Contactez-nous
Par Marine Gervasoni

Comment se protéger des cyberattaques ?

17 octobre 2019 Cybersécurité

Les cyberattaques touchent de plus en plus de PME chaque année. D’ailleurs, une étude de Kaspersky révèle que le coût moyen estimé pour une PME en 2017 pour une cyberattaque est de 117 000 USD. Plus alarmant encore, la même étude montre que 60% des petites entreprises touchées ont fait faillite 6 mois après la cyberattaque. Pour éviter ce danger potentiel, ci-dessous quelques conseils pratiques.

Mener des audits réguliers de sécurité

Avec la multiplication des supports, la connexion des utilisateurs, la multiplication des solutions de stockage en ligne font que les portes d’entrée dans le SI de l’entreprise sont de plus en plus nombreuses. Il y a donc plus de risques de failles, qui sont liés soit aux infra-informatiques (exemple : cheval de Troie) ou aux personnes (usurpation d’identité via des appels téléphoniques, sms ou mails…). D’où la nécessité d’effectuer des audits de sécurité réguliers pour définir les potentielles failles de sécurité.

L’audit de sécurité a pour principal but de faire une évaluation précise de la capacité du SI à résister aux attaques informatiques, l’identification des failles et l’application des actions correctives nécessaires. L'identification des forces et faiblesses du système informatique permet d’avoir une vision exhaustive et réaliste de la capacité de résistance de l’infrastructure de l’entreprise à résister aux cyberattaques. Il existe deux sortes d’audit de sécurité :

L’audit de sécurité externe

Il sert à l’identification du potentiel de vulnérabilité du réseau de l’entreprise face aux attaques d’origine extérieure. Ce type d’audit va donc permettre de déterminer les éléments auxquels il faut apporter des améliorations pour maximiser le niveau de sécurité du SI. Pour faire un audit de sécurité externe, il faut voir en premier lieu les informations sur l’entreprise présentes librement sur internet et qui pourraient poser des risques de sécurité. Ensuite, il est nécessaire de procéder à des tests d’intrusion pour identifier et attaquer l’ensemble des points d’entrée du SI cible puis de vérifier la sécurité applicative en analysant le code des applis utilisées pour détecter les erreurs de conception qui peuvent induire une faille de sécurité.

L'audit de sécurité interne

L’audit de sécurité interne a pour but d’évaluer les risques du système d’information en cours d’exploitation. Il s’agit essentiellement de s’assurer que les données de l’entreprise sont protégées contre trois types de menaces comme la divulgation, l’altération ainsi que la perte. Pour ce faire, il faut passer par plusieurs phases notamment la phase d’acquisition consistant au regroupement de l’ensemble des documents techniques de l’architecture du SI et des publications propres au secteur de l’entreprise.

Il y a également la phase d’entretien pour appréhender les procédures préalablement formalisées au sein de la politique de sécurité informatique. Enfin, la phase d’audit proprement dit pour l’identification des capacités du SI à répondre efficacement face aux risques encourus par les différents éléments qui le composent. L’objectif est la mise en évidence des anomalies ou faiblesses significatives constatées.

Sensibiliser en interne les collaborateurs à la problématique de sécurisation des données


Il vaut mieux prévenir que guérir pour éviter d’être victime d’usurpation d’identité par l’intermédiaire d’un clic ou d’un email douteux. Tous les employés de l’entreprise doivent connaître les mesures de sécurité lors de l’installation d’un nouveau logiciel, ou encore les bonnes pratiques concernant la gestion des mots de passe, le traitement des informations personnelles ainsi que des pièces jointes... La sécurité n’est pas seulement l’apanage du service informatique de l’entreprise, que ce soit pour les données à caractère professionnel ou personnel.

Il convient donc de sensibiliser les employés, qui sont souvent considérés comme la porte d’entrée des cybercriminels. Cette sensibilisation peut être une formation avec des cours de quelques heures sur les différents types de cyberattaque et les différents moyens de s’en prémunir au quotidien. 

En outre, il faut effectuer des tests de manière régulière pour vérifier si les campagnes de sensibilisation auprès des employés ont porté leurs fruits. Pour ce faire, il convient de les tester en simulant un courriel frauduleux par exemple, afin de noter les réactions. Ces tests doivent concerner tous les employés de l’entreprise, même ceux qui occupent des postes stratégiques.

Veiller sur vos fournisseurs de service contrôler la sécurité de vos fournisseurs de service, assurent-ils leur propre cybersécurité ?

Les failles d’un système informatique ne se limitent pas aux matériels informatiques eux- mêmes. Les collaborateurs ainsi que les fournisseurs ou les prestataires qui ont accès au réseau de l’entreprise peuvent aussi constituer des risques. D’ailleurs, une grande école d’intelligence économique qui travaille avec l’Anssi dans le domaine de la formation professionnelle a fait un test pour prouver qu’il était facile de mettre la main sur un important nombre de données sur les entreprises.

Pour ce faire, les étudiants ont prétendu être des administrateurs informatiques et ont demandé par téléphone aux salariés leurs identifiants et mots de passe, ce que ces derniers n’ont pas hésité à faire ! Pour éviter ce genre de mésaventure qui peut s’avérer catastrophique, les entreprises ont intérêt à prendre les devants avec des formations et des campagnes de sensibilisation sur la cybersécurité à destination des employés.

Les fournisseurs de services et prestataires peuvent aussi présenter des faiblesses et ainsi représenter un danger pour les entreprises clients. D’ailleurs, un grand groupe industriel a reconnu faire ce qu’il appelle du hacking éthique vis-à-vis de ses partenaires pour vérifier leur niveau de sécurité.

Ainsi, cette pratique leur a par exemple permis de constater que les procédures de sécurité d’un de leurs partenaires présentaient des faiblesses car d’autres clients ou concurrents avaient la possibilité de déduire leurs identifiants et obtenir des données confidentielles leur concernant. L’entreprise doit donc mettre un point d’honneur à vérifier la fiabilité de ses prestataires et fournisseurs en se fiant par exemple à sa réputation, aux avis des autres clients...

 

Les cyberattaques sont une menace bien réelle, quelle que soit la taille de l’entreprise. Pour éviter d’en être victime, il faut respecter rigoureusement les règles de sécurité.

Il est aussi de plus en plus fréquent de faire appel à un prestataire extérieur pour évaluer le niveau de cybersécurité de l’entreprise, bénéficier de conseils personnalisés et se faire accompagner dans toutes les démarches.