Cyberattaques : Quelles réponses face à une menace croissante ?
Equifax, vol massif de données chez Deloitte et chez Uber, faux mails envoyés aux abonnés de Netflix, les cyberattaques des grandes entreprises sont bien connues. Mais derrière ces cas médiatisés, ransomwares et autres "fraudes au président" visent désormais les PME voire les TPE. Au point de précipiter certaines vers la liquidation judiciaire. En 2016, 80% des entreprises européennes ont été confrontées à une cybertattaque ou à une problématique liée à leur cybersécurité. En moyenne,
4000 attaques quotidiennes de ransomwares ont été enregistrées cours de cette même année. Comment peut-
on s'en prémunir ?
Le hacking industrialisé
Le hacking s'est fortement industrialisé. Désormais, virus, malwares, et vulnérabilités découverts sur un système d'exploitation se commercialisent sur le net comme n'importe quel service. Des nouvelles pratiques qui augmentent d'autant plus le risque de vols de données et d'arnaques. "Toutes les informations, méthodologies, techniques et outils d'attaque sont aujourd'hui en libre accès sur Internet", constate Quentin Gaumer, directeur Cyber Security & Compliance et doctorant de l'UTC.
Dans ce contexte peu rassurant, une question se pose à chaque chef d'entreprise: "Qui aurait intérêt à me cibler ?" interroge Quentin Gaumer. Les motivations des hackers sont souvent financières, parfois politiques. Tout dépendra alors de l'activité en question ou de la nature des données manipulées par l'entreprise. "Les attaques industrielles sont récurrentes entre constructeurs d'avions dans une optique de renseignement", souligne-t-il. Conclusion: à chacun de déterminer les informations à protéger en priorité et le niveau de sécurité adéquat en suivant trois critères: disponibilité, confidentialité et intégrité. Tout en gardant à l'esprit que beaucoup d'attaques se décident aussi par opportunisme.
Sécuriser son site web et ses échanges
Des solutions existent pour sécuriser son site Internet et ses échanges. Les grosses entreprises s'équipent de plus en plus de centres de surveillance pour superviser leurs ressources informatiques, repérer les attaques et identifier leurs sources. Pour les PME, des outils plus abordables existent pour certifier les mails et les sites Internet.
L'entreprise Dhimyotis, basée à Villeneuve d'Ascq et rachetée en août par le grenoblois Tessi, en commercialise plusieurs gammes qui équipent les sites de l'Etat français ou ceux de l'Assurance Maladie. "Il n'y aura pas de transformation ou de dématérialisation numérique sans sécurité", remarque son directeur général Arnauld Dubois, "fiches de paye, factures vont circuler de plus en plus sur Internet et il va falloir vérifier d'où elles partent."
directeur général de Dhimyotis.
"Il n'y aura pas de transformation ou de dématérialisation numérique sans sécurité"[/caption]
Le choix de la sous-traitance
Autre option: la sous-traitance. Les traitements de données peuvent être externalisés chez des partenaires de l'entreprise. "Des grands établissements financiers font le choix de confier le traitement et l'exploitation de données à des sociétés tierces qui ont des compétences bien spécifiques. elles doivent assurer le même niveau de sécurité sur lequel l'entreprise s'est engagée", explique Nicolas Vetriak, associé de Novaminds, cabinet de conseil spécialisé en protection et sécurité des données dans le secteur financier.
Au delà de l'aspect technique, le facteur humain reste fondamental. "Nombre d'attaques s'appuient sur des faiblesses des organisations notamment humaines. on se renseigne sur une entreprise, ses collaborateurs et on collecte tout un ensemble d'informations pour dérouler un mécanisme d'attaque", prévient Nicolas Vertriak. En particulier, les collaborateurs des banques.
"Dans les grands établissements financiers, des attaques ciblent des personnes qui ont des droits pour obtenir des virements de plusieurs millions d'euros par la pression psychologique. L'humain est devenu un maillon clé aujourd'hui. cela arrive tous les jours", témoigne Nicolas Vetriak.
Former les équipes
[caption id="attachment_35773" align="alignleft" width="400"]
directeur Cyber Security & Compliance.
"Toutes les informations, méthodologies, techniques et outils d'attaque sont aujourd'hui en libre accès sur Internet"[/caption]
Impliquer les salariés s'avère donc indispensable. C'est même une obligation légale dans certains secteurs. Chaque dirigeant doit acculturer ses collaborateurs à des réflexes simples : Ne donnez jamais votre mot de passe par téléphone ou ne notez pas vos codes sur un post-it collé sur un écran ou caché sous la clavier, ce qui arrive encore parfois ! "Quand vous sortez de votre voiture, vous la fermez. Quand vous quittez votre Pc, vous le verrouillez", compare Quentin Gaumer. La sécurité doit devenir une composante naturelle du management. Certaines entreprises ont même adopté une charte informatique. "La sécurité n'est pas prise en compte dans la manière dont les employés sont évalués. Il n'y pas de notion d'argent", regrette Quentin Gaumer, "augmentations, primes ou salaires ne sont pas liés au respect ou au non respect de la politique de sécurité. elle doit être traitée pendant les entretiens annuels." Quitte à prévoir un système de sanctions pour les collaborateurs négligents. "Dans certaines grandes entreprises du secteur financier, un collaborateur qui viendrait à violer certains principes de sécurité ou à transmettre à l'extérieur un document classifié, tout un régime de sanction graduel est mis en place", renchérit Nicolas Vetriak.
L'entreprise joue sa responsabilité
Les enjeux sont considérables. En cas de cybertattaque, l'entreprise est bien sûr d'abord victime. Mais elle engage aussi sa responsabilité. Le vol d'un fichier client peut se régler en justice. Une obligation de moyen pèse sur chaque entreprise gestionnaire de données à caractère personnel. "On est à la croisée de la sécurité et de la conformité", souligne Nicolas Vetriak; "un responsable de traitement de données sensibles doit mettre en place une organisation pour garantir la sécurité, des mesures de sécurité et respecterune obligation de notification des incidents de sécurité à l'autorité". En cas d'entorse, l'addition sera salée. Le règlement européen sur la protection des données (GDPR) qui entrera en vigueur en mai 2018 prévoit une sanction qui s'élève à 4% du chiffre d'affaires mondial consolidé. Que risque un chef d'entreprise qui s'est fait voler son fichier client ? En principe, sa responsabilité peut être bien entendu engagée en justice. "Si vous avez démontré que vous avez mis en place les mesures de sécurité nécessaires et suffisantes pour protéger ce fichier mais que votre système a eu une nouvelle vulnérabilité, on ne peut pas vous en tenir malgré tout rigueur. Par contre, vous devrez prévenir le client", rassure Quentin Gaumer
E.V.
Ces articles peuvent également vous intéresser :
5 champions de l'international récompensés par les trophées Leadexport
Les cinq lauréats 2017 sont Cornilleau, Müpro, Ecodas, Concept 1900, et Cooptalis.
Cinq marques lilloises font cause commune
Cinq sociétés textiles et de déco lilloises mutualisent leurs marques dans une boutique du Vieux-Lille. Avec l'idée de franchiser le concept à terme.
Emmanuel Métais : Nous ne voulons pas devenir une école hors sol
Le successeur dOlivier Oger à la tête de lEdhec veut pousser la digitalisation tout en gardant les valeurs de référence de lécole. Rencontre.
Boulogne renoue en fanfare avec son destin touristique
Attention, métamorphose ! En 2019, la ville de Boulogne-sur-Mer devrait avoir achevé une grosse partie d'une mue sans précédent sur son front de mer : extension de Nausicaa, centre de thalasso et hôtellerie de luxe, palais des congrès... De quoi renouer avec son histoire balnéaire... et faire repousser des emplois
L'unification consulaire régionale sera achevée au 1er janvier 2019
Après de grosses secousses dans le monde consulaire picard, l'assemblée générale de la CCI Hauts-de-France a adopté à la majorité des trois quarts un schéma directeur visant à la constitution d'un établissement public unique le 1er janvier 2019.
5 ans après l'ouverture, les retombées du Louvre-Lens s'accroissent
A l'occasion des 5 ans du Louvre-Lens, Euralens vient de publier des chiffres encourageants sur l'impact économique du musée. Avec pour 2017 une nette hausse du panier moyen des visiteurs extra-régionaux.
Jean -Damien Brel prend les rênes du Carrefour Hazebrouck
Son prédécesseur Christophe Wrobel prend quant à lui la tête du magasin d'Auchy-les-Mines.
Joël FABIANI prend les commandes d'Immochan France
Le jeu de chaises musicales se poursuit à la tête d'Immochan après le départ de son directeur général Ali Khosrovi à la direction d'Auchan Retail France.
Ali Khosrovi, nouvelle tête d'Auchan Retail France
Le nouveau patron d'Auchan Retail France dirigeait jusqu'alors Immochan.
