Devant la multiplication des attaques informatiques, il est urgent que les TPE et PME prennent conscience du risque

Une prise de conscience du risque cyber est devenue nécessaire pour prendre efficacement en charge les risques opérationnels et financiers que font peser les menaces informatiques sur nos économies.

L’année 2021 aura été l’année de tous les records en matière de cyberattaques. Avec 37% d’attaques en hausse sur l’an passé et un conflit international en cours, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est en état d’alerte maximale et appelle toutes les entreprises à mettre en place les 5 mesures cyber préventives prioritaires.

Même si aucune aggravation n’a été détectée depuis le début du conflit russo-ukrainien, le risque d’attaques systémiques est toujours d’actualité. Depuis 2020 et la crise du COVID, les techniques d’intrusion ne cessent de se complexifier, et les TPE et PME sont devenues les victimes n°1 des hackers. Une cible certes moins lucrative que les grands groupes, mais plus facile à atteindre, car, le plus souvent, moins bien protégée.

Une prise de conscience du risque cyber est devenue nécessaire pour prendre efficacement en charge les risques opérationnels et financiers que font peser les menaces informatiques sur nos économies.

Les TPE et PME en première ligne face à un écosystème criminel en pleine mutation

Aujourd’hui, la question n’est plus de savoir si une entreprise va se faire attaquer, mais quand ? Les chiffres sont sans appel. Avec une augmentation de +255% de ransomware (rançongiciel) en 2020, la France est aujourd’hui le 3è pays le plus touché par ce fléau et les principales victimes sont… des TPE et PME. Ce virus qui prend en otage les données d’une entreprise et qui exige une rançon en échange de leur restitution est principalement rendu possible grâce à la technique du phishing (hameçonnage). Il s’agit de la technique d’attaque la plus répandue. Elle a pour spécificité de ne pas exploiter de vulnérabilité technique du système informatique, mais les faiblesses de l’être humain pour aboutir à ses fins : il suffit d’un collaborateur qui transmet ses données d’authentification ou télécharge une pièce jointe vérolée via un mail frauduleux pour que l’activité de l’entreprise soit mise à mal.

D’autres types d’attaques font rage aux côtés des ransomware : piratage de site internet, détournements de fonds, vols de données, fuites de données, usurpation d’identité… Les cybercriminels vont également utiliser des failles techniques pour s’introduire dans le système informatique d’une entreprise : un système qui n’a pas été mis à jour ou un serveur mal configuré peuvent facilement faire basculer l’activité de l’entreprise. À cela viennent s’ajouter les vulnérabilités appelées “zero-day”, ces failles techniques jusqu’alors inconnues exploitées par les hackers pour s’introduire dans le système sont en forte augmentation, d’après l’ANSSI.

Aussi, les petites et moyennes entreprises doivent aujourd’hui lutter contre deux types de vulnérabilités pour se prémunir des cyberattaques et protéger leurs données. Les vulnérabilités humaines et les vulnérabilités techniques. Le combat doit se mener sur ces deux fronts. Or, les TPE et PME peinent à se protéger et à mettre en place une bonne hygiène cyber par manque de temps, manque de ressources et de moyens financiers.

Des pertes financières qui peuvent être fatales pour les TPE-PME

Prendre le risque de ne pas se protéger, c’est prendre le risque de perdre 27% de son chiffre d’affaires et de ne jamais se relever après avoir subit une cyberattaque, souligne le dernier baromètre d’Anozr Way. Des faits qu’il est temps de prendre très au sérieux dans le contexte propice aux cyberattaques que nous vivons depuis le début de la crise sanitaire.

D’après le baromètre CESIN 2022, le secteur de la vente en ligne et le secteur financier sont actuellement les plus touchés par les intrusions qui portent atteinte à leurs données avec respectivement 52% et 43% d’attaques réussies. Des chiffres alarmants à mettre en perspective avec les pertes financières engendrées et le danger que cela représente pour la pérennité de nos économies.

Pour éviter que la situation ne continue de s’aggraver, il devient urgent que chaque entreprise consacre le temps et alloue les ressources humaines et financières nécessaires à sa protection.

En matière de cybersécurité, le risque zéro n’existe pas

Prendre conscience du risque passe bien évidemment par la mise en place des bonnes pratiques de cybersécurité. L’ANSSI œuvre énormément à ce sujet en encourageant les entreprises à protéger leurs systèmes informatiques (renforcer l’authentification, accroître la supervision des données) et à mettre en place le minimum pour être prêt en cas de cyberattaque (mise en place de sauvegardes hors ligne et d’un plan de continuité d’activité).

Cependant, cela ne suffit pas pour être efficacement protégé. Une meilleure hygiène cyber permet de réduire le risque, mais n’empêchera pas une attaque par phishing de réussir. Une campagne de sensibilisation aux techniques de phishing permet également de réduire le risque, mais pas d’éradiquer celui-ci. En matière de cybersécurité, le risque zéro n’existe pas.

L’assurance cyber : un indispensable trop souvent négligé

L’assurance cyber est à considérer comme une brique évidente et complémentaire aux bonnes pratiques cyber pour protéger l’activité des petites et moyennes entreprises. Il s’agit aujourd’hui du seul moyen d’être accompagné dans la remise en état du système informatique, remboursé des pertes d’exploitation subies et d’être couvert en cas de dommages causés à des tiers comme une fuite de données confidentielles.

Même si les assureurs cyber traditionnels restent frileux quant à la couverture d’un risque qu’ils ne maîtrisent pas, il existe aujourd’hui de nouveaux acteurs sur le marché qui proposent une assurance cyber accessible et adaptée au plus grand nombre de TPE et PME. Une assurance qui devrait être encouragée par les pouvoirs publics et proposée par tous les courtiers en assurance pour prévenir la propagation des virus au sein de l’écosystème économique français.

Une prise de conscience du risque cyber est indispensable… tant qu’il est encore temps.

Source : JDN

2022-05-04T13:54:14+02:004 mai 2022|Catégories : Digital, PME, TPE|Mots-clés : , , , , |0 commentaire

Conflit ukrainien : les 10 recommandations de cybersécurité pour protéger les entreprises

En réponse à l’évolution du conflit russo-ukrainien, plusieurs agences gouvernementales ont publié des recommandations pour renforcer la cybersécurité. C’est le cas de l’Anssi (agence nationale de la sécurité des systèmes d’information) en France qui vient de rendre un rapport sur l’état de la menace et les bonnes pratiques à adopter.

Aux Etats-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) a récemment publié un avis intitulé Shields Up. L’agence rappelle que « au cours de la dernière décennie, le gouvernement russe a utilisé le vecteur cyber comme élément clé de sa réponse militaire » et elle prévient que la Russie pourrait envisager des actions visant à perturber l’extérieur de l’Ukraine. Alors, que faut-il faire pour protéger son entreprise ? Inutile de se précipiter et d’apporter des changements radicaux à son réseau. Mieux vaut profiter de ces événements pour faire un audit de l’état du réseau et programmer des changements futurs. Voici quelques-unes des actions à entreprendre, selon les deux agences :

1. Revoir et mettre à jour ses plans de réponse aux incidents

Il est important de passer en revue la planification des réponses aux incidents (IRP). Ces plans sont-ils à jour ? Prennent-ils en compte les dernières cyberattaques destructives menées par la Russie contre l’Ukraine ?

2. Renforcement des solutions et services de sécurité

Le guide intitulé « Hardening to Protect Against Destructive Attacks » (« Renforcement pour se protéger contre les attaques destructrices ») publié par l’entreprise de sécurité Mandiant contient de nombreux conseils qui méritent l’attention. Mandiant et la CISA recommandent en premier lieu aux entreprises d’examiner tous les accès distants de leur réseau et de mettre en place une authentification multifactorielle (MFA). Personne ne devrait pouvoir se connecter à distance sans une modalité d’authentification supplémentaire, en plus du mot de passe, soit via une application à deux facteurs, soit à l’aide d’un jeton qui fournit un code à saisir.

Même conseil de la part de l’Anssi qui prône une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents soit :

  • un mot de passe, un tracé de déverrouillage ou une signature
  • un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS).

3. Exploiter des sources externes d’informations sur les menaces

Que ce soit à l’aide d’un outil partagé entre collègues sur un forum ou une session de chat, il est important de partager des informations et d’échanger des conseils entre personnes ou communautés de confiance en privilégiant les informations spécifiques à son secteur d’activité. Len entreprises qui ne disposent pas de ce type de ressources peuvent s’informer via des canaux gouvernementaux comme Infragard aux États-Unis, et vers la ressource locale de sécurité informatique de leur pays. En France, ce rôle est assuré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les conseils et les informations du CISA, de l’Australian Cyber Security Centre et de l’UK National Cyber Security Center, pour ne citer que ceux-là, offrent également des ressources accessibles à tous.

4. Évaluer les risques de la connectivité Internet et réseau

Les entreprises qui se trouvent dans une zone à risque doivent se préoccuper de la sécurité de leur connectivité Internet et réseau. Selon plusieurs rumeurs, des banques et des entreprises ont été ciblées par des attaques en Ukraine. N’oublions pas que l’attaque par ransomware Maersk visait à l’origine les entreprises ukrainiennes. En juin 2017, NotPetya avait également ciblé des entreprises en Ukraine, s’en prenant spécifiquement aux institutions gouvernementales, financières et énergétiques.

5. Étudier les risques liés aux liens des entreprises et des infrastructures avec la Russie

Si l’un des déploiements dans le cloud de l’entreprise se fait sur des serveurs en Russie, celle-ci peut envisager de déplacer ses données vers un autre datacenter. Et si une entreprise utilise les services de développeurs de logiciels ou d’un support informatique basé en Russie ou dans des pays environnants, elle devrait aussi en évaluer l’impact sur son réseau, et s’interroger sur des alternatives éventuelles.

6. Rattraper son retard en matière de correctifs

Plusieurs campagnes de correctifs se sont succédées ces derniers mois, correctifs que certaines entreprises ont peut-être omis d’appliquer. Un passage en revue des vulnérabilités exploitées connues, en particulier celles identifiées et listées par la CISA, permet de s’assurer au minimum que ces correctifs ont été appliqués. Configurer son pare-feu en limitant l’accès aux seuls sites et lieux qui ont réellement besoin de se connecter au réseau de l’entreprise fait aussi partie des bonnes pratiques. Pour les services cloud, la tâche peut s’avérer plus complexe, mais pour les serveurs sur site qui ne fournissent pas de services à tous, le filtrage des accès selon des profils personnalisés constitue une bonne parade. Une limitation de l’accès du contrôleur de domaine à ceux qui ont vraiment besoin de se connecter au site est également une parade efficace.

7. Remonter la sécurité dans Microsoft 365

L’enregistrement de toutes les informations qui pourront fournir des renseignements utiles en cas d’attaque fait aussi partie des recommandations. Une entreprise à haut risque disposant d’un abonnement Microsoft 365 peut activer l’abonnement de sécurité E5 plus élevé pour certains de ses utilisateurs, mais pas nécessairement pour tous. Les offres Microsoft 365 permettent aussi de mettre en place une journalisation, une investigation et une protection supplémentaires pour des utilisateurs spécifiques.

8. Tester les processus de sauvegarde et de restauration

En cas de restauration de ses systèmes, l’entreprise doit savoir si elle pourra restaurer un grand nombre de services en même temps. Pour cela elle doit disposer d’une liste de contrôle précisant toutes les étapes de la restauration. Il est préférable de tester à l’avance son processus de restauration. Estimer le temps qu’il faut pour restaurer un seul serveur et l’ensemble du réseau peut fournir un autre indicateur intéressant à l’entreprise.

L’Anssi ajoute dans ces recommandations des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques.

9. Préparer le personnel IT et de sécurité à la gestion de crise

L’entreprise a tout intérêt à préparer son personnel IT à ce type d’évènement. La pandémie avait déjà mis de nombreuses ressources IT à rude épreuve, avec parfois des réductions dans les budgets. Il est important d’estimer l’état de ces ressources et la préparation du personnel sur les plans de réponse aux incidents pour réévaluer ses priorités. Quelle que soit sa taille, l’entreprise a tout intérêt à savoir de quelles options et de quelles ressources elle dispose.

Elle peut profiter de ce contexte pour faire des simulations et s’assurer qu’elle est prête à faire face aux risques. Des jeux de carte comme « Backdoors and Breaches », de l’éditeur Black Hills, permettent de générer des risques types et de tester les réactions à ces problèmes. Ces jeux permettent à l’entreprise de tester des scénarios réalistes, par exemple l’ingénierie sociale, la compromission de serveurs Web et le bourrage d’identifiants. Le gardien français rappelle des règles de bon sens. « Définir des points de contact d’urgence, y compris chez les prestataires de services numériques et s’assurer d’avoir les numéros en version papier est particulièrement utile dans ces situations ».

10. Évaluer les faiblesses du réseau

L’entreprise doit analyser son réseau externe et identifier ses faiblesses. Pour cela, elle peut faire appel à une équipe de pentesteurs ou à un consultant externe. Aux États-Unis, une entreprise qui travaille pour une administration fédérale, d’un état, locale, tribale ou territoriale, ou une entreprise d’infrastructure critique des secteurs public et privé, peut profiter gratuitement des services d’évaluation de la cybersécurité du CISA. Sinon, toute entreprise peut au minimum identifier les risques auxquels elle est potentiellement exposée à l’aide de moteurs de recherche publics capables d’identifier les vulnérabilités dans un réseau externe. Avec des outils comme Shodan et Censys, il est possible de savoir à quelles informations du réseau les attaquants ont accès.

Il est important pour chaque entreprise de passer en revue les risques auxquels elle est exposée et de savoir où se trouvent ses faiblesses. Les attaques complexes commencent souvent par une simple faille qu’un attaquant peut utiliser ensuite pour se faufiler, effectuer des mouvements latéraux, enquêter et attendre le bon moment pour lancer son attaque.

Source: le monde informatique

2022-03-05T14:20:30+01:006 mars 2022|Catégories : Digital, Conseil, ETI, GE, PME, TPE|Mots-clés : , |0 commentaire

Plus de 700 millions d’euros par an perdus par les PME françaises à cause des cryptovirus

Une enquête menée par l’Institut de Recherche Technologique (IRT) System X auprès des PME et TPE françaises a évalué le coût des attaques par cryptovirus pour ces entreprises. Si le coût moyen de ces attaques est plus faible que les estimations généralement avancées, le nombre d’attaques réussies est en revanche plus élevé, ce qui se traduit par un coût global non négligeable.

Entre 2016 et 2019, System X a suivi une soixantaine de petites PME françaises victimes de cyberattaques, toutes régions et tous secteurs confondus.

Les attaques les plus souvent rencontrées sont les rançongiciels de type cryptovirus, avec une probabilité de 2 à 5% d’être touchée pour une PME de moins de 50 salariés (ce qui représente entre 100 000 et 250 000 entreprises victimes par an). Viennent ensuite les fraudes au président et les faux ordres de virements. Les autres attaques recensées sont pour la plupart des attaques ciblées : escroquerie au faux support technique, fraude aux sentiments, usurpation d’identité, défaçage d’un site web, prise de contrôle de messagerie, piratage téléphonique, mauvaise protection des caméras, captation de nom de domaine ou vol de compte bancaire. Très peu d’attaques par déni de service (DDos) ont été rencontrées.

1 – Rançonnage par cryptovirus : un coût médian avoisinant le millier d’euros

En termes d’impact financier, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, alors que les chiffres communiqués jusqu’à présent laissaient supposer des dizaines, centaines voire millions d’euros. La médiane se situe autour d’un millier d’euros, ce qui montre que beaucoup d’attaques réussies se résolvent pour un coût relativement faible, en particulier quand les sauvegardes ne sont pas touchées. Le montant total pour les entreprises victimes de cryptovirus s’élève néanmoins à 700 millions d’euros par an.

2 – Des préjudices indirects souvent mal estimés

À cela s’ajoute souvent un préjudice au niveau humain fréquemment sous-estimé, comme la fragilisation des collaborateurs ayant introduit le virus dans l’entreprise, ou la perte de cohésion du groupe. En revanche, l’impact sur l’image de l’entreprise reste assez limité, hormis les cas où l’attaque intervient à un moment important pour l’entreprise, comme le lancement d’un nouveau produit.

3 – Les failles de l’écosystème, une porte d’entrée de choix

Fait notable, les déficiences externes font jeu égal avec les déficiences externes pour expliquer pourquoi ces attaques réussissent. Plusieurs d’entre elles proviennent en effet de manquements au niveau de l’écosystème des entreprises, notamment du côté des prestataires ou éditeurs informatiques, des opérateurs télécom, des fournisseurs de messagerie, mais aussi des électriciens et banquiers.

Dans la majorité des cas, ces attaques étaient évitables grâce des mesures de sécurité simples et d’un coût abordable, rappelant l’importance pour toute entreprise de mettre en place un ensemble de bonnes pratiques en termes de cybersécurité.

« Initiée dans le cadre du projet EIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), cette enquête remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », souligne Gilles Desoblin, Responsable de la thématique Défense et Sécurité à l’IRT SystemX. Pour le chercheur Philippe Laurier, spécialiste des questions d’intelligence économique à l’IRT SystemX et chargé de cette enquête, « beaucoup de victimes ont fait part de leur surprise lors d’une attaque car de bonne foi, elles pensaient avoir déployé des protections suffisantes. L’ignorance principale ne tient plus en une sous-estimation des attaques mais en une surestimation des défenses. »

Source : Enquête de l’IRT System X – itsocial

2019-07-03T09:52:17+02:003 juillet 2019|Catégories : Digital, PME, TPE|Mots-clés : , , |0 commentaire
Aller en haut