Entreprises, cyber protégez-vous!

08/04/14 à 13:47 - Mise à jour à 13:47

Source: Trends-Tendances

Trop d'entreprises négligeraient leur cybersécurité. Pourtant, les pirates informatiques évoluent sans relâche et s'en prennent parfois à des firmes qui pensent ne rien avoir à cacher. Pour se prémunir de ses attaques, il ne faudrait pas seulement miser sur la technologie mais aussi sur l'amélioration des failles humaines.

Entreprises, cyber protégez-vous!

© Thinkstock

Elle n'a rien d'un Google, d'un Microsoft ou d'un Facebook. Mais avec ses plus de 25.000 clients à qui elle fournit des services informatiques et ses deux millions d'e-mails traités par jour, l'entreprise bruxelloise Proximedia ne laisse pas les hackers insensibles. Pas du tout, même. "Nous sommes attaqués tous les jours !" a confié Fabrice Wuyts, son CEO, lors d'une conférence sur la cybersécurité dans les sociétés organisée le 18 mars dernier par l'Alichec, le réseau alumni de l'Ichec.

Proximedia, l'exception qui confirme la règle ? Elle serait loin d'être la seule à être confrontée quotidiennement au phishing, injection SQL, cross scripting, DoS et autres tentatives courantes. "Il ne faut pas rêver : tout le monde se fera attaquer un jour et les pirates réussiront à entrer dans le système. Le tout, c'est d'y être préparé", affirme Yves Vandermeer, inspecteur principal au sein de la Federal Computer Crime Unit (FCCU).

Les cibles les plus exposées ne sont pas spécialement celles qui font du business sur le Net, ni celles qui ont pignon sur rue. Et l'enquêteur de la police fédérale de citer l'exemple d'un hôpital ou encore celui d'une faculté universitaire dont le serveur avait servi à héberger des films pornographiques. On se souviendra aussi des intrusions chez Belgacom, Numericable, ArcelorMittal ou encore sur le portail du gouvernement wallon...

Les enquêtes menées par la FCCU sont de plus en plus nombreuses, même s'il existe encore beaucoup de faits qui ne sont pas signalés aux autorités policières. Soit parce que les entreprises veulent préserver leur image de marque, soit parce qu'elles ignorent complètement que leur système a été piraté !

Pas besoin non plus de détenir des informations hautement confidentielles pour se retrouver dans le viseur d'un informaticien malveillant. "Il y a des "bêtes" attaques, des gens qui rentrent juste parce que le système est vulnérable et qui y font plus ou moins de dégâts. Comme les Anonymous, compare Yves Vandermeer. C'est ce qu'on appelle le "zero day"."

Certaines incursions sont plutôt verticales : les pirates s'en prennent à une chaîne de systèmes pour finalement parvenir à atteindre celui qui les intéresse vraiment. Il y a aussi la version horizontale, où cette fois toutes les entités d'un même secteur d'activité sont touchées. "C'est ce qui est arrivé aux banques belges il y a quelque temps. Toutes faisaient face au même problème mais elles ne le savaient pas car elles ne communiquaient pas, rappelle l'inspecteur en chef. Pour savoir à quel type de menace on est exposé, il faut se parler."

La communication serait l'élément clé pour faire face à la criminalité virtuelle. Certes, le niveau de sécurité technologique peut toujours être augmenté. Mais les pirates continueront à se perfectionner pour le dépasser... "Pour bien se préparer, il faut que les gens des différentes disciplines (ICT, juristes, RH, management...) dialoguent", poursuit Yves Vandermeer.

"Le premier principe de la cybersécurité est de penser au-delà de la technologie", ajoute Vincent Defrenne, consultant en sécurité chez NVISO. Selon une enquête réalisée en 2012 par Ernst & Young, 35 % des incidents sont dus à des erreurs humaines plutôt qu'à des attaques délibérées. Et la moitié de ceux repris dans les 65 % restants auraient pu être évités si les utilisateurs avaient manipulé les informations d'une manière plus sécurisée.

Les hackers l'ont bien compris. Si auparavant les tentatives de phishing étaient effectuées via l'envoi d'e-mails au hasard dans l'espoir de recevoir quelques réponses, elles sont désormais beaucoup plus ciblées grâce à des techniques de profilage et expédiées aux personnes les plus vulnérables.

"La grosse erreur que commettent les sociétés, c'est de croire qu'avec un antivirus tout est réglé", observe Marc Delbrassine, information security officer chez Sibelga. Qui raconte que son précédent employeur avait demandé à une entreprise extérieure de réaliser un audit sur la sécurité informatique. Grâce à Facebook, les consultants avaient épinglé les sujets de conversation les plus courants entre les travailleurs et s'en sont servis pour élaborer un mail malveillant sur lequel les employés ont cliqué.

Ne pas négliger l' "outsourcing" Dans un guide récemment édité par la Chambre de commerce internationale (CCI) et la Fédération des entreprises de Belgique (FEB), une liste de 10 conseils est donnée aux entrepreneurs désireux d'améliorer leur cybersécurité. Au-delà de la prise en compte des aspects humains et de la communication, ce manuel plaide également pour l'élaboration d'une politique de sécurité interne ou encore pour la nomination d'un "Monsieur (ou Madame) Sécurité" qui deviendrait une personne de référence visible par tous, y compris dans les petites structures.

Le document insiste aussi sur l'importance de s'assurer de la sécurité même en cas d'outsourcing, d'éduquer les utilisateurs, d'utiliser des mots de passe adaptés (exit les "azerty" et autres "12345"), ainsi que d'effectuer des copies régulières d'informations importantes. Cela peut sembler couler de source, et pourtant... "Tous les jours, des événements de sécurité mettent à mal l'organisation de l'entreprise alors que beaucoup pourraient être évités", commente Alain Ejzyn, professeur à l'Ichec en sécurité de l'information.

En cas de constat d'attaque, Yves Vandermeer conseille d'évaluer rapidement les dommages et d'éviter l'effet "tunnel", soit ne pas se concentrer uniquement sur la manière dont on a découvert l'intrusion, qui n'est peut-être qu'un leurre. "Puis il faut faire appel à la police, incite-t-il. Les gens pensent souvent que tout cela est nébuleux, immatériel. Pas du tout : c'est de la vraie criminalité !"

MÉLANIE GEELKENS

Les attaques les plus courantes "Cross-site scripting" : injection de contenus sur une page web pour inciter l'exécution de codes malveillants par les navigateurs qui la consultent.

DoS ("Denial of service attack") : provoquer l'indisponibilité d'un service pour ses utilisateurs habituels, par exemple en inondant un réseau.

Injection SQL : parvenir à injecter dans des bases de données relationnelles une requête SQL non prévue par le système, notamment pour se connecter sur un compte d'utilisateur avec n'importe quel mot de passe.

"Port scanning" : rechercher les ports ouverts sur un serveur pour trouver des failles dans le système informatique.

"Brute force" : tester successivement toutes les combinaisons possibles pour trouver un mot de passe.

"Phishing" ou hameçonnage : tentative d'obtenir des informations personnelles en faisant croire à la victime qu'elle s'adresse à un interlocuteur de confiance pour usurper son identité.

Nos partenaires