Cybercriminalité : les petites entreprises ne sont pas à l’abri

6 février 2017

Cybercriminalité : les petites entreprises ne sont pas à l’abri

cybercriminalite-dynamic-140

La sécurité du système informatique ne fait pas toujours partie des priorités des petites et moyennes entreprises. C’est pourtant un enjeu majeur pour leur survie.

La vulnérabilité des TPE/PME

Les dirigeants de TPE ou de PME ont généralement une bonne connaissance de ce qu’est le piratage informatique mais ils se sentent peu concernés, estimant que ce problème est avant tout l’affaire des grandes entreprises. Or, en mettant en place des moyens coûteux pour lutter contre le piratage, ces dernières ont en effet détourné l’attention des hackers* vers les TPE et des PME dont les infrastructures sont plus vulnérables. En Béarn, les attaques se sont récemment multipliées. « Depuis le début de l’été, nous avons été contactés par une dizaine d’entreprises victimes de cybercriminalité, c’est du jamais vu, affirme Thibault Chenevière, manager du département de veille et d’intelligence économique de la CCI. Il s’agissait aussi bien d’industries que d’artisans ou de commerçants ». Et les conséquences peuvent s’avérer dramatiques : suite à une attaque, une entreprise d’Aquitaine de 22 salariés a récemment mis la clé sous la porte.

Aujourd’hui, les attaques les plus fréquentes sont de type viral : les hackers font en sorte d’installer des logiciels malveillants (malwares) sur les ordinateurs de l’entreprise. Le but peut être de récupérer des informations stratégiques, comme les secrets de fabrication, qui seront ensuite revendues. Les grandes entreprises sont les plus touchées même si les startups innovantes ne sont pas à l’abri. Les TPE et PME, quant à elles, sont surtout victimes d’extorsion de fonds. Ces dernières années, à côté des traditionnelles « arnaques au président*», une technique appelée le « ransomware* » ou « rançongiciel », s’est particulièrement développée : selon la société américaine de sécurité informatique, Symantec, 391 000 attaques de ce type ont été dénombrées en France en 2015, soit 2,6 fois plus qu’en 2014. Et le Béarn n’a pas été épargné. « Concrètement, un collaborateur reçoit un mail avec une pièce jointe et lorsqu’il clique dessus, toutes les données de son ordinateur et souvent celles des autres postes sont cryptées, détaille Thibault Chenevière. Tout le fonctionnement de l’entreprise est paralysé en un instant, c’est extrêmement dangereux ».

Une faille humaine avant tout

L’efficacité de ces attaques repose moins sur les négligences techniques et informatiques de l’entreprise que sur l’exploitation des failles humaines : « Le point faible d’un système d’information se situe entre la chaise et le clavier», dit une expression en vogue. Les hackers utilisent en effet de plus en plus « l’ingénierie sociale », une méthode qui consiste à manipuler les collaborateurs en leur faisant croire qu’ils s’adressent à une personne de confiance, pour leur soutirer des informations critiques sur l’entreprise (accès et mots de passe, noms des fournisseurs, des clients…) et ainsi mieux infiltrer son système informatique. L’essor des réseaux sociaux et l’abondance d’informations qu’on y trouve (qui peuvent aider les hackers à identifier les salariés les moins prudents ou les plus intéressants à piéger) ainsi que la tendance actuelle qui consiste à mélanger données professionnelles et personnelles, notamment sur les tablettes et smartphones, sont du pain béni pour les pirates. « Aujourd’hui, de nombreux salariés ont tout le carnet d’adresses de leur entreprise sur leur téléphone, souligne Thibault Chenevière. Heureusement, il existe des solutions qui permettent de séparer la vie personnelle et professionnelle sur le smartphone en ayant par exemple un espace dédié à l’entreprise sécurisé, crypté. Encore faut-il le savoir ».

D’où la nécessité pour les entreprises de sensibiliser leurs collaborateurs à cette problématique et de les initier aux bonnes pratiques.
« Choisir des mots de passe compliqués, les modifier régulièrement, mettre à jour les logiciels et les anti-virus le plus souvent possible sont des mesures simples et efficaces, indique Thibault Chenevière. Il est aussi nécessaire pour une entreprise de sauvegarder régulièrement ses données et de crypter cette sauvegarde, pour éviter qu’elle soit elle aussi vérolée en cas d’attaque ». On peut aussi interdire l’accès à certains sites internet (réseaux sociaux, e-commerce, téléchargement de vidéos…). Pour que ces bonnes pratiques prennent le dessus, le mieux est de permettre aux salariés de suivre une formation ad hoc. « Depuis le mois de novembre, la CCI propose une formation « Référent sécurité », précise Thibault Chenevière, afin que l’entreprise ait un collaborateur plus sensibilisé que les autres aux problèmes de cybercriminalité et qu’il puisse relayer en interne les bonnes pratiques ».

Si toutes ces précautions n’ont pas suffi et qu’une attaque survient, le salut de l’entreprise viendra de sa capacité à être réactive. En effet, dès que l’attaque est constatée (ralentissement de la machine, accès aux dossiers refusé…), il faut immédiatement couper l’appareil infecté du réseau de l’entreprise et le déconnecter d’internet pour éviter que l’infection se propage à toute l’entreprise. Impossible de faire plus à ce stade, même pour les plus doués en informatique. L’heure est ensuite à l’évaluation de l’importance des dégâts : tout le réseau de l’établissement a-t’il été infecté ? Qu’a pu récupérer le hacker ? Que peut-il en faire ? Il faut ensuite prévenir les éventuelles tierces personnes concernées, celles dont les données ont pu être volées au cours de cette attaque (clients, fournisseurs…).
Dernier réflexe important : porter plainte. « Peu d’entreprises ont ce réflexe et c’est dommage car cela peut permettre aux autorités de remonter les filières et d’éviter de nouvelles attaques dans d’autres entreprises », conclut Thibault Chenevière.

Définition

Souvent considérée comme la nouvelle menace du XXIe siècle, la cybercriminalité est l’ensemble des infractions pénales commises via les réseaux de télécommunication,
notamment Internet. Cette délinquance diversifiée, complexe et très souvent
internationale touche aussi bien les particuliers que les entreprises, petites et grandes. Et elle est en plein essor : en 2015, plus de la moitié des entreprises françaises en ont été victimes, avec un manque à gagner total estimé à 3,36 milliards d’euros.

Une PME du Béarn victime de rançonnage en 2016

« Nous avons été attaqués en avril dernier. Tous les postes de travail et notre système de sauvegarde ont été cryptés. Une demande de rançon s’est affichée. Notre informaticien a tout de suite compris la gravité de la situation. Soit nous payions la rançon, sans savoir si nous récupérerions nos données, soit l’entreprise fermait. Ce fut le cauchemar pendant une semaine. Nous avons payé mais il a fallu passer par le dark web, utiliser de la monnaie virtuelle. Nous avons récupéré nos données. Un mois plus tard, nous avons subi une nouvelle attaque mais grâce à notre nouveau système de sauvegarde externe, l’attaque a seulement immobilisé l’entreprise durant une journée. Avant cette mésaventure, je n’aurais jamais cru qu’une petite société comme la nôtre pouvait être victime. Nous sommes en réalité les plus fragiles ».

Petit lexique

  • Hacker : informaticien qui crée et modifie des programmes informatiques.
  • Phishing : escroquerie en ligne utilisée pour obtenir des renseignements personnels en faisant croire à la victime qu’elle s’adresse à un tiers de confiance.
  • Ransomware : chantage sous forme d’extorsion. Si l’utilisateur refuse de payer ou d’effectuer une tâche imposée, le service auquel il veut accéder lui est refusé par un code malveillant.
  • Arnaque au président : escroquerie par faux ordre de virement international.
  • Cryptographie : permet la transformation des données dans le but de cacher leur contenu et de signaler leur modification.
  • Authentification : permet de ne pas laisser n’importe quel interlocuteur accéder à son réseau. L’interlocuteur doit apporter la preuve de son identité.

Ils pratiquent le sujet

Patrick Vasquez - VIPMicro

Patrick Vasquez, gérant de VIP Micro, prestataire de systèmes informatiques de protection à Abos

« Nous préconisons beaucoup d’audits de sécurité, en amont de la mise en place de systèmes de sauvegarde. Les sociétés sont démunies face à l’augmentation du nombre d’informations en provenance d’Internet et du nombre d’ordinateurs, et face à l’évolution des systèmes d’exploitation. De même qu’une voiture a besoin de contrôles réguliers, il faut vérifier une ou deux fois par an que le réseau fonctionne bien. La plupart des attaques actuelles est due à une protection anti-virus négligée ou gratuite et qu’il n’y a pas de sauvegarde sécurisée. Certaines entreprises attaquées récupèrent seulement 10% de leurs données malgré le paiement d’une rançon. Les attaques sont plus virulentes depuis deux ans. Le risque zéro n’existe pas ».

Chantal Manescau -Thermes Salies de Béarn - dynamic 140

Chantal Manescau, directrice des Thermes de Salies-de-Béarn

« Quand j’ai pris mes fonctions en 2011, la sécurité du parc informatique ne figurait pas parmi mes priorités. Notre structure a été victime de deux mini-attaques l’hiver 2015-2016 mais l’arrêt des ordinateurs a permis de contenir la diffusion du virus. En juillet dernier, l’offensive a été beaucoup plus virulente. Nous avons perdu 15 jours de données. J’ai alors décidé de mettre en place une solution de sauvegarde sécurisée et cryptée via un serveur NAS ainsi qu’un anti-virus qui filtre tous les emails. Tout fichier détecté comme une menace potentielle est mis en quarantaine dans l’attente de l’intervention de la société informatique. J’ai aussi organisé une action de sensibilisation auprès de mes collaborateurs. Le coût de la mise en œuvre de ces nouveaux outils avoisine 10 000 € HT mais le retour sur investissement est indéniable, tant en termes de sécurité des données que de sérénité ».

Entretien avec un expert

Thibault Chenevière - dynamic 140

Thibault Chenevière, manager du département de veille et d’intelligence économique de la CCI Pau Béarn

La cybercriminalité de demain

« Les cybercriminels ne cessent d’imaginer des attaques toujours plus sophistiquées, difficiles à détecter, notamment à cause du mélange de plus en plus important entre vie professionnelle et vie privée. Demain, les attaques passeront aussi par les objets connectés qui se multiplient autour de nous : les montres et les frigos chez les particuliers, les caméras de sécurité ou les flottes de véhicules pour les entreprises, etc. Récemment, une grande entreprise a ainsi été attaquée via le prestataire qui gérait son air conditionné par un accès informatique automatisé… C’est un champ immense qui s’ouvre aux hackers. Mais aujourd’hui, on a aussi plus de moyens pour lutter. L’Etat, qui a longtemps gardé une approche très naïve de la situation, a fini par comprendre les risques pour l’économie et a notamment créé l’ANSSI (voir article «Ils informent, recensent et préviennent des dangers»). Les entreprises elles aussi ont pris conscience du danger et sécurisent de plus en plus leurs systèmes informatiques ».

Ils informent, recensent et préviennent des dangers…

securite-economique

Informer, recenser les menaces afin de mieux les évaluer, proposer des lieux d’écoute ou des formations, tous les moyens sont bons pour améliorer la prévention. L’agence nationale de la sécurité des systèmes d’information (ANSSI) fait de la certification, en rassurant l’utilisateur sur les logiciels et matériels dignes de confiance. Elle recense également les alertes, recueille les déclarations en cas de découverte d’une faille de sécurité, donne les conseils élémentaires à adopter ainsi que la liste des formations en cybersécurité reconnues par l’Etat. Elle édite des guides des bonnes pratiques et même des « baromètres de la perception du spam », réalisés d’après les signalements des internautes.

Une sous-direction de la lutte contre la cybercriminalité (SDLC) a été créée en avril 2014. 80 policiers et gendarmes y assurent des missions de pilotage et de coordination. La SDLC fait partie d’un réseau international, capable de décider dans l’urgence le gel des données numériques hébergées dans l’un des 68 Etats membres.

En terme de prévention, on peut citer également l’association internationale de lutte contre la cybercriminalité (AILCC). Elle recense les risques et étudie les ripostes les mieux adaptées. Cette association française se penche aussi sur le droit pénal de l’informatique. A noter enfin qu’il existe une plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements (PHAROS). Joignable au 0805 805 817, elle permet de signaler les comportements illicites rencontrés sur Internet.

Dynamic n°140 janvier-février-mars 2017