Une criminalité "virtuelle" bien réelle !
Dans le monde d’aujourd’hui, les cybermenaces sont omniprésentes et aucune entité n’est à l’abri d’une attaque. Les petites et moyennes entreprises, largement majoritaires en Suisse, peinent particulièrement à se protéger, faute de moyens et de temps.
Une table ronde organisée à la fin janvier à la CCIG a donné la parole à cinq experts, dont le CyberPeace Institute, qui a reçu le prix spécial 2021 du jury des Grands Prix de l'économie. Son directeur exécutif Stéphane Duguin a rappelé que « face à la hausse des attaques, il faut logiquement augmenter les investissements dans la cybersécurité ».
A son tour, Nathalie Mombelli, responsable de la sécurité des entreprises chez Microsoft, a pointé le fait que les cyberattaques devenaient sophistiquées et n’étaient plus seulement automatisées. « Le rançonnage (ransomware) sur les données est en vogue, surtout de la part de groupes criminels qui veulent s’enrichir en élaborant de vrais scénarios ». Parmi les cybercriminels, on trouve aussi quelques entités « espionnes » soutenues par certains Etats, sans oublier de jeunes geeks qui cherchent à se divertir.
La tendance est aussi d’exfiltrer des données professionnelles pouvant nuire à l’e-réputation. L’identité volée peut alors être revendue sur le darknet. « Désormais, le phishing est difficile à détecter, il exige de solides pare-feu dans l’entreprise », indique la spécialiste. L’hacker s’introduit dans des comptes mail ou attend que la victime réponde à un envoi. Un collaborateur peut aussi être touché de façon collatérale dès que le système de base de l’entreprise est attaqué.
Désormais, il existe des guides spécialement dédiés aux PME. Dans la checklist à établir, la gestion utilisateurs doit être précise, tout comme l’organisation des procédures et des responsabilités, pour savoir par exemple qui contacter en cas d’urgence. La mise à jour des systèmes constitue un autre point-clé.
Des protections en tout genre
Selon Jérémy Richard, directeur adjoint à la sécurité du Groupe Mutuel, l’attention doit aussi être portée sur le support management. « Si on est au courant des pratiques, on peut agir ». Il s’agit de fixer des ambitions ciblées, telles que des certifications adéquates, puis de définir des stratégies établissant les étapes en vue d’une protection optimale. Quelques conseils ? Commencer par définir de petits secteurs de l’entreprise à tester en situation réelle. Si l’approche est concluante, on peut généraliser la méthode, la mesurer avec des indicateurs et se féliciter des victoires remportées contre les éventuels hackers, ce qui est motivant pour les collaborateurs. Mais cette démarche ne saurait se passer d’une formation des collaborateurs, d’audits de sécurité et d’un backup des données.
Delphine van Solinge, responsable de la sécurité des entreprises du CICR, a pu témoigner sur l’attaque subie en début d’année par l’institution humanitaire. « Les pirates testent les victimes faibles avant de s’attaquer à des cibles qui leur rapportent de l’argent ». Sachant que les institutions internationales ne sont plus épargnées, les données à but humanitaires doivent aussi être protégées.
L’humain, maillon faible du système
Il est également rappelé que c’est le facteur humain, et non technique, qui constitue la faille principale en cybersécurité. Les utilisateurs des réseaux sociaux divulguent des informations qui peuvent se retourner contre eux. Et, assurément, la généralisation du télétravail a fragilisé les réseaux. Là aussi, il faut identifier les outils les plus adaptés et les tester auprès des collaborateurs. Et rester vigilant lorsque l’on veut accéder à des contenus depuis l’étranger (s’assurer par exemple que le wifi est sécurisé). Enfin, il est vivement recommandé de placer toutes les données sensibles dans un cloud décentralisé.
Les trucs pratiques du CyberPeace Institute
Fabien Leimgruber, responsable de programme au CyberPeace Institute, a livré quelques astuces pratiques. « Il faut bien voir qu’il existe une méthodologie des attaques : elle commence par une reconnaissance de la cible, puis met en place des outils adaptés avant de livrer des logiciels malveillants et les exploiter dès que le piège a fonctionné ».
L’un de ses conseils est de partager l’information avec ses collègues quand on a des doutes : une adresse électronique bizarre, une url inconnue ou une pièce jointe suspecte constituent des indices précieux. Mieux vaut prendre le temps de vérifier un expéditeur qu’on ne connaît pas. « En général, il ne faut jamais livrer d’informations personnelles, surtout si la demande est pressante et curieuse », relève l’expert.
Les mots de passe sont l’une des protections les plus connues, mais ils ne sont pas infaillibles. « Ils ne doivent être ni trop simples, ni trop identifiables ; le mieux étant de créer une longue phrase à retenir. Puis d’avoir plusieurs codes sur ses comptes ou de privilégier une double authentification, procédé très efficace », ajoute Fabien Leimgruber.
0 comment