La cybersécurité, un problème humain avant tout

1
136

La cybersécurité n’est plus un luxe, mais bien une nécessité autant pour les PME que les multinationales. Elle est au cœur de toutes les préoccupations des entreprises, qui la perçoivent encore trop comme un problème technologique. Pour Resadia, groupe d’experts IT en France, il s’agit bien d’un problème humain avant tout.

Avis d’expert Resadia – La cybersécurité selon Resadia est une affaire d’humains avant d’être technologique. C’est pourquoi les entreprises doivent travailler à une sensibilisation de masse de leurs employés et ce quelle que soit leur taille. Aujourd’hui, même les petites structures sont visées, car les hackers accèdent à travers elles à leurs clients et fournisseurs qui peuvent être leurs cibles finales.

La cybersécurité n’est donc plus une activité de niche et, surtout, n’est plus un luxe !

I – Les entreprises face à la cybersécurité

Aujourd’hui, les pirates ont changé…

Il n’est plus question d’attaquer l’entreprise en frontal, on passe par du Social Hacking. Mais qu’est-ce donc ? Le Social Hacking est une technique passant par les salariés de l’entreprise via du mailing (par exemple) pour pénétrer le réseau de l’entreprise. C’est pourquoi, un quart des attaques recensées ciblent les salariés de l’entreprise.

Une autre technique souvent utilisée est l’attaque par rebond. Celle-ci permet d’atteindre des entreprises sensibles, évoluant dans le médical ou la défense par exemple. Les hackers passent par l’un des fournisseurs ou des clients pour attaquer par rebond, en profitant des liens entretenus entre ces sociétés.

Autre point d’importance, les cybercriminels ne volent pas uniquement des données. Aujourd’hui la grande majorité du commerce international se fait par bateau. Les pirates peuvent détourner des bateaux entiers. Et ils l’ont déjà fait ! Comment ? Après avoir coupé les communications du navire visé, ils l’ont dirigé dans un endroit sûr, et il n’a plus été revu jusqu’au paiement de la rançon. Ce type de cyberattaque a pu coûter plusieurs centaines de millions d’euros à l’entreprise ciblée !

Le matériel agricole (tracteurs, moissonneuses, tondeuses auto-portées…), qui est aujourd’hui connecté, est une autre cible de choix. Il devient possible de les dévier de leur trajectoire initiale. Détourné, coordonné et contrôlé, ce matériel devient une arme potentiellement dangereuse. Dans la même veine, en achetant simplement et pour quelques centaines de dollars un virus sur le darknet, un seul individu est capable de bloquer une usine, une route ou encore une ville entière.

La réponse des entreprises s’adapte également

Selon le type d’entreprise attaquée et le type d’informations volées, la réponse n’est pas la même. Si certaines industries se voient obligées de céder au chantage des cybercriminels, d’autres s’y refusent catégoriquement.

Prenons l’exemple de l’hôpital de Rouen. En novembre 2019, le CHU de Rouen est la cible d’une cyberattaque. La sensibilité extrême des informations volées et l’absence de sauvegarde ont obligé l’entité à payer pour récupérer les données. Il s’agissait ici de sauver des vies en soins intensifs, de prévoir les bonnes opérations au bon moment pour le bon patient, de communiquer les bonnes données de santé aux médecins qui vont prescrire un traitement… Récupérer rapidement les données des patients était donc indispensable.

A l’opposé, nous trouvons la station balnéaire de La Croix-Valmer. Les serveurs informatiques de la municipalité sont attaqués fin juillet 2018. Les fichiers sont cryptés et les pirates demandent une rançon. Selon la commune, aucune somme d’argent n’a été versée. En effet, malgré l’immobilisation des services pendant une semaine, la municipalité a réussi à garder les données personnelles des habitants à l’abri de l’attaque. Cette fois, les hackers n’ont rien gagné car leur cible n’était pas dans l’urgence.

Comment limiter les risques de cyberattaques ?

  • Se doter de moyens techniques adéquats : La première étape clé pour sécuriser un réseau est de se doter d’un FireWall (Pare-feu) qui permet de cloisonner les réseaux. Une même entreprise en comporte généralement plusieurs : le réseau des documents, celui de la comptabilité… Cette technique de cloisonnement permet de faire face à une attaque, en évitant qu’elle ne se propage aux autres réseaux que celui par lequel les hackers ont pénétré le système d’information. Le responsable des systèmes informatiques rajoute des anti-virus, anti-spams, et autres services et solutions afin d’optimiser la protection du réseau.
  • Ne jamais faire l’impasse sur la sensibilisation : Lorsque l’on sécurise son réseau, il est également indispensable de sensibiliser ses utilisateurs à la cybersécurité via des évènements, conférences, webinaires… Un utilisateur averti, conscient par exemple que 40% des attaques prennent moins de 30 secondes pour que le virus prenne possession de l’ensemble du réseau, pensera à débrancher son ordinateur rapidement s’il constate que celui-ci est attaqué.
  • Atteindre les cibles de sécurité requises pour obtenir les certifications : Certaines industries ont besoin de prouver leur niveau de cybersécurité. Il peut être établi par des certifications. Le terme « cible de sécurité » désigne d’ailleurs le minimum de sécurité requis par l’industrie pour atteindre un certain résultat de protection. En atteignant ces cibles de sécurité, l’entreprise peut héberger des données sensibles.

II – Un contexte macro qui évolue en fonction des risques cyber

L’économie de la cybersécurité

Le coût du matériel informatique, hardware comme software, s’est multiplié ces dernières années tout comme les salaires des professionnels de l’informatique. Pour les TPE et PME, le risque informatique est désormais bien compris et intégré. Elles sont conscientes des enjeux qui en découlent et cherchent à se protéger. En revanche, beaucoup pensent encore ne pas être une « vraie » cible. La mentalité du « pourquoi moi ? » perdure. Ces sociétés savent pourtant qu’elles doivent investir dans la sécurité, mais cette nécessité est coûteuse et contraignante ! Par exemple, de plus en plus d’entreprises interdisent l’usage de clefs USB sur leur parc informatique, ce qui bouscule les habitudes des employés.

Heureusement, les assurances commencent à couvrir le risque de cybersécurité pour les entreprises. Les premières offres sont apparues il y a quelques mois. Cet investissement devient donc de plus en plus intéressant pour les sociétés. Notamment dans le contexte actuel où le risque de cybersécurité est très élevé, et va continuer à grimper de manière exponentielle jusqu’à devenir le premier risque des entreprises.

Qu’en est-il de la législation dans le monde de la cybersécurité ?

Depuis peu, le législateur a compris que la valeur est dans les données. Le bien le plus précieux des organisations est la data.  La CNIL est la première entité à mettre en place des initiatives pour sécuriser les données et répond notamment à l’émergence des GAFAM qui sont devenus trop puissants pour continuer à évoluer sans un cadre défini.

  • Pour donner un ordre d’idée, la valorisation boursière de Microsoft est aujourd’hui au dessus des 1 200 milliards de dollars, ce qui représente quasiment 2 fois le PIB d’un pays comme la Suisse.
  • Lorsque Facebook a annoncé le lancement d’une monnaie virtuelle, 700 millions de personnes ont manifesté leur intérêt. Facebook est donc potentiellement la plus grande banque du monde, avant même que celle-ci existe réellement.

Cet essor du marché de la donnée et de la sécurité informatique inquiète les États et les législateurs qui ne semblaient pas avoir pris pleinement conscience de la situation. On commence donc à voir des actions mises en place en France et en Allemagne dans un effort pour protéger la donnée.

Cependant, les certifications coûtent extrêmement cher. Seuls les grands acteurs peuvent se les offrir. En revanche, si une entité peut investir dans son parc et sa sécurité, ce n’est pas forcément le cas de ses partenaires commerciaux. Ces derniers sont donc une porte d’entrée, via la technique du rebond, vers les données plus sensibles des grandes entreprises.

Bien qu’il y ait une sensibilisation au sein des entreprises, on constate encore beaucoup de failles de sécurité générées par les comportements des utilisateurs dans les cercles privés. Peut-être un signe que les bonnes pratiques ne sont pas encore totalement ancrées dans les esprits ?

Les commentaires sont fermés.