Anticiper et gérer le risque Cyber

Anticiper et gérer le risque Cyber

Les cyberattaques se multiplient ces dernières années et aucun secteur d’activité n’est épargné.

Vol ou chiffrement de données, paralysie des systèmes et demande de rançon : Les pertes liées aux cyberattaques sur l’année 2019 s’élèveraient à hauteur d’1,6 milliards d’euros. Parmi ces crises nous retrouvons : Saint-Gobain avec le virus Notpetya, occasionnant une perte de 250 millions d’euros, mais aussi la paralysie de l’usine Renault par le ransomware Wannacry, ou encore l’indisponibilité des services de Bouygues Télécom et SFR suite à une attaque par déni de service (DDoS) au début du mois de septembre 2020.

Autant d’attaques qui menacent les grands groupes mais aussi les TPE/PME et ETI.

Source : Zataz.fr

Mais le risque cyber n’est plus seulement d’ordre économique. Il tend progressivement à menacer l’intégrité des infrastructures et des personnes physiques. Pour preuve, le récent décès d’une femme suite à une attaque par ransomware visant l’hôpital de Düsseldorf. Or, les cyberattaques envers les hôpitaux tendent à devenir monnaie courante.

L’année 2016, fut marquée par le botnet géant Retadup, utilisé pour mener des attaques contre des hôpitaux israéliens, qui sera finalement détruit par la gendarmerie française.
Encore plus récemment, c’est l’hôpital de Rouen qui se retrouve paralysé, au même titre que l’hôpital militaire de Sainte-Anne à Toulon.

Au mois de septembre, c’est au tour du secteur juridique d’être touché par une cyberattaque ciblant le tribunal de Paris, le procureur Rémy Heitz ainsi que de nombreux avocats. Les conséquences furent immédiates : indisponibilité des données, paralysies des procédures et bouleversement du calendrier des investigations.

Des attaques virtuelles aux conséquences bien réelles

Les cyberattaques peuvent donc avoir des conséquences désastreuses sur l’activité d’une entreprise, en la privant momentanément de l’accès à ses ressources informatiques (e-mails, réseaux sociaux, logiciels de bureautique), voire même en entrainant la divulgation et la perte définitive de ses données sensibles.

Soumise au chantage, les victimes de cyberattaques peuvent se trouver face à des situations portant atteinte à l’intégrité de leur business et de leurs salariés qui verraient certains éléments de leur vie privée exposés sur la toile.

Les implications d’une cyberattaque sont donc à la fois d’ordre économique, social mais aussi réputationnel.

Source : https://targetbreachsettlement.com/

Il n’est pas rare qu’une entreprise voit le cours de ses actions chuter en bourse suite à une attaque qui entacherait son image.
En effet, une crise cyber entame la crédibilité d’une entreprise dans sa capacité à sécuriser son environnement et in fine, les données de ses clients.
De plus, l’annonce d’une telle vulnérabilité pourrait avoir un effet incitatif pour de nouvelles cyberattaques.

Enfin, une attaque de nature cyber implique des conséquences de nature juridique. Ainsi, une entreprise qui serait jugée responsable de l’atteinte à la sécurité des données personnelles s’exposera à des sanctions pécuniaires pouvant atteindre plusieurs millions d’euros. A ces nouvelles responsabilités, s’ajoute une obligation de notification en cas de violation des données qui entrainera assurément des pertes financières, des conséquences réputationnelles, ainsi que la possibilité de voir certains clients former des actions de groupes.

Anticiper, former et protéger

Comme la foudre, on imagine bien souvent qu’une cyberattaque ira toujours frapper chez le voisin. Mais les cyberattaques sont toutefois plus fréquentes que la foudre et beaucoup moins aléatoires.

Virtuelles et impalpables, leurs conséquences sont quant à elles bien réelles et ô combien dramatiques.

 

La formation du personnel est la première des mesures à adopter pour se prémunir de tout incident cyber.
Cette formation passe, tout d’abord par l’apprentissage des bonnes pratiques d’hygiène numérique, puis par l’exécution d’exercices de crise réguliers.

La mise en place des entrainements permettra à votre équipe de savoir s’organiser en cellule de crise opérationnelle, d’orchestrer les échanges entre le département IT et les autorités telles que l’ANSSI mais également entre l’ensemble des parties prenantes. Ce sont des prérequis indispensables pour être en mesure de gérer les incidents cyber et limiter les dégâts occasionnés.

L’hygiène informatique, quand propreté rime avec sécurité

L’hygiène informatique est le premier rempart contre une attaque cyber.

Si de nouvelles technologies de cyberdéfense basées sur l’intelligence artificielle se révèlent efficaces, il ne faut pas oublier que la première des failles est avant tout humaine.

L’utilisation de mots de passe « forts » contenant des chiffres, des lettres et des majuscules est un prérequis indispensable.

Source : Watchguard.com

Éviter d’utiliser systématiquement le même mot de passe pour diverses applications est une évidence qui n’est pourtant que très faiblement intégrée dans les pratiques.

La sécurisation de la messagerie électronique est également une mesure cruciale pour éviter qu’elle ne devienne une porte ouverte à tous vos comptes.

Pire encore, il est constaté que les mots de passe sont assez souvent notés sur un simple bout de papier, posé à côté du poste de travail. Une véritable aubaine pour une personne qui souhaiterait nuire à votre entreprise.

L’ingénierie sociale, un levier d’attaque efficace.

L’ingénierie sociale permet d’atteindre un système en exploitant une faille humaine. Elle peut simplement consister à appeler une personne en se faisant passer pour un service public ou un opérateur de télécom prétendant avoir besoin de vos identifiants.

Également connue sous le nom de CEO fraud, cette pratique vise à se faire passer pour l’un des dirigeants de l’entreprise afin d’ordonner à un employé de divulguer des informations sensibles ou d’effectuer un virement.

Encore plus répandue, l’attaque par Fishing, qui consiste à envoyer une grande quantité de mails contenant un lien vérolé qui infectera votre ordinateur et le réseau auquel il est connecté. Ce mode opératoire est couramment utilisé dans le cadre d’attaques par ransomware, visant à chiffrer les données et exiger le paiement d’une rançon.

« En informatique le problème se situe bien souvent entre le clavier et la chaise »

Une autre méthode, consiste par exemple à disséminer de jolies clés USB, de marques (Chanel ou Vuitton par exemple), sur le parking d’une entreprise, en espérant qu’un salarié en ramasse une puis la connecte à son poste de travail.

L’ingénierie sociale consiste également à déduire le mot de passe d’une personne en se basant sur des informations glanées sur le net. Un pirate ingénieux sera donc en mesure de déduire un mot de passe en essayant diverses combinaisons telles que le nom de votre chien ou la date d’anniversaire de votre grand-mère.

Le ShadowIT, véritable bête noire de la cybersécurité

Le Shadow IT est une pratique très répandue au sein des entreprises et génératrice de vulnérabilités. Elle désigne le fait d’installer et d’utiliser, dans un cadre professionnel, des logiciels ou applications qui échappent à l’approbation du département informatique.

Parmi les raisons qui motivent cette pratique : des procédures trop longues, des applications externes plus efficaces et gratuites (DropBox, Google Drive etc..).

Le ShadowIT désigne également l’utilisation des appareils personnels, tablettes, smartphones, laptops non sécurisés.

Selon la société américaine de conseil et de recherche Gartner, un tiers des cyberattaques menées contre les entreprises sur l’année 2020 auront pris pour cible les ressources Shadow IT.

De fait, une véritable culture de la sécurité par la formation et la mise en pratique d’exercices doit infuser dans les organisations, comme seul et unique moyen d’éviter la paralysie de la structure par la perte des données commerciales, des e-mails ou encore la divulgation de certaines informations sensibles.
Il est impératif de tout mettre en place dans l’entreprise pour que la cyber attaque ne puisse pas avoir lieu, en revanche il est tout aussi impératif de se préparer au fait qu’elle aura bien lieu, tôt ou tard.

Sources :

https://www.lemondeinformatique.fr/actualites/lire-1-6-mdeteuro-de-pertes-liees-aux-cyberattaques-en-2019-79665.htmlhttps://www.gartner.com/smarterwithgartner/7-top-security-predictions-for-2017/

https://www.lebigdata.fr/shadow-it-tout-savoir

https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

https://www.avise-info.fr/intelligence-economique/8-regles-dhygiene-informatique-que-lon-devrait-tous-respecter

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/chiffres-et-tendances-des-cybermenaces-cybermalveillance-gouv-fr-devoile-son-premier-rapport-dactivite-2019

https://www.zdnet.fr/actualites/2019-une-annee-record-pour-les-cyberattaques-sur-les-cryptomonnaies-39898811.htm

https://www.ecommercemag.fr/Thematique/techno-ux-1226/Breves/Quelles-nouvelles-cyberattaques-craindre-2020-351537.htm

No Comments

Post a Comment