« Aucune
entreprise n’est épargnée par le risque cyber » : face à ce constat,
trois experts en cybersécurité réaffirment l’importance pour les sociétés
d’avoir recours à une évaluation d’exposition au risque et de diffuser les
bonnes pratiques d’utilisation des ordinateurs auprès des collaborateurs. Comme
celle, par exemple, de ne jamais avoir recours à une souris qui n’a pas été
vérifiée par le service informatique, sous peine que celle-ci ne se transforme
en véritable cheval de Troie.
Alors
que les cyberattaques sont de plus en plus fréquentes et sophistiquées, une
enquête mondiale menée par OpenText, leader sur le marché de la gestion
d'information et des solutions cloud, et révélée le 16 novembre, met en lumière
un « état d’esprit contradictoire » dans le monde de
l’entreprise. Si près de 90 % des sociétés se disent en effet préoccupées
par ces attaques, et comptent renforcer leur arsenal de sécurité en 2024, plus
de la moitié d’entre elles ne pensent pas être la cible de ransomwares.
Pourtant,
« aucune entreprise n’est épargnée par le risque cyber »,
rappelait Olivier Arthaud, expert-comptable et fondateur du cabinet Arthaud et
associés, lors d’une matinale Sfair Value dédiée aux professionnels du secteur de la finance, le 21 septembre dernier. Durant son
intervention à laquelle le JSS a assisté, le spécialiste égrène des
chiffres inquiétants. Il rapporte notamment qu’une entreprise sur deux est
visée chaque année par une cyberattaque… parfois sans même le savoir. « Il
y a une temporalité assez particulière selon laquelle vous pouvez avoir des
hackers qui pénètrent vos serveurs et qui, pendant un an, deux ans, ne font
rien, et observent les comportements pour trouver le bon moment pour envoyer
des virus », explique-t-il.
De
son côté, Fabien Rouillon, expert en sécurité informatique et dirigeant de la
société Moontech (rachetée par le cabinet Arthaud), souligne à quel point
l’univers de la cyberattaque s’est professionnalisé. « On parle de
pirates qui sont recrutés par des DRH, qui commencent leur journée à 8h en
prenant leur petite liste de réseaux infiltrés, qui ont des objectifs, des
primes… C’est effarant », réagit-il, faisant écho à l’enquête d’un
journaliste qui avait infiltré ce milieu. « Il y a des entreprises qui
ne font que ça, opine Olivier Arthaud, et des levées de fonds sur le
darknet pour pouvoir infiltrer des réseaux. C’est un monde parallèle ! »
Qui
paie la rançon devient un « bon client » pour le hacker
Et
bien que la sensibilisation suive « une courbe exponentielle »,
ces sujets restent « assez confidentiels », face à un fléau
qui fait « de gros dégâts ». En effet, autre statistique
préoccupante : une PME sur deux fait faillite dans les 18 mois suivant une
cyberattaque de gros niveau. « Quand toutes les données de l’entreprise
sont cryptées, notamment ses données sensibles, et qu’elle n’arrive pas à les
récupérer, cela a de grandes chances d’aboutir à un dépôt de bilan »,
ajoute Olivier Arthaud.
Selon
lui, le « vrai sujet » n’est donc pas, pour une entreprise, de
se demander si elle se fera hacker ou non, mais plutôt de se demander comment
faire pour « redémarrer le plus rapidement possible, avec un maximum de
données » quand elle se fera hacker. L’expert financier pointe que les
sociétés devraient ainsi s’inscrire constamment dans un scénario de crise, ce
que le chef d’entreprise, « en éternel optimiste », ne fait
généralement pas.
Pourtant,
la prévention peut s’avérer salvatrice, puisqu’en cas d’attaque par un
rançongiciel (ou ransomware, comme on le voit traditionnellement écrit
en anglais), 41 % des entreprises qui réussissent à payer la rançon aux
cybercriminels ne parviennent pas à récupérer toutes leurs données. C’est en
partie pour cette raison qu’Olivier Arthaud conseille d’ « éviter
un maximum de payer la rançon ». Mais même si, par chance,
l’entreprise récupère sa data, elle multiplie les risques d’être de nouveau
hackée dans les deux ans : « Les hackers vont revenir car vous êtes sur
la liste des clients Premium. »
Toutefois,
dans certains cas particuliers, les entreprises peuvent être obligées de payer
la rançon du fait du caractère particulièrement sensible des données qu’elles
détiennent. Olivier Arthaud recommande dans ce cas de se faire accompagner par
des spécialistes qui auront pour rôle de déterminer le profil du hacker. « Ils
vont échanger avec lui pour déterminer si c’est un “businessman” susceptible de
respecter son engagement, vérifier si les entités qui ont eu affaire à ce
hacker ont récupéré leurs données, et demander des éléments de preuve. Ce n’est
qu’à ces conditions que la rançon sera payée », détaille l’expert, qui
insiste sur la nécessité de ne pas se précipiter en payant le plus vite
possible.
Cyberattaques
: un risque bientôt inassurable ?
Quant
au coût d’une cyberattaque, il se situe en moyenne entre 60 000 et 300 000
euros pour une PME et entre 200 000 et 500 000 euros pour une ETI, coûts
directs (rançon, frais de justice, communication, mise en conformité, enquête
technique, renforcement de la sécurité…) et coûts cachés (perte de propriété
intellectuelle, perte de valeur, augmentation du coût de la dette, augmentation
des primes d’assurance…) confondus. « Il y a des éléments qu’on a du
mal à mesurer, comme la possibilité de perdre un client quelque temps après
l’attaque en raison d’une perte de confiance », renchérit Olivier
Arthaud.
Tant
et si bien que les assurances parlent aujourd’hui d’un risque qui va devenir
inassurable, rapporte l’expert. « Aujourd’hui, on arrive encore à
l’assurer, mais c’est de plus en plus compliqué ; la balance est catastrophique »,
constate-t-il : en effet, les cotisations rapportent aux assurances à peine 25 %
de ce que cela leur coûte. « Par ailleurs, l’an dernier, quatre
dossiers représentant des attaques ayant coûté des dizaines de millions d’euros
pesaient 80 % du coût des assurances », poursuit Olivier Arthaud.
Dans
le prolongement du coût de l’attaque, l’expert alerte aussi sur une possible
sanction au titre de la non-conformité au règlement général sur la protection
des données (RGPD) qui pend au nez des sociétés. « Si les données qu’on
vous dérobe sont rendues publiques, que la CNIL fait un contrôle de conformité
et conclut que vous n’êtes pas conforme, vous pouvez écoper d’une amende. »
« Les
sanctions peuvent aussi être émises à l’encontre de petites structures : il ne
faut pas penser que ces dernières se trouvent en dehors du scope, que seules
Google et compagnie sont sanctionnées », abonde Fabien Rouillon.
L’expert évoque une « double peine ». « C’est vraiment
quelque chose qu’il faut anticiper aussi. »
Calculer
le coût d’une attaque pour une entreprise fait justement partie de la mission
d’évaluation d’exposition au risque cyber que mènent les entités spécialisées
comme Moontech. Pour ce faire, cette dernière propose des scénarios d’attaque
au dirigeant, lui en fait choisir deux. Ensemble, ils les déroulent étape par
étape et procèdent au chiffrage. « Quand les dirigeants se rendent
compte des chiffres, généralement ils se disent qu’ils vont peut-être débloquer
un peu de budget pour mettre en place du préventif. »
« La
première porte d’entrée, c’est le dirigeant »
Cet
entretien avec le dirigeant sert également pour les experts à mesurer sa
connaissance ainsi que son implication, pour vérifier sa compréhension des
enjeux. « Certes, c’est un sujet technique, mais si le dirigeant n’a
aucune connaissance dans le domaine, ça peut être très dangereux. Il ne peut
pas se reposer sur la DSI (direction des systèmes d’information, ndlr) »,
met en garde Olivier Arthaud.
Dans
le cadre de leur mission, les experts en cybersécurité chez Moontech sont
également amenés à mener des audits techniques via lesquels ils inspectent les
actifs numériques, les processus et toutes les particularités techniques de
l’entreprise. Ils procèdent aussi à l’analyse du système d’information, via un
entretien avec les parties prenantes du service informatique et à une analyse
documentaire des contrats prestataires informatiques, de la charte IT, de
l’assurance cyber, des rapports de sauvegarde ou encore de la conformité RGPD.
Ils
ont notamment pour mission d’analyser la surface d’attaque, en déterminant les
vecteurs d’attaque pour mieux minimiser le nombre de droits et de portes
d’entrées, mais aussi proposer des solutions permettant de réduire la surface
d’attaque et de « mettre un maximum de barrières pour décourager le
hacker ». Sachant que « la première porte d’entrée, c’est le
dirigeant, car c’est lui qui échange énormément et qui détient un maximum de
droits sur son réseau », signale Fabien Rouillon.
Plus
étonnant, mais tout aussi important, les experts mandatés conduisent une
analyse physique des salles informatiques. « On pense souvent qu’un
hacker se trouve seulement derrière son ordinateur, mais ce n’est pas vrai : il
peut rentrer dans les locaux, trouver la salle informatique, récupérer les
données sauvegardées et partir avec. On le voit souvent dans les sociétés où il
n’y a pas d’accueil, pas de suivi des entrées et des sorties, pas de salles
informatiques aux normes », témoigne Thomas Imperato, codirigeant de
Moontech.
« Après
ces premières étapes, on passe ensuite à tout ce qui est création ou mise à
jour du schéma simplifié du réseau, de la cartographie applicative. Ce sont
souvent des choses que les clients n’ont pas mises en place, alors que lors
d’une attaque, on a besoin d’identifier les actifs les plus sensibles de
l’entreprise », affirme l’expert. Cette phase est suivie de la
rédaction d’un rapport appréciant le niveau de risque, et formulant des avis et
recommandations, sur différents éléments : la sécurité physique, la gestion du
changement, l’exploitation, les sauvegardes, le système d’Information etc. Puis
ce rapport est restitué au dirigeant avec un plan de remédiation (une feuille
de route) sur un an pour faciliter la prise de décision de la direction.
Toutefois,
bien souvent, les choses n’en restent pas là. « Aujourd’hui, on fait
beaucoup de SAV », confie Olivier Arthaud. « Tous les trois
mois, on retourne dans l’entreprise pour voir si les actions prescrites ont été
mises en place. Car le dirigeant peut être intimement persuadé du bien-fondé de
notre plan lors de la restitution, et puis le temps fait son œuvre et il oublie. »
Le
coffre-fort pour être maître de ses données
Parmi
les actions importantes à mettre en place, Olivier Arthaud attire l’attention
sur l’importance d’avoir plusieurs couches de sauvegardes. « Souvent on
se dit que du moment qu’on a des sauvegardes, si on se fait attaquer, on peut
repartir sans problème, sauf qu’elles aussi, elles peuvent être infectées. Ce
n’est donc pas si simple », souligne l’expert.
L’une
des solutions peut alors consister à recourir à une cybersauvegarde, qui est
une couche supplémentaire non visible sur le réseau, quasiment étanche à toute
attaque.
« Contrairement
à ce que l’on croit, la cybersécurité ne coûte pas très cher : c’est beaucoup
de bonnes pratiques et beaucoup de choses très accessibles. Même la
cybersauvegarde coûte seulement quelques centaines d’euros par mois, c’est
finalement assez peu pour être sûr de pouvoir garder un accès à ses données »,
argue Olivier Arthaud.
Thomas
Imperato ajoute que l’ANSSI recommande d’avoir au moins trois copies de
sauvegarde sur deux supports différents dont une hors ligne. Il cite le cas de
la solution de sauvegarde tankR, et explique : « On récupère les
données du réseau sur cette machine et on la fait descendre dans deux disques
durs distincts complètement isolés du réseau ». Et si par malheur un
hacker parvient à entrer sur la première partie du tankR, différents fichiers (« direction »,
« support ») sont là pour attirer le hacker et faire en sorte que la
machine se bloque.
« L’avantage
de ce système, c’est qu’il est en local, commente Thomas Imperato. Si
vous n’avez que des sauvegardes externalisées sur le cloud et que vous êtes
attaqué, vous pourrez mettre plusieurs jours à récupérer vos données. Ici, vous
avez juste à récupérer le disque dur de la machine qui n’est pas accessible, le
brancher sur l’ordinateur et récupérer les données instantanément ».
Un système un peu anachronique ? Olivier Arthaud s’en amuse : « On est
tous partis sur du Saas et maintenant on revient sur du local pour être maître
de ses données. Le seul moyen, c’est de les avoir dans un coffre-fort. »
Fabien
Rouillon préconise d’autre part de bien tester les sauvegardes de manière
régulière – « car sans test, pas de sauvegarde », prévient-il –,
mais encore d’identifier les données à sauvegarder. En effet, « l’idée
n’est pas de tout sauvegarder, mais seulement ce dont on a vraiment besoin.
Plus on réduit le stock, moins le coût est important ». À ce titre, le
dirigeant peut déterminer le rythme de la sauvegarde, laquelle peut être
journalière, hebdomadaire, mensuelle, etc.
« Un
mot de passe, c’est comme une brosse à dents »
Une
autre bonne pratique concerne la formation des collaborateurs. « Il
faut que le dirigeant emmène son équipe vers une utilisation plus vertueuse des
outils informatiques », affirme Fabien Rouillon. Et cela commence par
la gestion des mots de passe. L’expert invite d’abord les sociétés à rappeler
aux salariés de toujours séparer les usages pros/persos, en ayant des comptes
distincts et en utilisant des mots de passe différents. « Un mot de
passe, c’est comme une brosse à dents : ça se change régulièrement, ça ne se
prête pas et il ne faut pas le laisser traîner », plaisante-t-il.
Le
dirigeant de Moontech insiste également sur le nombre de caractères : minimum
12 voire 14, le tout avec des caractères spéciaux, des minuscules, des
majuscules. « Si vous demandez à vos collaborateurs d’augmenter la
taille de leurs mots de passe, certes, ils risquent de râler, mais vous allez
considérablement gagner en sécurité, sans que cela ait un coût »,
assure Fabien Rouillon, qui conseille également d’avoir recours à un
gestionnaire de mots de passe ainsi qu’à l’authentification multi facteurs, « meilleure
garantie pour repartir » selon lui. Thomas Imperato suggère par
ailleurs d’instaurer une politique de mot de passe solide faisant en sorte que
si les salariés se trompent plusieurs fois de mot de passe, l’accès à
l’ordinateur soit verrouillé et ne puisse être déverrouillé qu’en passant par
un informaticien.
Outre
le mot de passe, l’expert passe en revue quelques-uns des autres bons usages ;
par exemple, pour les personnes qui travaillent dans le TGV, ne pas utiliser le
wifi du train et installer un filtre de confidentialité sur l’ordinateur ; ne
pas renseigner d’informations sensibles, utiliser une solution anti-SPAMS,
utiliser un antivirus. Mais aussi, complète Thomas Imperato, mettre
régulièrement à jour les systèmes (ordinateurs, serveurs, logiciels) pour
éviter les failles, ou encore vérifier la source des liens reçus.
De
plus, l’expert souligne qu’il vaut mieux éviter d’utiliser de matériel qui n’a
pas été acheté auprès d’un revendeur agréé ni validé par le service
informatique. La raison ? « Vous pouvez acheter sur Amazon du matériel
piraté sans le savoir », explique Fabien Rouillon. « Vous
pouvez ainsi chiffrer l’ensemble des ordinateurs de votre entreprise en branchant
une simple souris ». Sous des dehors inoffensifs, un cheval de Troie à
la puissance insoupçonnée, donc. Et pour les casques, nous dit-il, c’est
exactement pareil.
Enfin,
Fabien Rouillon invite à limiter les applications installées et les modules
optionnels, à ne pas laisser son matériel informatique sans surveillance et à
mettre en place le verrouillage automatique de son poste. Autre point
important, et qui ne passe pas forcément par le matériel informatique de
l’entreprise, l’expert recommande de donner le moins d’informations sur soi sur
les réseaux sociaux, afin de ne laisser aucun indice sur les mots de passe. En
bref, « moins on en dit sur soi, moins on est attaquable ».
Autant de conseils qui méritent largement d’être appris ou rappelés.
Bérengère Margaritelli