Sécurité

2021 sera-t-elle l’année de la cybersécurité ?

Les dirigeants considèrent tous les jours un peu plus que la cybersécurité informatique est une priorité pour leurs entreprises. Une récente enquête CISCO menée auprès des RSSI montre que les risques auxquels se confrontent les sociétés se diversifient et se complexifient. Tout laisse penser que les menaces qui planent sur la sécurité informatique vont se multiplier en 2021. Selon cette même enquête CISCO, les entreprises qui reçoivent 100 000 alertes quotidiennes sont effectivement passées de 11% en 2017 à 17% en 2020.

 

Cette omniprésence du risque pèse sur les collaborateurs, qui souffrent parfois de “cyberfatigue”. Quelles sont, dès lors, les démarches à développer en interne pour protéger vos systèmes d’information et tranquilliser vos collaborateurs ? Quel type de logiciels de cybersécurité informatique faut-il adopter pour assurer la cyberdéfense de votre société sans la noyer sous les outils ?

 

Les entreprises au défi de nouvelles formes de cyberattaques

Où en sont les entreprises françaises en ce qui concerne la cybersécurité informatique ? Bien que de mieux en mieux informées sur les risques liés à la cybercriminalité, les sociétés de l’Hexagone se heurtent à des stratégies de piratage de plus en plus perfectionnées.

 

La crainte croissante d’une fuite de données via rançongiciels

La cybersécurité informatique des entreprises fait face à de nouveaux défis, liés notamment au développement exponentiel du télétravail dans le cadre de la COVID-19. Selon Google, les tentatives de phishing auraient ainsi grimpé de 350% pendant le confinement de mars 2020.

À cette forte augmentation de la fréquence des cyberattaques s’ajoute une nette tendance à la complexification. Les tentatives d’hameçonnage du CA n’incarnent plus la seule hantise des professionnels. Ceux-ci sont aussi les victimes de fuites de données et de rançongiciels, aussi appelés “ransomwares”.

Ce dernier procédé consiste à s’introduire illégalement dans le système informatique de l’entreprise pour en crypter les données. Si elle veut les récupérer intactes, la société doit alors fournir une rançon. En cas de refus, les cybercriminels menacent les dirigeants de diffuser des informations confidentielles. Leurs responsabilités en termes de RGPD, de droits d’auteur, de propriété intellectuelle ou encore de secret commercial sont donc directement mises en cause.

Ce type de cyberattaques reste peu fréquent. 8% des demandes d’assistances reçues par cybermalbveillance.gouv.fr en 2019 concernent des rançongiciels. Cette menace inquiète pourtant plus d’un conseil d’administration. En octobre 2020, l’entreprise française de services numériques Sopra Steria, partenaire de l’Etat français et très au fait des problématiques de cybersécurité informatique, aurait été victime du rançongiciel Ryuk. De quoi s’alarmer du haut niveau d’expertise des fraudeurs.

 

Le déni de service, la cybermenace qui hante les sites de vente en ligne

Autre attaque de piraterie informatique classique : le “déni de service”, ou attaque DDoS. Les sites internet e-commerces vivent depuis quelques années dans la peur de cette forme spécifique de cybercriminalité. Il s’agit d’une attaque informatique qui consiste à bloquer une plateforme de ventes en ligne en la noyant sous les connexions clients.

Le déroulement de la cyberattaque est toujours le même. Face à l’afflux soudain de connexions, les initiatives internes se multiplient pour assurer la continuité des ventes et la cybersécurité informatique du site web. Cette suractivité ponctuelle mobilise les équipes de la direction des systèmes d’information (DSI). Toute occupée à endiguer les problématiques liées au trop-plein de trafic, l’essentiel du piratage lui échappe. Le déni de service agit ainsi comme un subterfuge, un leurre qui vient masquer une cyberattaque plus grave.

 

Des “fraudes au président” toujours plus perfectionnées

Les arnaques au président n’ont rien de nouveau. Elles font cependant partie des vrais défis de sécurité informatique en temps de crise. Déjà en 2015, de grandes marques comme Snapchat ou Mattel, la filiale de la poupée Barbie, y ont perdu d’importantes sommes d’argent. L’attaque au PDG consiste effectivement, pour le hacker, à se faire passer pour le dirigeant de l’entreprise et à réclamer qu’un virement soit effectué vers un nouveau compte client ou partenaire.

Pour réussir leurs fraudes au président, les pirates ont perfectionné leurs techniques. Avant de mener la cyberattaque, ils intègrent le système informatique de la boîte pour déchiffrer son organigramme. Dès qu’ils ont toutes les cartes en main pour se faire passer pour le président, les fraudeurs procèdent souvent par SMS pour ordonner le virement.

Des entreprises ont bien essayé de contourner la fraude en installant une méthode de double identification par SMS et par demande vocale. Les cybercriminels se sont malheureusement adaptés, en développant des systèmes pour imiter la voix du PDG de l’entreprise. Seule solution pour éviter ce type d’incident : se former en interne à la cybersécurité informatique, en se confrontant régulièrement à des exercices de mise en pratique.

 

Des ressources internes pour lutter efficacement contre les cybermenaces

 

Par où commencer pour protéger son entreprise et assurer sa cybersécurité informatique en 2021 ? Le contexte de crise actuel, qui encourage le télétravail, doit amener les sociétés à repenser la sécurité des systèmes d’information à distance.

 

La formation d’un comité dédié à la cybersécurité informatique

Idéalement, la sécurité informatique relève des compétences du comité d’audit de l’entreprise. Ces comités s’en chargent cependant peu dans les faits. Pour pallier ce manque et la multiplication des risques cybercriminels, plusieurs boîtes françaises optent donc pour la création de comités spécialisés en cybersécurité informatique. Ces comités s’appuient en général sur les compétences de la DSI. Leur tâche principale consiste ainsi à adapter les mesures de cybersécurité informatique aux spécificités de la société.

 

Les cyberattaques récentes ont effectivement prouvé que les pirates gagnent en capacité d’analyse. Ils prennent le temps de décortiquer les fonctionnements internes d’une société avant d’adapter leurs stratégies. Face à ce perfectionnement de la cybercriminalité, la seule tactique viable consiste à confronter l’entreprise à ses propres faiblesses. Celles-ci peuvent être de différentes natures, notamment dans le cadre du télétravail :

 

  • Perte des bonnes habitudes liées à la sécurité ;
  • Informations confidentielles communiquées par emails ;
  • Hétérogénéité des outils numériques utilisés par les collaborateurs ;
  • Recours systématiques aux pièces jointes ;
  • Passage fréquent par des clouds privés.

 

Protéger l’entreprise des erreurs humaines

Plus souvent qu’on ne le pense, le danger lié aux cyberattaques réside en interne, du fait de la vulnérabilité humaine des collaborateurs. La mise en place d’une politique de cybersécurité informatique solide implique donc de former les équipes. Il peut s’agir d’amener les collaborateurs à se plier à des mises en situation, comme par exemple une simulation d’arnaques au président.

Chez Diligent, nous nous appliquons par exemple à former l’ensemble de notre personnel tous les ans, quels que soient leurs postes. Un rapport Proofpoint sur la cybersécurité daté de 2019 souligne que les formations en cybersécurité informatique ont une efficacité tangible, reconnues par les salariés comme par les statuts cadres.

Cette formation peut aussi viser spécifiquement les membres des conseils d’administrations. Ceux-ci manipulent des données sensibles, et ce notamment via des emails personnels et des terminaux mobiles. En 2018, cependant, près d’un administrateur sur trois avait égaré ce type d’appareil. Il s’agit donc d’un public prioritaire dans le cadre d’une stratégie de formation à la cybersécurité informatique.

 

Un tiers des administrateurs déclare avoir perdu un appareil mobile. La moitié des membres des conseils d’administration utilise des emails personnels pour communiquer avec leurs collègues. Ces données, nous les devons à l’étude que nous avons menée en partenariat avec Forrester Research, que vous pouvez découvrir ici.

 

Les solutions métiers pour assurer sa cybersécurité informatique

 

En 2021, les entreprises confrontées à la cybercriminalité vont s’attaquer à deux principaux défis. La diversification des attaques et leur complexification créent une certaine lassitude chez les collaborateurs concernés. On parle d’ailleurs, pour qualifier cet état, d’une “cyberfatigue”. Il s’agit là d’une forme de renoncement à lutter pour assurer la cybersécurité informatique, tant les menaces sont nombreuses et intelligemment menées.

 

À cette cyberfatigue s’ajoute une autre problématique. Les entreprises, pour se protéger contre des attaques toujours mieux pensées, multiplient les solutions de sécurité. En moyenne, une entreprise française utilise ainsi 20 logiciels pour assurer sa sécurité informatique. La plupart du temps, ces solutions n’ont pas d’interaction, et ne font que se superposer (enquête CISCO 2020). Cette situation complique donc le travail des DSI.

 

Pour continuer à réduire les risques de cyberattaques sans épuiser les équipes, plusieurs solutions se dessinent :

 

  • Sécuriser le cloud avec des logiciels experts pour éviter le recours aux clouds privés ;
  • Stabiliser le nombre de logiciels de cybersécurité informatique employés ;
  • Investir dans une gouvernance centralisée des données sensibles, grâce à un logiciel sécurisé comme l’écosystème Governance Coud de Diligent.

 

 

Votre conseil d’administration est particulièrement concerné par les échanges d’informations via emails ? Notre rapport sur les risques liés aux messageries électroniques donne des pistes pour assurer la cybersécurité informatique des communications de votre CA. Vous pouvez télécharger notre livre blanc ici.

BLOGS À NE PAS MANQUER