La cybersécurité: priorité numéro 1 pour les PME en Belgique

Toute entreprise, quelle que soit sa taille ou son secteur d’activité, fait désormais figure de cible potentielle pour les pirates informatiques. Souvent moins préparées que les grandes entreprises à faire face à ces risques, les PME sont particulièrement vulnérables.

Si la cybercriminalité était un pays, ce serait la troisième économie mondiale. En Belgique, environ 650 attaques par semaine ciblent principalement les PME, avec 92 % de ces attaques qui commencent par du phishing, technique qui vise à soutirer des données via un mail trompeur pour mener une attaque. Quelles sont dès lors les premières choses à faire en cas d’incident ? Quelles sont les erreurs humaines les plus courantes qui peuvent compromettre la cybersécurité d’une organisation ? Comment se protéger et réagir de manière efficace ? Telles étaient en substance les questions abordées lors de la conférence organisée le 14 juin dernier conjointement par AKT for ­Wallonia (ex-UWE) avec ses partenaires bancaires (Belfius et CBC) afin de sensibiliser le monde de l’entreprise aux dangers que représente aujourd’hui la cybercriminalité.

Car si le phishing est la principale cybermenace à laquelle les entreprises sont confrontées aujourd’hui, ce n’est pas la seule forme d’attaque. “Lorsque l’on parle de cybersécurité, il est essentiel de ne pas se limiter aux seuls hackers et aux systèmes informatiques”, situe Vincent Docq-Cremer, gestionnaire des risques opérationnels au sein de la direction Digital et Paiements chez CBC. Il existe en effet toute une série de cybermenaces qui relèvent de l’ingénierie sociale. Une technique qui a trait à l’usurpation d’identité, c’est-à-dire qui consiste à se faire passer pour quelqu’un d’autre afin de manipuler et tromper les personnes pour qu’elles révèlent des informations sensibles ou agissent d’une façon qui compromet leur sécurité.”

On citera le phishing mais aussi le ransomware, le vishing, la fraude à la facture ou encore la tristement célèbre fraude au président, dont le modus operandi est bien connu. Vous recevez un e-mail de votre patron. Celui-ci vous demande de remplir un formulaire, de lui fournir des identifiants de connexion ou de payer une facture.

“Peu de personnes se méfient surtout si, à première vue, le nom, la signature et l’adresse e-mail semblent authentiques. C’est en tout cas ce que les auteurs de fraude au président pensent : ils se font passer pour l’un de vos responsables et cherchent à vous manipuler tout en espérant que vous ne remarquerez pas le subterfuge. Et les paiements seront parfaitement signés puisque c’est vous qui les aurez faits ! Dans beaucoup d’entreprises à travers le monde, cette dernière tactique fonctionne et occasionne d’énormes pertes financières. Et ce ne sont pas des petits montants qui partent, mais des centaines de milliers voire des millions ­d’euros y compris en Wallonie”, confie Vincent Docq-Cremer.

Un coût immense

Car l’objectif de ces attaques, c’est bien sûr d’abord l’argent. En Belgique, on estime qu’un préjudice sur cinq dépasse les 100.000 euros de dommages. Un coût immense qui s’explique pour deux raisons.

Un : ­l’hyper-digitalisation de ces dernières années a rendu les entreprises plus vulnérables.
Deux : les hackers ne cessent de se professionnaliser. “Ils se préparent littéralement pendant des semaines voire des mois pour trouver les informations nécessaires à une attaque, explique Vincent Docq-Cremer. Via les réseaux sociaux (Instagram, Facebook, LinkedIn) et des sites publics (BNB, rapports annuels, site internet de la société), ils identifient les entreprises générant de préférence beaucoup de cash et reconstituent les organes de décision de la société pour voir qui a le pouvoir de décision sur les paiements.”

En plus des techniques connues, une technique émergente est le spray phishing, note Olivier Collet, fondateur de la société Uworksafe.online. “Les hackers arrosent alors de manière automatique des milliers et milliers d’entreprises et regardent celles qui mordent à l’hameçon. Il est donc maintenant réaliste de dire que n’importe quelle PME est à risque.”

Un risque d’autant plus important que les conséquences d’une cyberattaque dépassent bien souvent les pertes financières directes. Elles peuvent perturber les opérations – 38 % des attaques entraînent un arrêt d’activité pour l’entreprise – et se traduire par une perte de clients, voire endommager durablement la réputation de l’entreprise, comme le confirme Olivier Collet: “Plus d’une PME sur trois ne se relève pas d’une attaque réussie, tandis que les deux tiers restants ont perdu énormément en chiffre d’affaires mais également en crédibilité par rapport à leurs clients et fournisseurs”.

Le facteur humain

La menace est donc bien réelle. Car loin des films d’espionnage ou de science-fiction, les cyberattaques exploitent souvent les faiblesses humaines plutôt que les failles technologiques, explique Vincent Docq-Cremer. “Les scénarios de ces attaques pour piéger leurs cibles utilisent des ressorts psychologiques bien connus comme l’effet de curiosité ou le sentiment d’urgence, que ce soit avec la police, votre banque, ou encore avec l’administration.”

Mais les hackers jouent aussi sur le sens des responsabilités (vérifier que votre connexion VPN fonctionne suite à une mise à jour), sur la fierté (d’un supérieur qui fait directement appel à vous), sur la peur (amende pour votre véhicule de société), sur la confiance dans l’interlocuteur ou le nom d’une marque (client ou fournisseur). Dit autrement, les technologies évoluent mais la trame reste souvent la même. On tente de vous amadouer pour que vous cliquiez sur un faux document ou l’adresse d’un site internet derrière lesquels se cache en réalité un virus ou une demande de rançon.

Chief Information Security Officer chez Belfius et professeur en cybersécurité à l’ULB, Charles Cuvelliez souligne d’ailleurs à ce propos l’importance de ce qu’il appelle les biais cognitifs, comme celui lié à l’optimisme, qui jouent un rôle crucial dans la vulnérabilité des individus. “Beaucoup croient à tort qu’ils ne seront pas victimes de cyberattaques, dit-il. On pense qu’un malheur n’arrive qu’aux autres. Des tests le montrent : 80 % des gens qui n’ont pas encore été victimes de phishing pensent que cela ne leur arrivera jamais. Le biais d’optimisme, là ou ailleurs, provoque une distorsion de la perception du risque et donc, moins de réception à la prévention.”

Un avis que partage Olivier Collet qui constate à ce propos que “les PME avec lesquelles nous collaborons n’ont souvent pas conscience du risque” et que “leur sentiment de sécurité est très souvent surestimé”. Un sentiment d’autant plus surestimé que la menace évolue et change sans arrêt, souligne Charles Cuvelliez : “D’où l’importance d’être prêt avec des incident response teams/plans qui sont formés et conçus pour répondre à une cyberattaque et pour après s’en remettre. On pense trop souvent qu’il est possible de prévenir toute attaque avec des outils techniques ou au pire, la détecter à temps, et on ne prévoit rien pour le cas contraire”.

Se protéger ?

Mais comment, au juste, réagir de manière efficace en cas d’incident? Vincent Docq-Cremer préconise plusieurs choses : “Il est conseillé de suspendre immédiatement tout transfert de fonds ou toute divulgation d’informations sensibles en cours si possible. Il faut aussi signaler immédiatement la fraude aux autorités compétentes, telles que la Computer Crime Unit, le service spécialisé de la police fédérale, informer les responsables de la sécurité de l’entreprise ainsi que la direction afin qu’ils puissent prendre des mesures immédiates pour enquêter sur l’incident et limiter les dommages, rassembler toutes les informations pertinentes, y compris les e-mails suspects, les adresses IP et toute autre preuve numérique liée à l’incident et, enfin, informer aussi tous les employés de l’entreprise sur l’incident et réaffirmer les protocoles de sécurité en place pour éviter de futures fraudes”.

Et quid si une rançon est demandée : faut-il avoir peur de la payer ? “S’il faut en arriver là, payer une rançon n’est ni interdit ni immoral, quand la survie de la société est à ce prix. Dirait-on de parents qui paient une rançon pour leur enfant kidnappé qu’ils sont immoraux ?”, indique Charles Cuvelliez précisant que plusieurs fausses idées circulent à ce propos. “On dit souvent que si les assurances couvrent les ransomwares, cela nourrit cette industrie, estime-t-il. C’est faux, les rançongiciels existent depuis bien avant que les premières assurances les couvrent… quand elles les couvrent. Dit-on la même chose des assurances contre le vol par rapport aux voleurs ? De même, payer une rançon, ce n’est pas du blanchiment, c’est de l’argent propre qui appartient à la société. Seule une rançon qui alimenterait le terrorisme ou un pays sous sanction est interdite mais comment le savoir avec un paiement en bitcoin ?”

En résumé, on dira que pour se protéger, la cybersécurité doit faire partie intégrante de la stratégie de l’entreprise. “Du patron à la réceptionniste, tout le monde est concerné et pas seulement le département IT”, insiste Vincent Docq-Cremer. Face à une menace qui ne cesse de grandir, il est en effet important pour chaque entreprise de faire appel à des experts en cybercriminalité afin de sensibiliser et former le personnel. En Wallonie, une aide régionale couvre 75 % des coûts d’un audit. Une aide qui est la bienvenue car la cybersécurité, ce n’est pas qu’une question de coûts, c’est aussi une question de survie et de compétitivité pour les entreprises.

“Sachant que 90 % des attaques réussies passent par le facteur humain, il est urgent de renforcer d’abord et avant tout celui-ci par une formation, bien plus qu’une sensibilisation. Une formation qui rentre dans tous les aspects de la cybercriminalité, expliquant à toute personne d’une PME qui manipule un ordinateur, comment les hackers se structurent, quelles sont leurs techniques, comment adopter des comportements proactifs pour ne pas être une cible parfaite, et surtout comment détecter une attaque et comment réagir ! Nous avons développé une méthodologie sur ce dernier point pour que plus personne ne se fasse avoir. Au bout de cette formation, en plus d’être maintenant impliqué quant à son rôle à jouer dans la défense de sa PME, chaque collaborateur a les clés en main pour éviter les tentatives d’intrusion aussi bien ‘virtuelles’ sur les ordinateurs, que physiques dans les bureaux. Il est urgent pour les PME d’investir dans ce facteur humain. Il faut voir ce coût comme un investissement concurrentiel et non une dépense accessoire”, conclut Olivier Collet.