Media image full width
La cybersécurité dans les entreprises Attaques venues du réseau: le jour où tout s’est arrêté
Le cybercrime n’est pas de la science-fiction, mais une menace bien réelle pour les PME. Les entreprises attaquées sont rapidement confrontées à des demandes de rançon, à des pertes de production et à des travaux de réparation coûteux. Paul Such, expert en cybersécurité, sait comment se déroule une attaque et quoi faire pour s’en prémunir.
«Je ne suis pas une cible intéressante»
Les PME sont précisément des cibles de choix. Contrairement aux grandes entreprises, elles disposent d’une protection moins élaborée et ont souvent des finances saines. Les conditions idéales pour le chantage.
«Nous voyons déjà des attaques de pirates se produire»
De nombreuses attaques sont découvertes simplement par hasard. En moyenne, cela prend plus de 100 jours. Une surveillance constante des systèmes est donc d’autant plus cruciale.
«Les cybercriminels sont des personnes extérieures»
De nombreuses attaques sont justement menées avec l’aide d’initiés. Toutes les collaboratrices et tous les collaborateurs n’ont pas quitté votre entreprise en bons termes. Ou bien si?
«Des antivirus et des pare-feu suffisent»
La protection contre les cybercriminels fonctionne comme un château fort. L’antivirus et le pare-feu ne sont que les défenses extérieures.
Lorsque le téléphone de Paul Such sonne et que les clients l’appellent à l’aide, en panique, il est souvent trop tard. C’est ce qui est arrivé un beau matin chez un producteur de denrées alimentaires. Toutes les machines étaient à l’arrêt et le système de production était bloqué de l’extérieur. Un e-mail de rançon ne laissait aucune place au doute: des pirates s’étaient introduits dans l’usine. Pendant des semaines, plus rien n’est sorti des lignes de production. Les pertes de chiffre d’affaires étaient telles que le conseil d’administration a dû se pencher sur l’incident. «Si le piège s’est déjà refermé, tout ce que nous pouvons faire, c’est limiter les dégâts», explique l’expert en cybersécurité. Les données volées ou chiffrées sont irrécupérables. «Il est préférable de détecter en amont les intrus dans le système», conseille Paul Such.
Expert en cybersécurité par passion
Paul Such est le fondateur d’Hacknowledge, une entreprise spécialisée dans la cybersécurité qui aide les entreprises à repérer les intrus numériques et à se défendre. La réputation de Paul Such le précède. Il était lui-même un pirate, mais un «white hat» (un «chapeau blanc»), comme il le souligne. Contrairement aux «black hats» («chapeaux noirs»), il ne s’introduisait pas dans des systèmes étrangers par motivation criminelle, mais parce qu’il était spécialement engagé pour cela. Les entreprises recourent à ces corsaires pour tester leurs systèmes et ainsi détecter les failles avant que les pirates du côté obscur le fassent. Depuis 2019, la Poste fait également appel à ces hackers éthiques dans le cadre de son programme bug bounty pour faire tester ses prestations numériques sous toutes leurs coutures
«Plus personne n’est à l’abri»
Depuis longtemps, les ordinateurs ont fait leur entrée dans tous les domaines: que ce soit dans les systèmes de facturation d’un salon de coiffure ou des commandes de production d’un constructeur de machines, aucune entreprise n’est à l’abri des cyberattaques. Cela fait longtemps que le crime organisé s’est emparé de la transformation numérique. Le piratage est devenu un secteur d’activité lucratif pour la mafia et d’autres associations de malfaiteurs. Ces criminels volent ou chiffrent des données, et s’en servent pour faire chanter les entreprises. Si la victime ne paie pas, elle doit s’attendre à ce que les e-mails confidentiels, données clients, offres, contrats et autres fichiers soient publiés sur Internet. Dans le pire des scénarios, l’entreprise ne peut plus accéder à ses propres systèmes. Les rouages s’arrêtent alors littéralement – et une demande de rançon parvient à la victime.
Si l’incident en arrive là, le Centre national pour la cybersécurité (NCSC) de la Confédération déconseille vivement de payer. Il n’y aurait aucune garantie que les criminels ne vendent pas illégalement les données une fois le paiement effectué, ni de récupérer toutes les données cryptées. En outre, une tentative d’extorsion réussie en encourage d’autres.
Un mauvais jugement fatal
De nombreuses personnes pensent que seules les grandes entreprises sont des cibles juteuses. Un mauvais jugement fatal. En effet, ce sont précisément les PME qui négligent le sujet, alors qu’elles sont numériques d’un bout à l’autre. Ainsi, les entreprises de taille moyenne sont des victimes prisées. La Neue Zürcher Zeitung a publié un article sur un gang de pirates qui s’en est même pris à un monastère. Les places de marché où s’échangent des données volées sont légion sur le darknet. On y retrouve également comment gagner de l’argent sans chantage avec les informations subtilisées à l’entreprise. Le darknet est une partie cachée du web qui n’est pas accessible aux navigateurs courants et qui est largement utilisée pour des activités illégales.
Anticiper
Beaucoup d’entreprises rejettent le risque parce qu’elles n’ont pas encore été attaquées. Ainsi, selon une étude de l’institut d’études de marché et d’opinion GfS, seuls 56% des directrices et directeurs de PME suisses considèrent le thème de la cybercriminalité comme important. Environ un tiers de toutes les PME du pays ont déjà été victimes d’une attaque. Lorsqu’on emprunte les autoroutes numériques, il s’agit de se comporter comme sur la route. En effet, conduire suppose d’être très attentif à la circulation, même si l’on a jamais provoqué ou eu d’accident jusqu’alors.
Une aiguille dans une botte de foin
Mais revenons à notre producteur de denrées alimentaires: le jour J où l’e-mail de chantage est parvenu à l’entreprise n’a été que la conclusion infernale d’un mouvement calculé bien avant ce jour funeste. Le drame s’était mis en branle depuis des mois déjà. «En moyenne, il faut compter 100 jours entre l’intrusion et l’attaque», explique Paul Such. «Une fois dans le système, les pirates observent autour d’eux et compromettent d’autres systèmes.» Pendant ce temps, ils laissent des traces. Les intrus prennent toutefois soin de «voler sous le radar». Ils veillent scrupuleusement à ce que leurs mouvements ne diffèrent pas de ce qui se passe «normalement». Pour Paul Such, «la mission d’Hacknowledge est de trouver l’aiguille dans la botte de foin et d’identifier les anomalies pertinentes parmi la multitude de messages.»
Les machines étant désormais connectées à Internet (Internet des objets), le périmètre des attaques s’élargit pour les entreprises, mais aussi le nombre de bottes de foin numériques. Il est donc d’autant plus important que les entreprises soient conscientes des risques. Le NCSC propose un test en ligne pour évaluer rapidement et simplement l’importance du danger: https://cybero.ch
Les entreprises peuvent déléguer la cybersécurité à des prestataires externes. Des partenaires comme Hacknowledge, filiale de la Poste, peuvent propulser votre entreprise à un niveau élevé de sécurité en très peu de temps. Découvrez sans engagement les possibilités pour une plus grande cybersécurité:
Hacknowledge SA
Rue de Lausanne 35A, 1100 Morges
+41 21 519 05 01
info@hacknowledge.ch
Si un beau matin, vos systèmes ne démarrent pas ou que vos données ont été modifiées, ce n’est que la partie visible de l’iceberg. Une cyberattaque débute des semaines voire des mois avant cette situation. Voici les cinq phases d’une attaque numérique.
Phase 1: identifier la cible
Les cybercriminels débutent leur méfait bien avant que vous ne vous en rendiez compte. Ils recherchent des coordonnées (p. ex. sur les réseaux sociaux) ou des informations sur l’infrastructure informatique.
Ce que vous pouvez faire: demandez-vous quelles données il est vraiment indispensable de rendre publiques sur Internet. Faites-vous également conseiller par des experts en cybersécurité à propos des différentes méthodes d’attaque.
Phase 2: choisir la méthode
Une fois que le malfaiteur vous connaît, il choisit la méthode d’attaque. Un rançongiciel? Avec quel cheval de Troie l’introduire dans l’entreprise et comment? Au moyen d’un lien dans un e-mail ou via un message sur Instagram? Un site web infecté? Une clé USB?
Ce que vous pouvez faire: identifiez les failles de sécurité dans votre entreprise, p. ex. grâce à des tests d’intrusion. Les experts en cybersécurité comme ceux d’Hacknowledge vous aideront à les réaliser. Formez votre personnel au traitement des faux e-mails et bloquez les sites web potentiellement dangereux.
Phase 3: s’introduire
Une fois que l’auteur du délit a terminé ses préparatifs, il lance l’attaque, subrepticement. À cet effet, il introduit dans le système un programme qui permet l’accès depuis l’extérieur, appelé «backdoor». Ce terme anglais qui signifie «porte de derrière» fait partie d’un logiciel et permet de contourner les contrôles d’accès en place.
Ce que vous pouvez faire: c’est ici qu’un Security Operation Center (SOC) externe comme Hacknowledge entre en piste. Les SOC surveillent les opérations dans votre système, filtrent les incidents et déclenchent l’alarme à temps.
Phase 4: espionner
Une fois dans votre système, les criminels exercent rarement un chantage immédiat. Ils s’introduisent d’abord dans les autres systèmes et comptes. Ils fouillent les serveurs de fichiers à votre insu et volent ou sabotent les fichiers de mots de passe et autres données sensibles.
Ce que vous pouvez faire: il s’agit maintenant de découvrir les intentions des pirates et de connaître leurs compétences en la matière. Des pièges sont posés à l’aide de «honeypots» (pots de miel): ces cibles factices permettent d’étudier les méthodes de travail et de détourner les pirates d’autres systèmes plus critiques.
Phase 5: laisser le piège se refermer
Une fois tous les pièges posés, les criminels partent à l’attaque. Vous ne pouvez plus accéder à vos données. Vous recevez un e-mail de rançon et vous réalisez la gravité de la situation. Les coûts de résolution du problème augmentent de manière exponentielle. Il faut non seulement identifier la fuite de données et la stopper, mais aussi réparer les dégâts.
Ce que vous pouvez faire: si l’attaque n’a pas été évitée avant la phase 4, il ne reste qu’à limiter les dégâts. Une fois pris au piège, impossible de s’en dépêtrer. Même le meilleur SOC au monde ne pourra rien y changer.