être très graves : si des données sensibles sont perdues, ou l’activité de l’entreprise suspendue, ou même immobilisée de manière définitive, les dommages financiers sont conséquents.

Important à savoir : la grande majorité des attaques par ransomware commence par un phishing réussi (c’est-à-dire que la victime a “mordu à l’hameçon” et a cliqué sur un lien infecté reçu par mail ou SMS).

 

La menace interne

Comme dans le monde physique où, volontairement, par ignorance ou par négligence, un salarié peut faire rentrer un intrus sur le site de l’entreprise, avec des conséquences parfois désastreuses, un employé d’une société peut aussi ouvrir la porte du Système d’Information à des tiers, de façon intentionnelle ou non. Et comme, dans ce cas, le point d’entrée de l’attaque se trouve déjà au sein du périmètre de défense, on parle alors d’attaques venues de l’intérieur (via la menace interne).

 

Les attaques DDoS

L’attaque par déni de service (dite attaque DOS, pour denial of service en anglais) a un but très simple : faire tomber une ressource informatique, soit en l’inondant de requêtes, soit en utilisant des faiblesses protocolaires, afin d’immobiliser une machine ou un serveur. Cela peut être des visites sur une page précise du site Web pour faire tomber le serveur qui l’héberge, ou encore engorger les communications entre deux appareils pour empêcher d’accéder à un service précis. Plus exactement, on parle d’attaque DDoS, ou attaque par déni de service distribué, lorsque cette attaque sur le Système d’Information provient de plusieurs sources différentes ayant coordonné leurs actions (via un “botnet”, un réseau de “PC-zombies”). Ce type d’attaque peut servir de démonstration de force, ou à dégrader l’image d’une entreprise, ou encore de diversion pour une autre attaque, quand il ne s’agit pas d’un chantage.

L’atteinte à la réputation de l’entreprise provoquée par une attaque DDoS est importante, car lorsque son site web ou son système est paralysé, elle paraît peu fiable. L’entreprise visée souffrira également d’un manque à gagner dû au temps d’indisponibilité, et à une perte de productivité proportionnelle au temps qu’aura duré l’attaque.

 

Les malwares, virus et spywares

“Malware” signifie “logiciel malveillant” : il s’agit d’un terme générique pour parler d’un virus, d’un ver, d’un spyware, d’un cheval de Troie, etc. Un malware a pour but d’endommager un ordinateur ou un réseau. Le terme “malware” désigne, dans tous les cas, un programme conçu pour nuire à votre ordinateur.
Un virus informatique fonctionne en se répliquant et en se propageant sur le plus d’appareils possible, il prolifère via les applications et messageries. Les supports de stockage amovibles, des sites web infectés ou des pièces jointes peuvent également être vecteurs de ces malwares.

Une fois une machine “contaminée”, elle peut être victime de spams, d’autres virus, d’espionnage de son activité ou d’un vol de données privées, de fraude bancaire, ou être détournée pour des usages malveillants, comme envoyer des fichiers infectés ou “miner” des cryptomonnaies.

 

Anticiper pour ne plus subir les cyberattaques

Savoir que ces attaques existent ne signifie pas forcément qu’une entreprise en sera victime. Pour s’en prémunir, il faut adopter une bonne hygiène numérique et protéger ses appareils, ses utilisateurs et ses réseaux, tant des menaces externes qu’internes.

 

État des lieux des risques cyber

La première règle est basique mais indispensable : connaître son Système d’Information, et savoir quels en sont les points forts et les points faibles en matière de sécurité informatique. Concrètement, cela signifie avoir une idée exacte du nombre de machines (postes de travail, serveurs, imprimantes, smartphones, capteurs, caméra de surveillance, etc.) et d’utilisateurs (salariés de l’entreprise, prestataires, fournisseurs, clients, stagiaires, etc.), ainsi que des applications et logiciels utilisés. Concernant les équipements informatiques, cela implique également d’en connaître les composants, pour s’assurer que tous soient mis à jour aussi souvent que nécessaire pour ne pas laisser de failles de sécurité exploitables par les cybercriminels.

 

Sauvegarde systématique des données de l’entreprise

Une autre règle est de protéger les données de l’entreprise en les sauvegardant régulièrement. Dans de nombreux secteurs, la réglementation implique d’avoir un plan de continuité de service, et donc de se doter de systèmes de sauvegarde et de restauration dédiés. Pour les PME et les TPE n’ayant pas de service informatique interne (et pour les autres également), le mieux est d’adopter une stratégie de sauvegarde « 3-2-1 » :

• Toujours avoir 3 copies d’une même donnée : celle servant de base de travail, et deux autres enregistrées au cas où ;
• Sur 2 supports différents : un disque dur externe, et sur un autre serveur dédié ;
• Dont 1 hors-site : c’est-à-dire dans un local différent de celui où la donnée est produite, pour éviter que toutes les sauvegardes ne soient détruites dans un incendie ou une catastrophe naturelle, ou chiffrées en cas d’attaque par ransomware par exemple.

 

Sécurisation des accès à distance

Il faut également sécuriser les accès à son Système d’Information. En effet, outre les salariés sur place, désormais de nombreux tiers se connectent sur le réseau de l’entreprise : des fournisseurs et des prestataires, des services administratifs (dans le cadre des télédéclarations fiscales par exemple), des clients… Et les besoins croissants de mobilité de flexibilité ont ouvert le réseau à des services dans le cloud, ou des accès à distance des salariés en déplacement ou en télétravail. Ces accès extérieurs ne pouvant pas être totalement sécurisés par l’entreprise, il faut mettre en place de l’intérieur plusieurs solutions de sécurisation et de surveillance du réseau.

 

Former vos collaborateurs aux bons usages

Il faut enfin former régulièrement l’ensemble des collaborateurs aux bonnes pratiques de la sécurité informatique, sur un plan général, mais également en tenant compte des spécificités de son secteur d’activité et de sa propre infrastructure IT. Idéalement, il faut une formation initiale à l’entrée du salarié dans l’entreprise, puis le re-former régulièrement, pour tenir compte de l’évolution des cybermenaces.

Les solutions d’accompagnement et de sécurité

Pour sécuriser l’accès à son Système d’Information, il y a principalement trois points à vérifier :

• Faire la chasse aux logiciels malveillants ;
• Installer des points de contrôle pour vérifier ce qui y rentre et ce qui en sort ;
• S’assurer que seules les personnes accréditées y ont accès.

 

Solution anti-malware

Faire la chasse aux logiciels malveillants (ou malwares) est le rôle des antivirus classiques. Cela peut sembler une solution antique au 21è siècle, mais en avoir un installé sur toutes les machines du Système d’Information, et maintenu à jour, est la base de la bonne hygiène informatique. Même avec les meilleures campagnes de sensibilisation possibles, une société n’est jamais à l’abri du collaborateur cliquant par erreur sur un lien ou un fichier infecté. Les antivirus sont à coupler avec des systèmes de détection d’intrusion (IDS) sur les machines et sur l’ensemble du réseau, qui vont rechercher en permanence les activités anormales et les malwares connus dans le Système d’Information. Des solutions anti-malwares dites “nouvelles génération ” vont encore plus loin, en vérifiant en permanence la conformité du poste et des applications installées.

 

Techniques de filtrage avancées

L’étape suivante consiste à surveiller ce qui circule sur ce système, grâce à un filtrage poussé. Pour cela, il faut installer des pare-feux aux différents endroits stratégiques du réseau. Outre leur rôle dans la détection de malwares, bien paramétrés, ceux-ci pourront lutter contre les attaques DDoS, ou encore empêcher des fuites de données en cas d’attaque du système venue de l’intérieur. Par ailleurs, mettre en place des systèmes de filtrage des flux qui sortent ou rentrent dans l’entreprise (tous les flux Internet/mails) apporte un niveau de sécurité supplémentaire.

 

Solutions d’authentification multi-facteurs

Mais il faut également spécifier qui a accès à quelle information, et qui peut en faire quoi. Il faut notamment effacer immédiatement les accès privilégiés des anciens salariés lorsqu’ils quittent l’entreprise ou lorsqu’ils changent de service, pour diminuer les attaques internes, et s’assurer que les paramètres de contrôle d’accès sont correctement définis et toujours à jour. Pour les données les plus sensibles, ou pour accéder à des éléments clés depuis l’extérieur de l’entreprise, mieux vaut passer par une solution d’authentification à plusieurs facteurs . Concrètement, le collaborateur hors des locaux de l’entreprise (ou également sur place suivant l’activité de celle-ci) doit prouver, s’il souhaite accéder aux données, par au moins deux méthodes différentes qu’il est bien la personne habilitée à le faire. Cela peut le plus souvent prendre la forme d’un mot de passe connu couplé avec l’insertion d’une carte à puce ou l’entrée d’un code envoyé sur un autre appareil, ou encore par reconnaissance faciale…

 

 

Votre entreprise est-elle prête à anticiper les cyberattaques ?

Se protéger des menaces informatiques est un travail constant. Une entreprise doit toujours se préparer à lutter contre des cyberattaques. Heureusement, ce n’est pas un travail qui se fait en solitaire. Des tiers peuvent l’aider. C’est notamment le cas en France de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui diffuse de nombreux outils et sources d’information à destination des entreprises⁽²⁾.

 

L’agence propose notamment d’excellents modules de formation gratuits à destination des salariés, et est chargée de la certification des différents outils de sécurité informatique (y compris les antivirus et les pare-feux). Les prestataires et éditeurs spécialistes de la sécurité informatique peuvent également apporter leur aide à votre entreprise, ainsi que les fournisseurs d’accès à Internet, qui sont les mieux à même de comprendre les besoins de sécurité réseau de leurs clients professionnels.

 

---

(1) Sources :

• https://www.vadesecure.com/fr/blog/securite-whatsapp
• https://www.cnews.fr/vie-numerique/2021-04-16/signal-alerte-au-phishing-et-aux-spams-sur-la-messagerie-1071426
• https://www.lefigaro.fr/secteur/high-tech/ca-te-ressemble-ne-vous-faites-pas-avoir-par-ces-messages-frauduleux-sur-facebook-messenger-20210316

(2) Source :

• https://www.ssi.gouv.fr/entreprise/