AVIS D’EXPERT. Le deuxième congrès de la cybersécurité se déroule les 29 et 30 novembre à Porrentruy, dans le canton du Jura, en Suisse, tout près de Belfort. Il réunit des experts militaires et civils internationaux du domaine. Un sujet qui concerne toutes les entreprises, quelle que soit leur taille.

Questions à deux experts, Jean-Jacques Wagner, une des chevilles ouvrières de ces rencontres ; Julien Blaut, co-dirigeant de SecureData à Belfort. Et un exemple de sensibilisation des chefs d'entreprises à l'initiative de la Banque Populaire Bourgogne-Franche-Comté.


wagner# Jean-Jacques Wagner, auditeur à l'Institut des hautes études de la défense nationale (IHEDN) et professeur à l'Université de Bourgogne–Franche-Comté, responsable de projet pour le développement de l'intelligence économique et de la gestion de crise. Il est l’un des co-organisateurs du congrès de la cybersécurité à Porrentruy, de l’autre côté de la frontière, près de Belfort.


• Quel est le degré d'urgence pour une entreprise à se protéger en matière de cyber-sécurité ?


Il existe une multitude de risques d'attaques. Et la RGPD en constitue elle-même un nouveau pour les entreprises : il y a une judiciarisation de plus en plus importante qui accroît les risques de sanctions pour les entreprises qui ne s'y conforment pas.
Toutes sont concernées. Si un système de protection de données n'est pas à la hauteur, il y a un risque d'attaque de hackers. Par exemple des « ransomware » du type : « J'ai pu pénétrer votre système et collecter des renseignements sur vos clients. Soit vous payez, soit je vous dénonce ». La RGPD devient elle-même un outil de pression.
Les compagnies d'assurance commencent à peine à découvrir la nécessité de protection. Il y a une confusion entre la protection des matériels et la protection des données. Ce qui compte, c'est le logiciel et c'est la connaissance que contient l'ordinateur.
Deux exemples : un chef d'entreprise s'est fait voler son PC portable avec ses logiciels de production mécanique ; sa boîte a coulé. Une autre entreprise s'est fait voler son fichier client, avec ses habitudes de consommation. Le hacker l'a utilisé depuis l'étranger et a fait 2 millions d’€ de chiffre d'affaire à partir de ces données.

 

 

bpbfcpme

 


• Que doit faire une entreprise en priorité ?


Elle doit veiller à la qualité de son service informatique et ne pas faire d'économies de bout de chandelle.
Les antivirus n'excluent pas les mesures de bon sens : changer régulièrement les mots de passe, bien gérer les périphériques, comme les clefs USB et le fichier des usagers. Il n’est pas rare d’observer que les mots de passe d'étudiants accueillis en entreprise soient encore valides six mois après leur stage.
Il faut se demander si l'on stocke des informations stratégiques sur son ordinateur portable et éviter la confusion entre PC d'entreprise et PC personnel. Un salarié d'une grande entreprise avait laissé son enfant jouer sur son PC portable professionnel. L'enfant a envoyé un message à tout le carnet d'adresses de son père, qui a été licencié.
Il y a aussi la problématique des réseaux sociaux, avec le vol d'identité ou la création d'une nouvelle identité avec un faux profil. Cela engendre des difficultés à vérifier avec qui on travaille, et à contrôler l'image que l'on donne de soi. Quel est l'arrière-plan d'une photo publiée lors d'un salon commercial et quelles sont les infos que l'on livre ainsi à son concurrent ? On trouve des informations sur les réseaux sociaux sans même les demander.

 


• Pour une entreprise, quel est le coût pour une bonne protection ?


Au-delà des antivirus, il faut être bien clair dans ses choix. Où est mon fournisseur de cloud et comment est-il sécurisé ? Mes bases de données sont-elles en sécurité ? Ce n'est pas de l'abstraction : il y a forcément une matérialisation dans un endroit physique : un ordinateur, un serveur. Où est-il ? Est-il correctement sécurisé ou non ?

 


• Pour en revenir à la RGPD, ne reporte-t-on pas la question de la sécurité sur les entreprises au lieu de la faire supporter aux gestionnaires de données ?


C'est une bonne question à se poser. On n'a pas aujourd'hui de réflexion philosophique sur le sujet et l’État fait reposer la responsabilité sur les entreprises, voire sur le particulier, à terme. Prenons l'exemple d'un service comptabilité d'une entreprise. Comment peut-il garantir que toutes les données dont il dispose sont protégées ? Quelle est l'entreprise qui a la gestion physique de ses données ? La question pourrait aussi se poser pour les tribunaux de commerces, qui collectent les bilans qui sont consultables sur demande, mais en tout état de cause accessibles. Cette accessibilité est-elle suffisamment sécurisée ?


Propos recueillis par Pierre-Yves Ratti


Kremernouvellepub




securedata

 

# Gaël Bige (à gauche) et Julien Blaut ont créé SecureData en 2018 à Belfort. Le premier, 18 ans d’expérience en informatique, titulaire d’une licence informatique délivrée par l’AFTI en région parisienne a une expérience d’administrateur réseaux et responsable informatique dans différents métiers. Le second, diplômé d’un bac +2 en informatique, a 7 ans d’expérience informatique en tant qu’administrateur système et réseaux et est passionné depuis toujours par le hacking.

 


• Cyber-sécurité : sommes-nous  suffisamment « parano » ?


Dans un monde numérique où tout est connecté, le danger est omniprésent. Aucun système d’information n’est épargné et les conséquences d’un piratage peuvent être dévastatrices pour les entreprises. Les plus grandes investissent depuis de nombreuses années dans la sécurité informatique tandis que les plus petites peinent à le faire, souvent par faute de moyens mais aussi en raison d’une ignorance des risques.  Les pirates informatiques (hackers) l’ont bien compris puisque les PME/TPE sont devenues, au fil du temps, leurs cibles privilégiées. Pourquoi vouloir pénétrer un système sécurisé par une porte blindée alors qu’il en existe d’autres pour lesquels la porte est restée grande ouverte ?  
• Qui sont ces individus et quelles sont leurs motivations ?
Les auteurs de cyber-crimes ont des profils divers et variés et agissent depuis les quatre coins du monde. Certains d’entre eux sont des organisations criminelles internationales avec un très haut niveau de compétence informatique. D’autres ne sont que des personnes isolées en quête de défis, d’argent facile ou de soif de vengeance diffusant à grande échelle leurs virus (malware). Par exemple un concurrent, un salarié ou un client mécontent souhaitant nuire à l’entreprise.
A l’heure où  tout s’achète et tout se vend sur Internet, il est devenu facile de louer les services d’un pirate ou de lui acheter des virus prêt à l’emploi.

 


• Quelles sont les menaces et comment s’y prennent-ils ?  


Les pirates qui souhaitent commettre des méfaits ont le choix entre une multitude d’outils disponibles, et s’ils n’existent pas, les plus aguerris vont les créer.
En mai 2017, des attaques informatiques d’ampleur ont été menées à travers le monde. De grandes industries, des banques ou encore des hôpitaux ont été touchés par une nouvelle génération de virus diffusés par mail : le rançongiciel (ou ransomware en anglais). Son but ? Prendre en otage l’intégralité des données de l’entreprise en les rendant inutilisables.

Pour celles qui n’ont pas de sauvegardes viables, elles n’ont pas d’autres choix que de payer une rançon et ce, sans garantie de résultats. C’est un type de virus encore largement répandu aujourd’hui.
Un autre type d’attaque, appelé le Déni de Service (DOS) a pour objectif de rendre indisponible les sites Internet des victimes. Pour les sociétés de e-commerce, le préjudice financier peut être conséquent.  

 

ransomware
Un rançongiciel (ou ransomware en anglais), virus diffusé par mail. © Securedata.


Les entreprises peuvent mettre beaucoup de temps à s’apercevoir qu’elles ont été victimes de piratage, avec par exemple, l’utilisation d’un virus informatique furtif appelé R.A.T. (Remote Access Tool). Caché dans un fichier légitime (cheval de Troie) et souvent transmis par e-mail, ou téléchargé sur Internet, ce virus R.A.T. est un véritable mouchard : accès aux mots de passe saisis, aux fichiers, au micro, à la webcam…  
Depuis quelque temps, le vol ou la fuite de données se multiplient. Les données hébergées sur un site Internet mal sécurisé peuvent être volées grâce à différentes techniques, et revendues au marché noir. S’il s’agit d’un vol de données à caractère personnel, l’entreprise court un second risque avec le RGPD (Règlement Général sur la Protection des Données applicable depuis le 25 mai 2018). En effet, la CNIL peut désormais intervenir et sanctionner l’entreprise victime, en raison de sa non mise en conformité avec le RGPD.
D’autres attaques se basent uniquement sur la crédulité des salariés, par exemple l’attaque au président où l’assaillant très bien renseigné se fait passer pour le dirigeant et ordonne un virement bancaire sur l’un de ses comptes.
Une autre plus classique est l’hameçonnage (pishing). A travers un email envoyé en masse, le « pirate » se fait passer pour une institution de confiance et tente généralement de voler l’identifiant de sa victime grâce à un lien qui mène vers un faux site interne : service bancaire, PayPal, Facebook, messagerie…

 

 

actionlogement



• Quelles conséquences pour les entreprises ?  


Entre la paralysie du système d’information, la fuite ou la perte de données stratégiques, les conséquences peuvent être dramatiques :  une perte financière causée par les jours de productions perdues, le coût de remise en route du système et les éventuelles rançons. Une  attaque informatique peut aussi impacter directement les partenaires de l’entreprise qui peuvent victimes à leur tour : virus qui se répand, usurpation d’identité, fraude au RIB. Il existe aussi un risque juridique et pénal pour les entreprises victimes qui auraient négligé la sécurité de leur système d’information (Plainte, conformité RGPD…).

 


• Mais alors comment faire pour se protéger ?


Beaucoup d’actes de piratage auraient pu être évités avec la mise en place de simples moyens techniques et organisationnels. Il est important que chaque salarié devienne acteur de la sécurité informatique, et pas le seul service informatique. D’où la  nécessaire  sensibilisation et formation des salariés.
L’entreprise doit aussi adopter toutes les pratiques en matière de sécurité  : contrôle d’accès, procédures de mise à jour logicielle, contrôle des sauvegardes, charte informatique…  Les détails de toutes ces bonnes pratiques sont disponibles sur les sites Internet de l’ANSSI et de la CNIL.
Il peut être opportun de faire appel à des entreprises spécialisées en sécurité informatique qui accompagnent leurs clients à travers des diagnostiques de sécurité, des tests d’intrusions, du conseil et de la mise en conformité.  Un regard extérieur sur le système d’information permet souvent de déceler des faiblesses.
Il faut aussi savoir que tous les objets numériques connectés peuvent faire l’objet de piratage et être une porte d’entrée dans l’entreprise. Ne négligez pas la sécurité du téléphone mobile, des caméras IP…
Les coûts et les efforts engendrés par la mise en place d’une politique de sécurité robuste resteront toujours inférieurs à ceux d’une attaque. Cependant, il faut savoir que le risque zéro n’existe pas. Il est par conséquent important d’anticiper toutes les actions à mener en cas de crise, notamment avec la mise en place de plan de reprise ou de plan de continuité d’activité.



• Que faire en cas de piratage ?


Les réponses à apporter seront différentes suivant le type de piratage. Vol de données ? Espionnage ? Données inutilisables ? Site Internet hors service ? Virement bancaire frauduleux ?  Suivant les cas il sera peut-être nécessaire de couper en urgence les serveurs de l’entreprise, déconnecter le réseau local d’Internet, récolter des preuves techniques après avoir porté plainte.

Attention dans le cadre du RGPD, s’il y a eu violation de données à caractère personnel, l’entreprise est dans l’obligation de prévenir la CNIL dans les meilleurs délais (72h maximum). Elle devra aussi prévenir ses partenaires ou clients. Enfin, le chef d’entreprise l’ignore souvent : il existe des contrats d’assurances qui couvrent les dommages liés aux cyberattaques.


Propos recueillis par mail

 

LCR

 

Votre banque peut vous aider en informant de certains risques

-----------

Toute banque digne de ce nom se préoccupe de cybersécutité pour son propre compte évidemment, mais parfois aussi pour informer ses clients. La Banque Populaire de Bourgogne Franche-Comté organise régulièrement des rencontres sous forme de brunchs avec pour animateur Thierry Antoine, employé de la filiale Turbo (groupe BPCE).

L’homme n’a pas son pareil pour vous faire froid dans le dos avec un humour redoutable. A titre de premier exemple : la fraude au virement liée à la généralisation du virement SEPA. Une sur cinq aboutit, c’est dire…

Le spécialiste passe aussi des bandes son concernant la fraude au président. C’est édifiant de crédulité, mais ne souriez pas, ceux qui se font passer pour le dirigeant d’une entreprise et ordonne de virer telle somme sur tel compte sont des acteurs de génie.

A plusieurs, les pirates ont mis des semaines à connaître l’entreprise, les habitudes de chacun, le surnom de la standardiste. Ils se sont entraînés des jours à imiter la voix de leurs futures victimes, se sont enquéris de savoir si elles se vouvoient ou se tutoient et au besoin qui est intime avec qui.

L’attaque est rapide, manie la flatterie ou la menace. Une fois le virement frauduleux effectué, c’est presque toujours trop tard. Il arrive en Europe centrale, puis rebondit en Asie. Et cela n’arrive pas à n’importe qui.

L’entreprise Michelin a subi un préjudice de 1,6 million d’€ par le biais de cette fraude, l’Olympique de Marseille : 700.000 €. « Et que dire d’un bailleur social dont on taira le nom, victime d’une fraude 23 millions en 20 virements. »

Trois mesures simples s’imposent par le bon sens pour éviter ce qui provoque des drames aux conséquences allant jusqu’au suicide : informer des risques ses collaborateurs, faire un double, voire triple, contrôle interne et faire valider le virement par votre banque.

Prochain brunch de la Banque Populaire le 29 novembre à Nevers sur le thème de la sécurisation des échanges et de la lutte contre la fraude. A partir de 11h45, à l'hôtel Mercure Pont-de-Loire. D.H.

1 commentaire(s) pour cet article
  1. Michel Mougindit :

    Nous ne sommes jamais assez sensibilisés à ces manipulations frauduleuses. La vigilance de chacun d'entre nous s'impose. Elle est obligatoire outre les dispositifs "sécurité informatiques" mis en place. Article très intéressant.

Commentez !

Combien font "4 plus 2" ?