Lundi, 8 h 45. Thibault, CEO dans une startup lyonnaise, a juste le temps de jeter un œil à ses mails avant un rendez-vous. Parmi les courriels reçus, l’un de ses prestataires lui envoie le lien vers un rapport sur lequel ils ont brièvement échangé au détour d’un post LinkedIn. L’adresse mail, le ton de l’interlocuteur : tout y est. Rien de suspect à première vue. Il télécharge le rapport. Un clic qui revient à confier les clés d’un coffre-fort à un pirate. A peine quelques heures suffiront pour que l’ensemble du réseau de l’entreprise soit chiffré et qu’une rançon soit demandée.
Désormais, ce type d’histoire ne relève plus de l’anecdote. En 2021, 1.082 cyberattaques ont été signalées en France, soit 37 % de plus qu’en 2020. Un chiffre qui serait loin de refléter la réalité, selon Brice Augras, hacker éthique et CEO de BZHunt : « Même si le RGPD impose de notifier la violation de données, 75 % des entreprises victimes préfèrent encore taire une cyberattaques et ne pas porter plainte. »
Pourtant, « ça cogne fort, tout le temps et sur n’importe qui », rapporte Ingrid Söllner, directrice marketing de Tehtris, société spécialisée dans la cybersécurité fondée par des anciens membres du renseignement français.
Vulnérabilités : prendre le pouls de l’entreprise
« Une entreprise n’est jamais trop petite pour être ciblée, insiste Philippe Luc, cofondateur et CEO d’Anozr Way. TPE, PME et ETI sont même des cibles de choix. Elles n’ont pas encore la culture cyber et se pensent parfois en dehors des radars estimant qu’elles ne représentent pas une manne financière intéressante. Propriété intellectuelle, données… tout cela intéresse les pirates » Ils optimisent leurs gains en attaquant les plus vulnérables, ceux qui n’ont pas la maturité ou la ressource financière pour engager une politique cyber.
Si le phishing (hameçonnage) reste une offensive très prisée, de nouvelles méthodes comme le ransomware arrivent en force. « La question n’est plus de savoir si on risque la cyberattaque mais comment elle va se produire », résume Brice Augras. La réponse : anticiper. L’audit de sécurité est l’une des premières pierres du rempart. Du site web vitrine aux interfaces de connexion, en passant par les environnements de messagerie, quelle est ma surface d’exposition sur Internet ? « La mauvaise configuration des outils déployés sur Internet est un problème fréquent, observe le chercheur en cybersécurité. Le marché propose de plus en plus de solutions sophistiquées mais si l’entreprise utilise en parallèle des identifiants aussi originaux que « admin », c’est un peu comme donner une Ferrari à quelqu’un qui ne sait pas conduire. »
Une bonne hygiène informatique : la base
Avant même la vulnérabilité technique, il y a la faille humaine ! Elle est à l’origine de la majorité des attaques. Cliquer sur une pièce jointe, choisir un mot de passe commun à l’ensemble de ses applications, connecter sa e-cigarette à son poste de travail… « Les pirates se saisissent de notre paresse, souligne Luc Philippe. Par exemple, il faut proscrire l’enregistrement automatique des mots de passe sur son poste et opter pour un coffre-fort de mot de passe. L’idéal est également d’avoir plusieurs adresses, une pour les contacts commerciaux, l’autre pour les fournisseurs, etc. » Ne jamais remettre au lendemain les mises à jour !
62 % des salariés français disent ne jamais avoir bénéficié de formation à la cybersécurité (Baromètre de la cybersécurité en entreprise CESIN 2022). Une charte informatique qui consigne toutes les bonnes pratiques peut s’avérer très utile. L’Agence nationale de sécurité des systèmes d’information (Anssi) propose un guide d’hygiène informatique qui donne les clés pour sensibiliser les salariés, sécuriser le réseau, les postes et l’administration, authentifier et contrôler les accès… « Il n’en faut parfois pas plus pour qu’un pirate aille choisir une proie plus facile, souligne Brice Auras. Evidemment, ça ne suffit pas toujours. »