Le Journal des Entreprises : De quoi parle-t-on quand on évoque des risques liés à la cybercriminalité ?
Patrick Chambet : Les attaques sont très variées. Elles peuvent avoir lieu dans le seul but de détruire, de saboter, comme du vandalisme. Elles peuvent aussi évidemment avoir un objectif financier. C’est le cas du vol de données, par exemple, avec demande de rançon. Et puis il y a l’espionnage, le vol de données sensibles.
Toutes les entreprises sont-elles concernées par la question ?
P. C. : Il y a deux types d’entreprises : celles qui savent avoir déjà été attaquées et celles qui ne s’en sont pas encore rendu compte, parce qu’elles ont été victimes d’intrusion furtive. Mais on a tous été attaqués au moins une fois !
« 80 % des victimes de cyberattaques sont des PME, car elles servent aux pirates de voie d’accès vers les grands groupes. »
Toutes les entreprises sont concernées, des TPE aux grands groupes. Et comme on l’a vu au SecNumeco, 80 % des victimes sont des PME, car elles servent aux pirates de voie d’accès vers les grands groupes dont elles sont prestataires. L’impact peut aller jusqu’à pousser l’entreprise à cesser son activité.
Quelles solutions les entreprises peuvent-elles mettre en œuvre ?
P. C. : La priorité est de sensibiliser et de former le personnel. Les attaques humaines sont de plus en plus courantes et elles se font le plus souvent par courriel. Elles sont très variées : spam de type arnaque, phishing quand on attire quelqu’un sur un site web copie du site légitime, cheval de Troie avec une pièce attachée…
Le ransomware est actuellement le plus dangereux. La pièce attachée que vous exécutez chiffre l’intégralité de votre disque dur et de tous les partages réseaux auxquels vous avez accès. Un message finit par s’afficher vous demandant de payer, en bitcoins, pour récupérer vos fichiers. Plus récemment, est arrivé aussi le chantage aux faux virus bloquants ou à la fausse vidéo, ce qui est plus simple à régler.
« Vous devez réfléchir trois fois avant d’ouvrir la pièce jointe d'un e-mail ! »
Face à tout cela, il faut commencer par prévoir des formations régulières en cybersécurité, par exemple tous les deux ans, soit en présentiel soit en ligne. On peut aussi organiser une campagne de faux phishing - il y a des entreprises qui sont spécialisées dans le domaine, pour savoir qui a cliqué, qui a ouvert la pièce attachée, qui a saisi des informations sensibles, etc., afin de pouvoir ensuite leur expliquer ce qu’il ne faut pas faire.
C’est assez délicat en entreprise, il faut être très diplomate pour ne vexer personne, mais c’est très important. Il faut bien insister là-dessus : vous devez réfléchir trois fois avant d’ouvrir une pièce attachée !
Vous dites même que cliquer sur une pièce jointe douteuse se rapproche d’une faute professionnelle.
P. C. : Il faut bien comprendre que l’outil informatique est un outil professionnel que l’on doit maîtriser ou apprendre à maîtriser. Si un salarié fait plusieurs fois la même erreur et ne comprend pas comment protéger les données de l’entreprise, il peut y avoir des sanctions professionnelles.
« L’outil informatique est performant, mais il peut être dangereux. Comme une voiture. »
Il faut que cela rentre dans les esprits : l’outil informatique est performant, mais il peut être dangereux. Comme une voiture. On ne peut pas se permettre de faire n’importe quoi avec les données personnelles des clients, par exemple. C’est d’ailleurs le sens du RGPD.
Au-delà de l’humain, quels sont les moyens de protection techniques ?
P. C. : Il faut avoir un antivirus et anti-malware (anti-logiciel malveillant, NDLR) au niveau de la messagerie et de l’accès web. On peut aussi ajouter une sandbox, un environnement virtuel dans lequel on va réellement exécuter un fichier un peu louche et on regarde ce qui se passe. On peut alors le bloquer, s’il est vraiment malveillant. En entreprise, on peut aussi détecter les connexions sortantes bizarres. Il convient aussi de bien faire les mises à jour des logiciels clients, navigateur, Flash, Java, lecteur PDF… ainsi que les sauvegardes, mais celles-ci ne doivent pas être accessibles aux utilisateurs. Idéalement, en entreprise, il faut exporter les données sur un site éloigné de celui où l’on fait les sauvegardes principales, de plusieurs dizaines voire une centaine de kilomètres, pour limiter les risques d’incendie ou d’inondation.
Par ailleurs, il faut renforcer la sécurité du réseau Wifi. Et si vous êtes victimes d’attaque, pensez à prévoir un lieu de repli pour que le personnel puisse continuer à travailler, en télétravail, par exemple.
L’idéal est de pouvoir s’entraîner une fois par an. Les attaques vont forcément vous arriver, avec des degrés de gravité différente. Il faut être proactif et réactif pour repartir le plus vite possible.
