Cybersécurité

Cybersecurity

Une PME suisse sur trois a déjà été victime d’une cyberattaque et le risque ne cesse d’augmenter, selon l'Office fédéral de la cybersécurité (OFCS). Comment protéger au mieux son entreprise contre ce risque?

Vol, extorsion, chantage, sabotage… Les cyberattaques incarnent le prolongement de la criminalité du monde physique dans un environnement dématérialisé. L’ampleur du risque que constituent ces attaques reste néanmoins encore souvent sous-estimée par les dirigeants des PME suisses – qui représentent 99,7% des entreprises du pays. Alors que l’initiative digitalswitzerland propose un test rapide spécialement conçu pour les PME qui souhaitent évaluer leur degré d’exposition au risque, voici également quelques bons réflexes à adopter afin de réduire tant le niveau de risque que la gravité de l’attaque.

1. Faire l’inventaire de son matériel et procéder à des sauvegardes régulières

La première mesure à déployer pour réduire les risques consiste à recenser l’ensemble des matériels (PC, tablettes, smartphones, imprimantes, disques durs externes, clés USB…), des logiciels et des données à protéger. Seul cet inventaire, a minima annuel, permet de savoir quoi protéger, tout en identifiant les éléments essentiels au bon fonctionnement de l’entreprise. Les dirigeants doivent aussi s’assurer que leurs licences d'utilisation soient valides – un contrôle important tant du point de vue légal que pour la maintenance. Autre étape indispensable, le recensement des droits d’accès permet de déterminer qui peut accéder à quoi et de prévoir différents niveaux d’accès (visiteur, utilisateur ou administrateur), avec des autorisations de plus en plus rigoureuses pour réduire la "surface" exposée. En cas d’intrusion, plus le niveau d’accès est élevé, plus les dégâts sont importants.

Toute PME doit également s’assurer de sauvegarder régulièrement ses données pour garantir une restauration plus rapide de ses activités en cas d’incident, notamment en cas d’attaque par rançongiciel. Si la nature des données essentielles change en fonction de l’activité de chaque entreprise, certaines sont toujours critiques: fichiers clients, messageries, contrats, données comptables… La fréquence de sauvegarde est à déterminer au cas par cas, en fonction de la quantité d’informations produites. Il est par ailleurs important de combiner des sauvegardes en ligne et déconnectées. Les premières permettent une récupération rapide, mais restent elles-mêmes exposées à des attaques. Bien qu’elles ne soient pas à l’abri d’un dysfonctionnement, les secondes – un disque externe par exemple – sont toutefois déconnectées du réseau.

2. Sensibiliser ses collaborateurs à l’utilisation de mots de passe robustes

Beaucoup d’attaques informatiques réussissent parce que les mots de passe utilisés par les salariés sont trop simples. Selon une étude de l’assureur AXA, une PME sur deux seulement a défini des règles en la matière.

Il est utile de rappeler à ses équipes la manière dont les pirates procèdent. La pratique la plus courante relève de la force brute: l’attaquant multiplie les combinaisons possibles jusqu’à trouver la bonne. Il peut également resserrer l’essai, en se concentrant sur les possibilités les plus fréquentes comme des noms communs, une suite de chiffres (0000) ou de lettres (qwertz). Il peut enfin tester des solutions inspirées d’informations accessibles en ligne, notamment sur les comptes personnels des salariés, en tentant de deviner un surnom, les prénoms des proches ou le nom d’un animal de compagnie.

Le OFCS estime qu’un mot de passe robuste doit compter au moins douze caractères (quinze pour les accès critiques), et associer des caractères spéciaux (comme "&" ou "£"), des chiffres et des lettres, en capitales et en minuscules. Aucun élément personnel ne doit y figurer (date de naissance, prénom…). Il s’agit par ailleurs de ne pas utiliser le même mot de passe pour accéder à différents logiciels ou sites. Cette précaution permet d’isoler les identifiants en cas d’attaque réussie. Il est également indispensable de conseiller à ses salariés de ne pas utiliser, dans le cadre professionnel, les mots de passe qu’ils utilisent dans le cadre personnel.

Une alternative consiste à généraliser l’authentification à deux facteurs (2FA): si celle-ci est en place, le seul mot de passe ne suffit plus et l’utilisateur doit fournir une autre information pour accéder à son compte, par exemple en communiquant un code reçu par SMS ou en recevant un lien d’accès unique.

3. Respecter certaines mesures techniques

Pares-feux et anti-virus

Les antivirus et les pares-feux permettent l’identification de programmes et de fichiers malveillants. Pour cette raison, leur installation est aussi indispensable que leur constante mise à jour, des centaines de milliers de virus ou de codes malveillants étant lancés chaque jour. La plupart des antivirus proposés sur le marché proposent une mise à jour et des scans automatiques du réseau. Il s’agit donc de procéder immédiatement à leur activation dans les paramètres.

Accès à distance

Avec le développement du travail à distance ou nomade, la question des accès à distance devient d’autant plus essentielle que beaucoup de salariés travaillent dans des lieux publics ou dans les transports en commun, avec des risques spécifiques que certaines bonnes pratiques contribuent à réduire. La principale consiste à ne jamais connecter ses équipements personnels ou ceux de tiers à ses outils professionnels. Il est également préférable de ne pas connecter son poste à des portails captifs (commerces, hôtels, etc.), mais de privilégier le partage de connexion avec son téléphone mobile. Enfin, l’entreprise doit être immédiatement prévenue en cas de vol.

Protéger ses messageries

Le courrier électronique reste la première faille exploitée par les pirates, que ce soit pour injecter un logiciel frauduleux via une pièce jointe ou pour inciter à cliquer sur un lien qui amène vers un site malveillant. Sensibiliser ses collaborateurs à certains réflexes comme le fait de s’assurer que l’expéditeur soit connu, que son adresse soit crédible et que le sujet du message entre dans le cadre normal permet de réduire le risque d’attaque. En cas de doute, vérifier l’authenticité du message par un autre canal (téléphone, SMS, etc.) auprès de l’émetteur peut se révéler utile. D’autres pratiques relèvent de mesures techniques comme la mise en place d’un anti-spam et d’une solution anti-phishing pour augmenter les capacités de détection des tentatives d’hameçonnage. Le OFCS propose également une liste de formats de fichiers considérés comme risqués.

4. Externaliser ses procédures de sécurité

Contrairement à beaucoup de grandes entreprises, les PME choisissent souvent de s’adresser à un prestataire spécialisé pour assurer leur protection face à un risque cyber. Si ce réflexe est bon, notamment pour la gestion des serveurs et des messageries, le choix du prestataire reste essentiel. Celui-ci dépend des besoins, des priorités et des moyens propres à chaque PME. Les géants du web proposent des solutions clés en main souvent moins onéreuses que des partenaires locaux, mais ces derniers hébergent les données critiques en Suisse et sont souvent plus réactifs en cas de besoin. Plusieurs labels permettent de distinguer les prestataires reconnus, comme les labels CyberSeal ou Cyber-safe, spécifiquement développé par l'Association suisse pour le label de cybersécurité à destination des PME. Ces labels ou certifications permettent de s’assurer que le prestataire retenu respecte les normes reconnues en matière de protection des données (voir la Nouvelle loi sur la protection des données (nLPD)) et de sécurité, et possède le savoir-faire requis.

5. Connaître les principaux modes d’action des pirates informatiques

Pour infiltrer le réseau d’entreprises, les pirates utilisent des outils qui peuvent exploiter des failles humaines ou techniques, voire mélanger les deux. Les attaques les plus courantes sont les suivantes.

La manipulation

Pratique de piratage psychologique, le social engineering consiste à amener des salariés à prendre une décision néfaste en les manipulant de différentes manières. En utilisant des informations librement accessibles sur le site de l’entreprise ou sur les comptes sociaux d’un employé, un pirate peut ainsi attirer son attention en jouant sur l’émotion ou l’empathie. Il peut aussi le rassurer en se faisant passer pour un tiers de confiance: un proche, un collègue…

Les malwares

Les malwares désignent l’ensemble des programmes, dont comme les virus, développés dans le but de nuire à un système informatique et en parasiter les ressources (données, mémoire, réseau). Ces programmes exploitent tous les moyens disponibles afin d’y parvenir: messagerie, partage de fichiers, page internet frauduleuse, clés USB…

L’hameçonnage (ou phishing)

Une tentative d’hameçonnage est une technique qui permet de soutirer des informations sensibles en passant par un faux mail/SMS dont la nature semble innocente: livraison de colis, confirmation de réception ou encore confirmation d’identification. En cliquant sur un lien ou en téléchargeant une pièce jointe, le salarié diffuse sans le savoir un malware dans le réseau de l’entreprise.

La fraude au président

Version cyber du détournement de fonds, ce type de piège consiste à demander à une personne potentiellement détentrice d’informations bancaires sensibles de procéder à un virement présenté comme urgent ou confidentiel, en utilisant l’identité d’un cadre dirigeant.

Le déni de service (DDoS)

En noyant les serveurs informatiques sous les demandes de connexions, les cybercriminels peuvent saturer la bande passante du serveur et épuiser les ressources d’un système pour en rendre l’accès impossible.

Le rançongiciel (ransomware)

Un ransomware permet de verrouiller les ordinateurs ou certains fichiers essentiels au fonctionnement d’une entreprise. Le cybercriminel exige ensuite une rançon en échange de leur déverrouillage. Cette infection peut arriver après l’ouverture d’une pièce jointe trafiquée, en naviguant sur des sites compromis ou à la suite d’une intrusion sur le système.

6. Adopter les bons réflexes en cas d’urgence

En cas d’incident avéré, le premier réflexe consiste à déconnecter les équipements de l’entreprise du web (par connexion filaire ou par Wi-Fi), mais sans éteindre les ordinateurs affectés. Ceci permet de contenir les actions de l’attaquant et notamment de réduire les fuites de données. En cas de rançongiciel, la première règle consiste à ne pas payer dans l’affolement la rançon demandée car des solutions de déchiffrement existent.

Face à tout type d’attaque, il est également primordial d’informer ses partenaires pour éviter une éventuelle propagation des dommages – dans l’hypothèse où les assaillants seraient parvenus à récupérer des informations exploitables, comme des trousseaux de mots de passe ou des données sensibles.

Il convient également d'annoncer à l'Office fédéral de la cybersécurité (OFCS) tout incident, même lorsqu'aucun dommage n'est à déplorer ou qu'il ne s'agit que d'une tentative d'attaque. Ces précautions permettent de faciliter la tâche des professionnels et des enquêteurs en cas de plainte: il n’est pas obligatoire de signaler les cyberattaques aux autorités compétentes, mais le OFCS appelle toutefois à ne pas sous-estimer l’importance du reporting pour faire avancer la réponse pénale et lutter sur le long terme contre les menaces cyber.



Informations

Dernière modification 02.07.2024

Début de la page

https://www.kmu.admin.ch/content/kmu/fr/home/faits-et-tendances/Cybers%c3%a9curit%c3%a9.html