Entreprendre

Cyberattaques : Quelles réponses face à une menace croissante ?


La cybersécurité ne s'arrête pas aux portes des grands groupes. ETI, PME et même TPE doivent aussi se prémunir contre ce risque exponentiel. Comment ? Votre magazine organisait le 12 octobre la première édition de son club Eco121 à l'UTC de Compiègne pour dessiner les réponses à la portée de tous.


de gauche à droite : Arnauld Dubois, directeur général de Dhimyotis, Nicolas Vetriak, associé chez Novaminds, Quentin Gaumer, directeur Cyber Security & Compliance et Guillaume Roussange, journaliste chez Eco 121.

de gauche à droite : Arnauld Dubois, directeur général de Dhimyotis, Nicolas Vetriak, associé chez Novaminds, Quentin Gaumer, directeur Cyber Security & Compliance et Guillaume Roussange, journaliste chez Eco 121.

 

Equifax, vol massif de données chez Deloitte et chez Uber, faux mails envoyés aux abonnés de Netflix, les cyberattaques des grandes entreprises sont bien connues. Mais derrière ces cas médiatisés, ransomwares et autres « fraudes au président » visent désormais les PME voire les TPE. Au point de précipiter certaines vers la liquidation judiciaire. En 2016, 80% des entreprises européennes ont été confrontées à une cybertattaque ou à une problématique liée à leur cybersécurité. En moyenne,
4000 attaques quotidiennes de ransomwares ont été enregistrées cours de cette même année. Comment peut-
EDFon s’en prémunir ?CDC

humanis logo

Le hacking industrialisé

Le hacking s’est fortement industrialisé. Désormais, virus, malwares, et vulnérabilités découverts sur un système d’exploitation se commercialisent sur le net comme n’importe quel service. Des nouvelles pratiques qui augmentent d’autant plus le risque de vols de données et d’arnaques. « Toutes les informations, méthodologies, techniques et outils d’attaque sont aujourd’hui en libre accès sur Internet », constate Quentin Gaumer, directeur Cyber Security & Compliance et doctorant de l’UTC.

Dans ce contexte peu rassurant, une question se pose à chaque chef d’entreprise: « Qui aurait intérêt à me cibler ? » interroge Quentin Gaumer. Les motivations des hackers sont souvent financières, parfois politiques. Tout dépendra alors de l’activité en question ou de la nature des données manipulées par l’entreprise. « Les attaques industrielles sont récurrentes entre constructeurs d’avions dans une optique de renseignement », souligne-t-il. Conclusion: à chacun de déterminer les informations à protéger en priorité et le niveau de sécurité adéquat en suivant trois critères: disponibilité, confidentialité et intégrité. Tout en gardant à l’esprit que beaucoup d’attaques se décident aussi par opportunisme.

 

Sécuriser son site web et ses échanges

Des solutions existent pour sécuriser son site Internet et ses échanges. Les grosses entreprises s’équipent de plus en plus de centres de surveillance pour superviser leurs ressources informatiques, repérer les attaques et identifier leurs sources. Pour les PME, des outils plus abordables existent pour certifier les mails et les sites Internet. 

L’entreprise Dhimyotis, basée à Villeneuve d’Ascq et rachetée en août par le grenoblois Tessi, en commercialise plusieurs gammes qui équipent les sites de l’Etat français ou ceux de l’Assurance Maladie. « Il n’y aura pas de transformation ou de dématérialisation numérique sans sécurité », remarque son directeur général Arnauld Dubois, « fiches de paye, factures vont circuler de plus en plus sur Internet et il va falloir vérifier d’où elles partent.« 

 

ARNAULD DUBOIS, directeur général de Dhimyotis. "Il n'y aura pas de transformation ou de dématérialisation numérique sans sécurité"

ARNAULD DUBOIS,
directeur général de Dhimyotis.
« Il n’y aura pas de transformation ou de dématérialisation numérique sans sécurité »

Le choix de la sous-traitance

Autre option: la sous-traitance. Les traitements de données peuvent être externalisés chez des partenaires de l’entreprise. « Des grands établissements financiers font le choix de confier le traitement et l’exploitation de données à des sociétés tierces qui ont des compétences bien spécifiques. elles doivent assurer le même niveau de sécurité sur lequel l’entreprise s’est engagée », explique Nicolas Vetriak, associé de Novaminds, cabinet de conseil spécialisé en protection et sécurité des données dans le secteur financier. 

Nicolas Vetriak, "L'humain est devenu un maillon clé aujourd'hui. "

Nicolas Vetriak, associé chez Novaminds :  « L’humain est devenu un maillon clé aujourd’hui. « 

 

 

Au delà de l’aspect technique, le facteur humain reste fondamental. « Nombre d’attaques s’appuient sur des faiblesses des organisations notamment humaines. on se renseigne sur une entreprise, ses collaborateurs et on collecte tout un ensemble d’informations pour dérouler un mécanisme d’attaque« , prévient Nicolas Vertriak. En particulier, les collaborateurs des banques.

« Dans les grands établissements financiers, des attaques ciblent des personnes qui ont des droits pour obtenir des virements de plusieurs millions d’euros par la pression psychologique. L’humain est devenu un maillon clé aujourd’hui. cela arrive tous les jours« , témoigne Nicolas Vetriak.

 

Former les équipes

 

QUENTIN GAUMER directeur Cyber Security & Compliance. "Toutes les informations, méthodologies, techniques et outils d'attaque sont aujourd'hui en libre accès sur Internet"

QUENTIN GAUMER
directeur Cyber Security & Compliance.
« Toutes les informations, méthodologies, techniques et outils d’attaque sont aujourd’hui en libre accès sur Internet »

Impliquer les salariés s’avère donc indispensable. C’est même une obligation légale dans certains secteurs. Chaque dirigeant doit acculturer ses collaborateurs à des réflexes simples : Ne donnez jamais votre mot de passe par téléphone ou ne notez pas vos codes sur un post-it collé sur un écran ou caché sous la clavier, ce qui arrive encore parfois ! « Quand vous sortez de votre voiture, vous la fermez. Quand vous quittez votre Pc, vous le verrouillez », compare Quentin Gaumer. La sécurité doit devenir une composante naturelle du management. Certaines entreprises ont même adopté une charte informatique. « La sécurité n’est pas prise en compte dans la manière dont les employés sont évalués. Il n’y pas de notion d’argent« , regrette Quentin Gaumer, « augmentations, primes ou salaires ne sont pas liés au respect ou au non respect de la politique de sécurité. elle doit être traitée pendant les entretiens annuels. » Quitte à prévoir un système de sanctions pour les collaborateurs négligents. « Dans certaines grandes entreprises du secteur financier, un collaborateur qui viendrait à violer certains principes de sécurité ou à transmettre à l’extérieur un document classifié, tout un régime de sanction graduel est mis en place », renchérit Nicolas Vetriak.

 

L’entreprise joue sa responsabilité

Les enjeux sont considérables. En cas de cybertattaque, l’entreprise est bien sûr d’abord victime. Mais elle engage aussi sa responsabilité. Le vol d’un fichier client peut se régler en justice. Une obligation de moyen pèse sur chaque entreprise gestionnaire de données à caractère personnel. « On est à la croisée de la sécurité et de la conformité », souligne Nicolas Vetriak; « un responsable de traitement de données sensibles doit mettre en place une organisation pour garantir la sécurité, des mesures de sécurité et respecterune obligation de notification des incidents de sécurité à l’autorité ». En cas d’entorse, l’addition sera salée. Le règlement européen sur la protection des données (GDPR) qui entrera en vigueur en mai 2018 prévoit une sanction qui s’élève à 4% du chiffre d’affaires mondial consolidé. Que risque un chef d’entreprise qui s’est fait voler son fichier client ? En principe, sa responsabilité peut être bien entendu engagée en justice. « Si vous avez démontré que vous avez mis en place les mesures de sécurité nécessaires et suffisantes pour protéger ce fichier mais que votre système a eu une nouvelle vulnérabilité, on ne peut pas vous en tenir malgré tout rigueur. Par contre, vous devrez prévenir le client », rassure Quentin Gaumer

E.V.

4 cyberattaques