

L’audit de sécurité permet de connaître les failles et dysfonctionnements d’un système informatique. Découvrez comment anticiper les cyber-risques avant qu’il ne soit trop tard !
Le média de ceux qui réinventent l'entreprise
Parmi les sujets sensibles liés au développement du numérique dans l'entreprise, il en est un qui inquiète plus que tous les autres : la cybersécurité.
La crise récente du Covid19 a accentué ces craintes déjà présentes. Le confinement et le développement du télétravail qui s'en est suivi, n’ont fait que mettre en exergue certaines failles en matière de cybersécurité en entreprise.
Il est déjà complexe de maintenir des conditions de sécurité dans un environnement informatique bien circonscrit que représente l'entreprise. Dès lors que l'on bascule dans un contexte plus ouvert, en permettant par exemple aux salariés de travailler à distance, les règles et outils habituels s'avèrent vite obsolètes.
Pour preuve, le phénomène de "ZoomBombing" qui semble avoir frappé de nombreuses visioconférences au printemps. Heureusement, il s'agissait là d'un phénomène médiatisé, mais relativement anodin en termes de conséquences.
Puisque le télétravail, impliquant le recours à de nouveaux outils, s'est soudainement développé, il va falloir adapter les règles et les comportements. Règles et outils, car la cybersécurité est affaire de technique. Mais comportement, car le facteur humain est prépondérant.
La cybersécurité est un ensemble de dispositifs de sécurité, d’outils, de lois ou encore de mesures de prévention visant à prémunir les systèmes informatiques, ordinateurs, appareils mobiles et applications contre des attaques malveillantes issues du cyberespace.
Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), ces attaques visent à « compromettre la disponibilité, l’intégrité ou la confidentialité des données ».
Les autorités compétentes en matière de cybersécurité invitent donc les grandes organisations mais aussi les PME à mettre en application un certain nombre de bonnes pratiques afin de limiter les risques liés à la cybercriminalité.
Cet "état recherché" est rarement atteint, puisque les systèmes d'information et les réseaux sont en perpétuelle évolution. Ce qui est considéré comme sécurisé aujourd'hui ne le sera plus forcément la semaine prochaine.
D'où l'obligation d'une adaptation permanente des outils et des comportements.
La plateforme gouvernementale de cybermalveillance publie les chiffres suivants, pour 2019 :
Selon la Confédération des Petites et Moyennes Entreprises (CPME), en 2019, 44% des entreprises de moins de 50 personnes avaient subi une attaque informatique. 17% seulement de ces entreprises sont assurées contre le risque de cyberattaque.
Les chiffres et définition donnés ci-dessus en sont la preuve : la cybersécurité est un danger désormais reconnu. Des organismes, des services de l'état, des associations ont désormais vu le jour pour le contrer.
L'ANSSI, citée plus haut, accompagne les entreprises en fonction de leur profil par des actions de conseil, de politique industrielle et de réglementation afin de rendre disponibles des produits de sécurité et des services de confiance. Elle intervient aussi sur les problématiques de souveraineté.
Cybermalveillance.gouv.fr a pour mission d'aider les entreprises, les particuliers et les collectivités victimes de cybermalveillance, de les informer sur les menaces numériques et de leur donner les moyens de se défendre.
Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT), qui dépend de l'agence nationale de la sécurité des systèmes d'information, est accessible 24h/24 et 7j/7. Il recense les menaces nouvellement détectées.
Ses missions principales sont les suivantes :
Si l'on n'a pas toujours bien conscience des menaces en matière de cybersécurité, c'est qu'elles peuvent prendre des formes bien différentes.
Comme l'indique les statistiques, les attaques ne sont pas forcément d'une grande complexité technique. Elles consistent souvent en une simple "escroquerie" basée sur l'intimidation ou l'arnaque. L'informatique n'est alors que le vecteur de communication, le point d'entrée.
Le fraudeur dispose fréquemment d'une simple adresse mail, qu'il va utiliser pour entrer en contact avec sa cible. Il va tenter de lui extorquer des données :
C'est le principe du hameçonnage, du "spoofing", ou de la fraude au président.
Dans l'imaginaire, alimenté par le cinéma notamment, c'est l'autre volet de la cybermalveillance qui est le plus présent. Celui qui consiste en : des attaques, des intrusions, requérant une haute technicité, et mettant le fraudeur en contact direct avec les données et réseau de l'entreprise.
Ces pratiques requérant une pratique avancée du codage sont beaucoup moins nombreuses.
Les cyberattaques "technologiques" les plus fréquentes, et celles qui ont le plus de conséquences pour les entreprises, sont les ransomwares. Elles consistent à introduire un code malveillant sur une machine où un réseau, pour bloquer certains accès ou crypter des données.
Le déblocage, l'obtention de la clé pour retrouver l'accès aux informations, est ensuite monnayée au prix fort. En 2019 :
Autre type de malveillance assez fréquente, qui requiert une technicité : l'attaque par déni de service, DDOS pour Distributed Denial of Service, en anglais.
L'assaillant va rendre inaccessible un serveur par l’envoi de multiples requêtes jusqu’à le saturer. Il peut aussi exploiter une faille de sécurité afin de provoquer un arrêt ou un fonctionnement fortement dégradé d'un service.
Ce type d'attaque peut entraîner :
Là encore, la motivation peut être la demande de rançon, pour faire cesser les attaques.
On le voit, la cybersécurité est loin de se cantonner à une question technique. Il est donc illusoire de s'en remettre uniquement à un ou plusieurs outils logiciels en matière de sécurité. Cela rendrait votre organisation imperméable à toute menace.
Tous les experts sérieux le rappellent : il faut agir simultanément, et constamment, sur plusieurs fronts. L’objectif est donc de mettre en place des solutions de sécurité simples et à la portée de l’entreprise.
Les failles sont d'abord humaines. Toutes les DSI savent qu'encore aujourd'hui le simple post-it oublié mentionnant un mot de passe peut contrecarrer des mois de travail informatique.
Donc, la base d'une cybersécurité renforcée reste un travail d'information et de formation auprès des collaborateurs. D'autant plus dans le contexte actuel évoqué en introduction, qui voit le télétravail se développer, favorisant le phénomène du BYOD (Bring Your Own Device). Les smartphones sont notamment de nouveaux vecteurs d'intrusion, et fragilisent les organisations.
Heureusement, les nouvelles technologies de sécurisation biométriques sont d'une grande efficacité, même si parfois contournables (la reconnaissance faciale recèle des failles).
Entre l'humain et la technologie, les bonnes pratiques peuvent faire merveille. Par exemple, une bonne organisation des sauvegardes est une solution simple contre des attaques complexes. Un ransomware est de faible impact si par ailleurs les données sont sauvegardées et à jour.
Reste qu'au delà du travail sur l'humain, le recours à des outils logiciels puissants et mis à jour est essentiel. Le plus connu est bien évidemment l'antivirus, qui doit être présent sur tous les terminaux utilisés par les collaborateurs, y compris les smartphones.
Les outils d'aide à la sauvegarde, et les gestionnaires de mots de passes, sont aussi des applications à utiliser à grande échelle.
Les pare-feux sont indispensables, et l'on entre là dans une catégorie d'outils qui nécessite l'intervention d'experts, surtout s'ils sont généralisés à l'échelle d'une organisation.
Pour conclure, la méthode la plus efficace en matière de cybersécurité, c'est d'utiliser toutes les pratiques, organisations spécialisées, et outils, dans un dispositif étendu et complexe.
En ce sens, le recours à un DPO, Data Protection Officer, est une éventualité dans le cadre d'une entreprise de taille importante afin de protéger au mieux les données sensibles et de limiter les risques d’intrusion.