Pirates informatiques : évitez l'attaque !

Publié le 04/07/2019

Jérémy Becam

En l’espace de trois ans, la cybercriminalité a fait un bond. Après les États, les organisations mondiales et les grands groupes, les attaques visent les PME et TPE. La prise de conscience de ce risque doit s’accompagner d’actions sur les systèmes, sur les réflexes et vers le personnel. Dossier réalisé par X.Haertelmeyer.

Partager sur

La cyberattaque est devenue un défi majeur pour les entreprises. « Le risque cyber reste le premier risque technologiques selon les assureurs et les réassureurs français », prévient Bernard Spitz, président de la Fédération française des assurances (FFA). Parmi les grands touchés : Uber, Deloitte, Netflix, Renault… sans oublier le monde du BTP : Saint-Gobain en juin 2017, ou Technal et la Fédération française du Bâtiment dernièrement. Difficile d’ailleurs de recueillir des témoignages sur le sujet. Dans un entretien publié par Les Échos, Saint-Gobain expliquait en avoir tiré plusieurs leçons notamment sur la prévention : « Une formation obligatoire a été mise en place ainsi que des exercices réguliers avec, notamment, des tests d'intrusion et des campagnes de “faux phishing”. Le groupe, qui n'était pas assuré l'an passé contre les cyberattaques, a également fait le choix d'une police adaptée. Toujours selon nos confrères, au total, l’attaque lui aurait fait perdre 220 millions de chiffre d'affaires et 80 millions de résultat. « Tous les grands groupes sont peu à peu devenus très sensibles à ce risque et investissent dans la cybersécurité, signale Sylvan Ravinet, expert dans le domaine. Entrepreneur dans le numérique, il a mené des tests d’intrusion, conçu des logiciels cyber, accompagné des clients dans leur cyberprotection, vécu des attaques et observé des crises. « Aujourd’hui, même les TPE et PME sont ciblées, prévient-il. Ce n’est pas parce qu’on est petit ou peu attractif pour la malveillance que l’on ne sera pas visé ». La raison est simple : « Peu de PME-TPE se sentent concernées et leurs systèmes de défense sont les plus faibles, précise Clotilde Zucchi, responsable des branches spécialisées chez SMABTP, dont le cyber-risque. Ils peuvent être piratés directement ou utilisés comme porte d’entrée vers une entreprise plus importante. Il faut mettre en place des procédures sérieuses et adaptées, même pour les employés ».

Créer des réflexes

Dans cette chasse aux sorcières, investir de gros montants ne garantit pas forcément une meilleure protection. « Il est en effet possible d’avoir une sécurité raisonnable sans trop dépenser, sujet primordial pour les PME qui ont un accès plus difficile au financement que les grands groupes, reprend Sylvan Ravinet. Aucune menace ou mode opératoire en particulier – criminalité organisée, ransomware ou déni de service – ne doit mobiliser tous les investissements. » Car aucune technologie ne protège de toutes les situations totalement, « c’est une question d’équilibre, reprend le spécialiste. Le dirigeant d’entreprise doit penser au sujet cyber ; les collaborateurs et les sous-traitants doivent appliquer par réflexe les bonnes pratiques au quotidien ; les dispositifs technologiques anti-intrusion doivent être en place, bien sûr, mais aussi des barrières à l’accès physique aux locaux ». Et le spécialiste conseille de souscrire à une cyber-assurance, « au cas où », et ainsi bénéficier de la mise en commun de moyens financiers entre assurés. « Mais, avant tout, il faut avoir une démarche proactive et raisonnée », conclut-il.

Un dispositif gratuit pour particuliers et entreprises

Le dispositif gratuit www.cybermalveillance.gouv.fr est conçu pour aider et conseiller les particuliers, les entreprises (TPE-PME) et les collectivités territoriales. Sur cette plateforme, les victimes peuvent être mises en relation avec des prestataires de proximité compétents pour identifier la nature de l’incident et remettre les systèmes en état de fonctionnement. Le dispositif comporte également un kit de sensibilisation aux risques numériques. Il contient différents supports (vidéos, mémos, fiches pratiques…) sur les quatre risques majeurs d’exposition : l’hameçonnage (phishing), la gestion des mots de passe, l’utilisation des appareils mobiles et la sécurité des usages professionnels et personnels.

Les protections de base

Le risque zéro n’existe pas. Cependant, « les entreprises peuvent prendre des mesures pour rendre leur entreprise "sensible à la sécurité" au travers d’une série d’initiatives », précisent les experts de Cisco. Tout d’abord s’assurer de la bonne sauvegarde de ses données. C'est le patrimoine d'une société. Elle doit permettre de récupérer les données en cas de défaillance globale du système informatique ou, éventuellement, de faire fonctionner l’entreprise en réseau déporté si son système est bloqué. « Cette sauvegarde doit être complète, régulière et réalisée sur un support sécurisé non connecté », précise Clotilde Zucchi de SMABTP. Car certaines PME ont déposé le bilan suite à la perte de leurs carnets de commande, de leurs fichiers client ou de leurs données comptables.
De même, « la mise à jour des ordinateurs et appareils mobiles est tout aussi importante et doit être automatique quel que soit leur système d’exploitation, signale Clotilde Zucchi. Ces mises à jour servent notamment à appliquer des correctifs de sécurité dans les failles des systèmes d’exploitation ou des logiciels. Attention aux tablettes et smartphones, plus vulnérables que les ordinateurs, et sur lesquels des failles peuvent permettre de voler des informations ou des contacts d’une entreprise. Les mots de passe ont, eux aussi, une importance à ne pas négliger. Si le compte mail d’un dirigeant est piraté, des ordres néfastes à l’entreprise peuvent être adressés aux équipes ou aux clients. « Il faut que les mots de passe soient le plus aléatoire possible, conseille Sylvan Ravinet. Privilégiez une authentification forte pour les accès les plus sensibles – mail, projets… – et l’usage d’un gestionnaire de mots de passe pour tout le reste ». Enfin, la formation et l’implication de tout le personnel est la clé pour maximiser la protection globale de l’entreprise.

Garder son sang-froid en cas d'attaque

L’élément clé dans le cas d’une attaque est de savoir agir rapidement et efficacement afin que la situation ne s’envenime pas. « Le premier acte à opérer est de débrancher tout le système informatique du réseau Internet, wifi compris et d’éteindre les ordinateurs », prévient Clotilde Zucchi, responsable des banches spécialisées – dont le cyber-risque – de SMABTP. Les premières informations sont aussi primordiales : notez l’heure de l’attaque, la source (mail, site web, clé USB…) et son résultat (bocage de l’ordinateur, lancement d’un programme…). « Il faut ensuite faire appel à un spécialiste – en interne ou un prestataire extérieur – afin qu’il analyse ce qui s’est passé et identifie la nature du problème, reprend la responsable. Votre assureur peut aussi vous aider. Par exemple, notre contrat d’assurance sur le cyber-risque comprend la mise à disposition d’une plateforme d’assistance 24 h/24, 7 j/7, avec un expert qui pourra identifier, réagir et corriger le problème. L’intervention d’un spécialiste est primordiale car il procédera à une intervention “forensic” [légale, ou criminologique en anglais, ndlr] qui consiste à récolter les preuves informatiques de l’attaque sur le réseau et les ordinateurs de l’entreprise. Cela permettra d’établir les actions à mener et la prise en charge de l’attaque en matière de dédommagement ». Elle recommande également de déposer plainte auprès des services de police ou de gendarmerie afin de lancer une procédure pour stopper les cybercriminels. De plus, « depuis la mise en place du règlement européen sur la protection des données (RDPD), il est obligatoire de prévenir la Cnil dans les 72 heures dès lors qu’il y a compromission de données personnelles, que ce soit des informations sur les salariés, les clients ou les prestataires », renchérit la responsable. La Cnil peut ensuite vous imposer d’adresser une notification aux personnes qui pourraient être concernées.