Mois du numérique par Les Digiteurs : la vulnérabilité des entreprises face aux cyberattaques
Avec la hausse des cyberattaques, les entreprises doivent mieux protéger leurs données. Pour leur mois du numérique, les Digiteurs ont proposé un atelier pédagogique, le 14 juin 2018, à la CCI des Hauts-de-Seine (92), pour les aider à mesurer leurs risques. Maxime Alay-Eddine, cofondateur de Cyberwatch et spécialiste de la gestion des vulnérabilités informatiques, était invité afin de montrer une simulation d’attaque informatique et expliquer les bons réflexes à avoir.
Les piratages informatiques ne visent pas uniquement les grandes entreprises. Au contraire, les petites entreprises sont particulièrement exposées. Or, très peu de TPE et PME utilisent des solutions de sécurité informatique. Pourtant, le nombre d’attaques informatique augmente et les hackers sont de plus en plus performants. Dans son rapport annuel de 2017, l’entreprise américaine d’informatique, Cisco, a constaté quatre fois plus de trafic potentiel de logiciels malveillants. Afin de mieux mesurer leurs risques informatiques, les Digiteurs de la CCI des Hauts-de-Seine, ont invité les entreprises à un business coffee, le 14 juin dernier, animé par Maxime Alay-Eddine, cofondateur de Cyberwatch.
Durant la matinée, l’expert a effectué une analyse de vulnérabilité sur le site internet d’une participante, Danièle Lasserre, de Cap Interactif. « Il a trouvé quelques petits détails et cela nous a permis de les régler. J’ai surtout pris conscience de l’importance du conseil dans ce domaine, tant sur la structure du site, ses mises à jour et l’efficience des sauvegardes pour que la sécurité ne soit pas le maillon faible d’un site internet », raconte-t-elle. Dans son agence de conseil en communication et digital, ces questions de sécurité informatique peuvent toucher la plupart de ses clients. « Ce qui m’a beaucoup interpellé, c’est l’écart de sécurisation qu’il peut y avoir entre certains de nos gros clients et les PME qui ne se soucient pas toutes de leur sécurité en ayant l’impression qu’elles ne vont pas être ciblées sur le web », ajoute-t-elle.
Selon le rapport de Cisco, plus de la moitié des attaques subies au cours de l’année 2017 ont engendré des pertes pour l’entreprise, allant de 400 000 à 4 millions d’euros. À la fin de la matinée, Maxime Alay-Eddine a réalisé une démonstration de cyberattaque, ce qui a permis aux participants d’en mesurer les conséquences et d’obtenir quelques conseils, simples et faciles à appliquer. À côté de cela, les experts en sécurité informatique recommandent la mise en place d’une politique de sécurité pour chaque entreprise et de sensibiliser tous les collaborateurs. D’après Maxime Alay-Eddine, « en général un budget moyen pour un audit de sécurité d’une TPE ou PME va de 3 000 à 5 000 euros. Cela permet d’avoir une vision globale du niveau de sécurité de tout le système d’information ». Suivre des précautions élémentaires évite ainsi de s’exposer à des risques, qui exploitent souvent des vulnérabilités connues. Trois questions à Maxime Alay-Eddine suite à ces démonstrations.
Les Petites Affiches
Quels sont les différents types de cyberattaques qui peuvent toucher les entreprises ?
Maxime Alay-Eddine
Nous distinguons trois grands risques. Il y a l’atteinte à la disponibilité qui vous empêche d’accéder à vos services. L’atteinte à l’intégrité des données permet la modification de celles-ci. Enfin, l’atteinte à la confidentialité correspond au vol d’informations personnelles liées à votre entreprise. Depuis l’entrée en vigueur du RGPD (règlement général sur la protection des données), ce qui fait le plus peur aux entreprises – notamment aux TPE et PME – c’est cette partie liée à la confidentialité. Par exemple, une entreprise qui se fait voler sa base client est censée les prévenir du vol de leurs données personnelles. Cela va avoir un impact financier, mais c’est également redoutable en termes d’image.
Ensuite, il y a deux types d’attaques : les attaques ciblées qui visent les grandes entreprises ou les attaques automatisées qui touchent plutôt les TPE/PME. Un logiciel comme Windows qui est connu et utilisé dans le monde entier est très analysé par les chercheurs en sécurité informatique. Ils essayent de trouver les failles du logiciel. À côté de cela, il y a les robots qui utilisent les vulnérabilités connues pour créer des kits d’attaques et n’importe qui peut les télécharger. C’est ce qui fait le plus de dégâts, en quantité.
LPA
Comment se passe une simulation de cyberattaque ?
M. A.-E.
J’ai montré un des types d’outils automatisés qui est utilisé par des pirates, il s’agit d’un scanner de vulnérabilité, qui détermine si un système d’information à des vulnérabilités qui se trouvent dans la liste. J’ai lancé un scan de vulnérabilité sur le site internet de l’une des participantes et on a obtenu des informations intéressantes, mais assez mineures, vu qu’il ne s’agissait pas d’un système d’information très complexe. J’ai également fait une autre démonstration où j’ai réalisé en direct, une simulation de l’attaque, WannaCry, qui avait eu lieu en juin 2017. Il s’agissait d’une attaque au niveau mondial qui a bloqué énormément d’entreprises. Ils ont utilisé une faille connue sur le site de Windows et ont pris le contrôle des machines.
LPA
Quels conseils donnez-vous donc aux entreprises ?
M. A.-E.
Toutes les TPE ou PME, qui ne sont pas du tout informées de ces risques sur internet et ne se protègent pas, peuvent être frappées par des attaques automatisées. Le problème qui a été remonté, c’est l’absence des dernières mises à jour, aussi bien sur leur site internet que sur des systèmes qui sont exposés sur internet, c’est-à-dire leur serveur, leur poste de travail et leur site web… En cliquant sur « plus tard », elles refusent d’installer des mises à jour de sécurité qui les protègent contre les dernières attaques. C’est la recommandation n° 1 ! Ensuite, il faut faire attention aux mots de passe. Depuis longtemps, les personnes utilisent des mots de passe à 6 ou 8 caractères. Mais aujourd’hui, cela ne suffit plus. Au lieu de mettre des minuscules, majuscules et des symboles, de telle sorte que c’est très dur à retenir, la technique est de privilégier des phrases entières avec de moyens mémos techniques pour s’en souvenir. Une chaîne longue est plus difficile pour un pirate à casser et plus facile à retenir. Par exemple, mettre le prénom de ses enfants, c’est une catastrophe en termes de sécurité. Ce sont les deux sujets sur lesquels j’ai particulièrement insisté et qui permettent de réduire considérablement les risques d’attaques.