À l’ère du numérique, les entreprises traitent et manipulent à un plus haut degré de multiples informations en ligne. Ces données sensibles attirent les hackers ou autres cybercriminels qui font preuve d’ingéniosité pour les dérober. Les risques se multiplient avec des emails frauduleux, l’hameçonnage, les escroqueries financières et l’espionnage industriel. Ils deviennent de plus en plus intrusifs. Ainsi, ils laissent les sociétés démunies face au danger grandissant des pirates informatiques et de leurs attaques. Voici les principaux éléments pour protéger au mieux votre entreprise contre les risques informatiques.
L’Agence Nationale
Au 1er septembre 2020, l’Agence nationale de la sécurité des systèmes d’information (Anssi) est intervenue à 104 reprises contre des attaques informatiques de type rançongiciel. Celles-ci sont une source de grandes difficultés pour les entreprises car elle paralyse toute activité.
Bouygues Construction, Fleury Michon, M6, le CHU de Rouen mais aussi des PME ont constaté que leurs ordinateurs étaient entièrement chiffrés par un logiciel malveillant. Pour récupérer leurs données, les entreprises devaient payer une rançon aux cybercriminels.
Les risques informatiques sont multiples, mais ce sont les cyberattaques qui menacent le plus les entreprises. L’étude « Risk in Focus » réalisée en 2018 par sept instituts européens d’audit interne, membres de l’ECIIA (« European Confederation of Institutes of Internal Auditing », « Confédération Européenne des Instituts d’Audit Interne » en français,ndlr) le souligne bien. Pour 66 % des experts interrogés, le principal risque auquel seront confrontées les entreprises en 2019 est la cybersécurité. Ils placent en deuxième position, la protection des données et la mise en place de stratégies autour du RGPD (Règlement Général de Protection des Données personnelles, ndlr).
Selon le sondage OpinionWay pour le CESIN (Club des experts de la sécurité de l’information et du numérique, ndlr), 73 % des attaques informatiques sont des ransomware (« rançongiciel » en français, ndlr). Par aillleurs, 91 % des offensives passent par les emails et 49 % d’entre elles impactent considérablement le business d’une firme. Respectivement à une étude publiée par Balabit / One Identity (société qui conçoit des logiciels pour faire aux menaces informatiques, ndlr) en mars dernier, près de 80 % des entreprises auraient été touchées par des attaques informatiques. Voici quelques réflexes à mettre en place pour prévenir les risques informatiques.
Des petits détails primordiaux à prendre en compte
Les précautions d’usage
Des précautions d’usages sont à effectuer pour protéger au mieux l’entreprise et ses données. Ce sont des petits éléments basiques, mais qui peuvent faire la différence. Il faut tout d’abord prêter une précaution particulière au choix des mots de passe qui permettent de protéger des contenus sensibles sur l’entreprise comme le compte bancaire de la société, la messagerie professionnelle ou encore des données sur les clients. La précaution à prendre est d’éviter les dates d’anniversaire ou les derniers mots à la mode. La Cnil (Commission nationale de l’informatique et des libertés, ndlr) conseille de choisir des mots de passe composés d’au moins 12 caractères mélangeant majuscules, minuscules, chiffres et caractères spéciaux.
Les mots de passe
L’entreprise se doit d’élaborer une stratégie de gestion des mots de passe, c’est à dire de définir les règles de création des mots de passe (dimension, composition) et leur gestion (périodicité de changement, par exemple). Les mots de passe ne doivent en aucun cas être conservés sur un ordinateur ou sur des supports papier visibles à la vue de tous comme des post-it.
Il est important de mettre à jour le parc informatique de l’entreprise comme les logiciels et le firehall afin de protéger au maximum les données en cas de virus ou encore d’un piratage par un rançongiciel. Il existe un ensemble varié de solutions et d’outils pour cette question comme les pare-feux nouvelle génération (NGFW) qui détectent les menaces dans les applications collaboratives ou gèrent le trafic internet avec des règles précises ou encore les solutions de type NGES qui bloquent les logiciels malveillants et proposent des protections anti-malware et anti-ransomware.
En dehors des ordinateurs, il faut prendre des précautions sur les tablettes et les smartphones professionnelles en faisant pré-enregistrer les mots de passe, en effectuant des sauvegardes régulières tout en étant prudent en téléchargeant des applications. Enfin, l’aspect le plus important est de sauvegarder les données de l’entreprise sur un support indépendant d’un ordinateur et du réseau, sous peine de menacer l’avenir de celle-ci en cas de risques informatiques. Il est alors recommandé de créer deux copies de sauvegarde, l’une qui sera stockée dans un service spécifique, sur le Cloud, ainsi qu’une autre sur un support physique comme un disque dur externe ou une clé USB.
Former les salariés à la sécurité informatique
Les salariés vulnérables ?
Les salariés sont les plus susceptibles d’être attaqués par un cybercriminel ou un pirate informatique. Selon le baromètre Opinion Way réalisé en 2016 pour le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), 48 % des entrepreneurs pensent que leurs salariés ne suivent pas les recommandations en termes de cybersécurité. Il est alors primordial de former les membres de l’entreprise à la sécurité informatique, pour qu’ils détectent les attaques pour agir au plus vite et limiter les dégâts.
Responsabiliser les collaborateurs
Pour responsabiliser le personnel, leur formation peut se faire via de nombreux outils pour apprendre les bons comportements à tenir face aux menaces et les éléments pour les déjouer. Cela peut se faire via une charte informatique diffusée à l’ensemble de l’entreprise pour partager les bonnes pratiques ou des formations de groupes qui permettent de rapprocher les liens et de partager des expériences via des dispositifs ludiques comme des serious games ou des quiz. S’ajoutent également des sessions d’e-learning (formations en ligne, ndlr) qui permettent aux salariés d’apprendre à leur rythme. Enfin la solution qui donne lieu à une meilleure compréhension et sensibilisation des risques informatiques reste celle des sessions de live-hacking, des démonstrations simulant des attaques informatiques.
Que dit l’institut Montaigne?
Un rapport de l’Institut Montaigne intitulé « Cybermenace: avis de tempête » et publié fin novembre dresse un constat alarmant sur la crainte de plusieurs cyberattaques majeures menaçant des milliers d’entreprises, des services de l’État, le transport ferroviaire ou encore les médias. En dressant un scénario catastrophe, l’organisme met en lumière la nature de ce risque et cherche à identifier les solutions. Elle souligne également que la France n’est pas encore en phase de maturité en matière de cybersécurité. Le niveau de sécurité des systèmes d’informatiques des grandes entreprises est particulièrement hétérogène : les firmes bancaires et les sociétés dans le secteur du service et particulièrement celles en B2C (Business to Consumer, ndlr) seraient les plus armées en matière de cybersécurité.
Quant aux TPE/PME/ETI, elles seraient les moins bien protégées : l’Institut Montaigne justifie son propos en reprenant une étude de SystemX (Institut de recherche technologique dédié au domaine de l’ingénierie numérique du futur, ndlr) qui démontre que 50 000 PME dans l’Hexagone sont victimes de cyberattaques par an. Pour conclure son rapport, le groupe de réflexion expose treize recommandations pour accroître la cyber-résilience. Parmi elles, une incitation à la création et la souscription d’offres cybersécurité par les TPE/PME/ETI, notamment des offres de connectivité réseau intégrant par défaut des mesures de sécurité de base (nettoyage du trafic).