Les outils pour se protéger face aux cyberattaques mais surtout les politiques de cybersécurité se sont transformés avec l’intensité et la complexité des attaques. Des outils de prévention pour prévenir d’une attaque ou pour détecter une anomalie, à la mise en place d’une véritable politique de sécurité, nous allons voir dans cet article ce qu’il est nécessaire de mettre en place pour protéger son SI de bout en bout, face à la cybercriminalité.
Petites ou grandes sociétés, la question de la cybersécurité s’invite dans chaque organisation avec des problématiques variables d’une structure à l’autre. L’introduction du Règlement Général sur la Protection des Données (RGPD) en mai 2018 ayant à son tour accentué les inquiétudes liées à l’importance de protéger son patrimoine numérique, en règle générale. De leur côté, les experts sécurité s’attendent à un renforcement des logiciels malveillants et au développement de méthodes d’attaques de plus en plus sophistiquées. De quoi se pencher sérieusement sur la question de la cybersécurité, peu importe la taille de l’entreprise.
Comment va évoluer la cybersécurité et ses pratiques frauduleuses ?
La question de la cybersécurité (ou sécurité informatique) tant pour les entreprises que pour les administrations publiques n’a jamais été aussi prégnante, d’autant plus que les pratiques propres aux cyberattaques se diversifient et deviennent de plus en plus dures à contrer.
La maîtrise des nouveaux risques numériques a donc été intégrée comme un enjeu majeur des stratégies de transformation numérique et de compétitivité des entreprises.
On retrouve plusieurs formes de cyberattaques qui tendent à faire disparaître la frontière numérique-physique et dont voici une liste non exhaustive :
- La compromission des emails professionnels est toujours d’actualité, bien que des formations soient dispensées aux employés pour sensibiliser aux dangers des courriels et des liens suspects. On parle dans ce cas-là de « phishing », c’est-à-dire un procédé consistant à compromettre une adresse email professionnelle pour s’en attribuer la propriété afin de réaliser des opérations frauduleuses avec.
- Tous systèmes informatiques comme les serveurs notamment, doivent intégrer des mises à jour régulières pour maintenir leur bon fonctionnement. C’est donc par le biais de mises à jour volontairement corrompues qu’il est possible de mettre à mal un serveur initialement fiable et sécurisé.
- L’émergence de l’intelligence artificielle représente aussi une faille de sécurité potentielle, via le recours aux botnets (réseaux de machine infectées et contrôlées à distance par un pirate). Cette accessibilité aux technologies telles que l’intelligence artificielle permet aux cybercriminels, par le biais de l’IA, d’automatiser la sélection de leurs cibles, d’analyser les vulnérabilités d’un réseau ou d’évaluer la réactivité des environnements infectés. Ainsi, il leur est possible de mieux dissimuler leurs attaques pour dérouler les phases suivantes d’un plan global.
- La création d’alliances cybercriminelles pour combiner différents types d’attaques et trouver des stratégies de contournement des défenses informatiques fait également parti des potentielles menaces, qui risqueront d’être difficiles à enrayer.
Ainsi, des activités illicites comme l’exploitation de failles de vulnérabilité, l’introduction de programmes malveillants, les ransomwares, les fraudes bancaires ou encore le blanchiment d’argent vont évidemment se multiplier. Il est donc impératif pour toute entreprise d’intégrer à son fonctionnement quotidien des règles en matière de cybersécurité dans la mesure où les outils de sécurité informatique seront parfois faillibles face au comportement et à l’action humaine.
Comment se protéger face à certains actes de cybercriminalité ?
Avec l’évolution de la nature et du type des cyberattaques, les outils nécessaires pour se protéger se sont eux aussi transformés. Des outils de prévention pour empêcher en amont une attaque, des outils pour détecter une anomalie, des outils d’analyse et enfin des outils correctifs seront de plus en plus et conjointement nécessaire pour protéger son SI face à la cybercriminalité.
En parallèle et pour des raisons évidentes de coûts, certaines entreprises ne pourront pas investir dans des solutions de cybersécurité en interne et opteront pour une prestation externalisée pour se protéger ou souscrirons parfois à une cyber-assurance.
Comment se protéger face à un ransomware ?
Plusieurs options existent dans le cas d’une cyberattaque au ransomware, mais la question de récupération des données reste elle, toute aussi importante.
L’un des premiers réflexes sera de chercher à isoler son matériel informatique en se déconnectant du réseau le plus rapidement pour éviter toute propagation du ransomware aux autres postes du réseau (connexions filaires et WiFi).
La récupération des données sera le sujet d’inquiétude principal. Il est possible, selon la nature du ransomware, de faire appel à des sociétés de sécurité informatique. Certaines parfois, disposent d’outils permettant de récupérer les données volées. Dans le cas où la récupération est impossible, la meilleure alternative restera toujours d’anticiper le risque potentiel d’une attaque en mettant en place et en amont, une sauvegarde de l’intégralité des données. Cette sauvegarde devant être réalisée dans un lieu sécurisé, distant du site primaire où se trouve les données. En répliquant sur un site distant l’ensemble de ses données, mais également les configurations propres aux serveurs hébergeant les données, une entreprise peut se protéger totalement d’un risque de cyberattaque. Elle sera ainsi en capacité de retrouver l’intégralité de ses données, dans un laps de temps relativement court, après basculement de l’infrastructure infectée vers la nouvelle (voir PRA informatique externalisé).
Cybersécurité : qu’appelle-t-on ingénierie sociale et comment y faire face ?
L’ingénierie sociale s’apparente à des procédures visant à entrer en relation avec un individu de manière discrète mais suffisamment poussée, pour pouvoir utiliser à des fins frauduleuses des informations personnelles qui pourraient lui être soutirées.
Les hackers adoptant ces pratiques mettent ainsi sur pied des techniques « d’hameçonnage » (phishing) qui grâce aux interactions, aux questions posées et à la relation de confiance nouée avec un individu, va permettre de récupérer une quantité suffisante de renseignements personnels.
Le cumul d’informations en apparence non stratégiques, mais une fois recoupées entre elles, va devenir un levier puissant de détournement permettant aux hackers d’accéder à l’argent, aux données privées et aux secrets de leurs victimes.
Les arnaques qui mobilisent des techniques d’ingénierie sociale se divisent généralement en deux grandes catégories. D’un côté les fraudes massives à savoir les attaques utilisant des techniques basiques de vol d’informations tout en ciblant le plus grand nombre de personnes. De l’autre côté, les fraudes ciblées plus sophistiquées visant des individus ou des entreprises spécifiques.
Les quatre phases caractéristiques d’une arnaque à l’ingénierie sociale sont la collecte d’informations, l’établissement de la relation avec l’individu ciblé, l’exploitation de vulnérabilités identifiées et l’exécution.
En cas de fraude par ingénierie sociale, le premier réflexe, concernant une organisation professionnelle, doit être de prévenir les administrateurs réseaux afin qu’ils redoublent de vigilance dans la détection de toute activité suspecte. Si la fraude concerne des comptes bancaires, il faut contacter au plus vite l’établissement financier pour fermer les comptes, repérer d’éventuels frais inexpliqués et réinitialiser ses mots de passe. L’un des bons réflexes est aussi de signaler toutes attaques aux autorités. Un portail est disposition des internautes pour transmettre des signalements de contenus ou de comportements illicites : Internet-signalement.gouv.fr
L’audit du système d’information et la prévention systématique comme alternative sérieuse
L’une des meilleures alternatives pour protéger et prévenir son système d’information face à toute menace cybercriminelle, reste encore de réaliser en amont un audit de sécurité informatique complet de son SI.
Cela va permettre de faire le point sur l’état du système et pourra être l’opportunité de revoir tout ou partie de l’infrastructure afin d’optimiser le niveau de son système de sécurité, voir rendre son SI plus puissant.
Le premier objectif d’un audit du SI est de retranscrire une image, un état des lieux du SI. En inventoriant le fonctionnement du système d’information, les applications hébergées et les réseaux de connexion par exemple, il devient plus facile d’identifier les impératifs à respecter et les zones du SI à optimiser.
Audit de Sécurité Informatique
L’audit doit aussi permettre d’identifier les failles du système d’information, les niveaux d’accès au réseau ainsi que la sécurité des données hébergées. Il doit définir un seuil de tolérance en termes de disponibilité et d’inaccessibilité des données.
L’audit aide à la formalisation d’axes d’amélioration visant à pallier les faiblesses d’un système d’information, tout en s’adaptant aux contraintes matérielles, de ressources ou humaines. Des tests d’intrusion et de vulnérabilité peuvent être effectués afin d’évaluer le niveau de sécurité du système, puis l’ajuster en conséquence.
Pourquoi confier son SI à des experts en cybersécurité et opter pour l’externalisation ?
Dans le domaine des systèmes d’information (SI), le recours à l’externalisation informatique (ou infogérance) est une pratique qui tend à se généraliser. Des sociétés comme des administrations confient à des entreprises d’infogérance tout ou partie de leur informatique. L’idée étant de déléguer la réalisation de certaines tâches techniques nécessitant des compétences spécifiques, soit par manque de ressources ou de budget.
Souvent l’objectif est le même à savoir, garantir la sécurité des données du SI au travers les services d’entreprises qualifiées en matière de protection des données.
Voici un guide de l’ANSSI sur l’externalisation et la sécurité des systèmes d’information qui permet d’aller plus loin dans une réflexion d’externalisation.
Sensibiliser les utilisateurs avant tout : la clé en matière de cybersécurité
Dans de nombreux cas il est constaté que l’action de l’utilisateur final, en raison de mauvaises pratiques, est le point d’origine d’une faille de sécurité informatique.
La consultation de pages web douteuses, l’ouverture de fichiers joints ou de liens malveillants portant en eux le germe d’une attaque ou des logiciels corrompus, sont autant d’occasions d’infecter un ordinateur et le réseau informatique auquel il appartient.
L’étude « The Global State of Information Security » menée par PwC indiquait déjà en 2017, que près d’une entreprise sur trois estimait que ses collaborateurs étaient involontairement à l’origine de certaines attaques subies l’année précédente.
Sensibiliser régulièrement ses collaborateurs et évalués leurs connaissances en matière de règle de sécurité informatique est en train de devenir le vecteur de développement commun de nombreuses entreprises. Les impératifs de la cybersécurité place dorénavant les entreprises dans des situations d’urgences telles, qu’un utilisateur pris à part peut à lui seul et grâce à de bonnes pratiques enrayer une cyberattaque avant qu’elle ne se déclenche, un peu comme les gestes de premiers secours en matière de survie. On en revient au fait que ce sont les collaborateurs imprudents ou malchanceux qui se trouvent être le plus souvent liés à des cyber-menaces, plutôt que des employés véritablement malveillants.
Il existe ainsi de nombreuses formations et support pour former le personnel à la sécurité et aux risques auxquels s’expose une société informatisée.
- Une charte informatique, pour formaliser et partager les bonnes pratiques
- Des sessions d’e-learning, pour former chaque collaborateur à son rythme
- Des formations de groupe, pour le partage d’expérience et l’émulation
- Des dispositifs ludiques et participatifs comme les tests façon quiz, les tests d’intrusion en social engineering et autres serious games,
La mise en conditions réelles avec des sessions de live-hacking (reproduction factice d’une attaque).