6 idées reçues sur la cyber sécurité en entreprise
Combattre les idées reçues sur la cyber sécurité en entreprise n'est pas une mince affaire. Revenons sur les principales questions et comment prémunir sa société face à ces risques croissants.
1 - Tous les emails que j'envoie sont sécurisésLa messagerie électronique reste un des vecteurs les plus vulnérables aux cyber attaques. Les
hackers redoublent d'ingéniosité utilisant l'usurpation d'identité, la réponse déviée ou encore le mail
d'un collaborateur pour mener à bien leurs opérations. D’après une étude de SANS, 46 % des
attaques seraient exécutées par un employé ayant cliqué sur un lien contenu dans un email. A l'instar
d'une carte postale, le courriel, impliquant très souvent des données confidentielles, peut être lu par
tout le monde s'il n'est pas chiffré. Même si de nombreuses solutions de sécurité existent, beaucoup
d'entreprises ne procèdent pas à un chiffrement de bout en bout de leurs messageries.
C'est faux et c'est le RGPD - Règlement Général sur la Protection des Données - qui le dit. Texte de loi
développé pour servir le droit fondamental de chaque citoyen à la protection de sa vie privée et de
ses données personnelles, il sera mis en application le 25 mai 2018 et cible l'ensemble des sociétés,
européennes ou mondiales, publiques comme privées, qui traitent des données à caractère
personnel de personnes résidant en UE. Utilisée à des fins de revente, d'usurpation d'identité ou
d’espionnage, la donnée personnelle est devenue le nouveau Graal des cybercriminels. Pour
exemple, l'incident de sécurité en 2017 d'Equifax, une société de crédit américaine qui a mis en péril
la confidentialité de 143 millions de personnes aux Etats-Unis.
Identifier les risques et implémenter les meilleures solutions technologiques ne doit pas faire oublier
le rôle que peuvent avoir les collaborateurs en matière de protection de leur entreprise. Les
professionnels de l’informatique le savent : l’humain reste le maillon faible en termes de sécurité.
Selon un récent rapport Kaspersky : 46 % des incidents de sécurité seraient causés par des employés
de l'entreprise et dans 40 % des organisations, ces derniers dissimuleraient même les incidents de
sécurité à leur service informatique ! Certes, les programmes de sensibilisation aident les
collaborateurs à améliorer leur connaissance autour des menaces environnantes pouvant les
impacter directement mais pour être optimale, cette sensibilisation doit également se jouer au
niveau des directions générales.
Encore une fois l'humain peut devenir le vecteur d'infection. Capitalisant sur les faiblesses humaines,
le phishing ou tentative d'hameçonnage est une technique d'ingénierie sociale et l'une des armes de
prédilection des cybercriminels pour atteindre leurs objectifs. D'après un rapport de Webroot,
1 385 000 sites uniques de phishing sont même créés chaque mois, la grande majorité des noms de
domaines utilisant l'identité de sites de confiance pour tromper les utilisateurs. Le spear phishing est
une méthode d'attaque utilisant un courriel d'apparence légitime pour inciter le destinataire à
transmettre des informations confidentielles ou lui demander de cliquer sur un lien qui téléchargera
un logiciel espion ou un programme malveillant. Pour que l'attaque réussisse, la source doit se
présenter comme une personne connue ou de confiance, les informations contenues dans le
message doivent être cohérentes et ne pas présenter d'anomalies typographiques ou syntaxiques et
la demande de l'expéditeur doit s'inscrire dans une logique.
A la question les Macs et les iPhones sont-ils mieux protégés que les plates-formes Windows, on
peut inévitablement répondre NON. A l'instar de l'ensemble des systèmes d'exploitation, Mac Os et
Android possèdent des failles largement exploitées par les cybercriminels et tous les experts de la
sécurité s'accordent à dire que ce phénomène va aller en s'accentuant. DOK par exemple, fut l'un
des premiers malwares sur Mac à utiliser une campagne de phishing à grande échelle et des
smartphones Android chinois ont même hébergé à leur insu un programme malveillant, passé sous
les radars des antivirus.
Les ordinateurs étant généralement connectés à un réseau, une application hébergeant un malware
peut être ainsi le point de départ pour toucher l'ensemble de l'entreprise et se diffuser ensuite à
travers le monde. L'exemple le plus marquant est le ransomware wannacry. Utilisant une faille du
système Windows pour infecter l'ensemble du parc informatique de l'entreprise ciblée, il chiffrait les
données pour les rendre inaccessibles réclamant à l'entreprise une rançon en échange de leur
déchiffrement. Des grands groupes mondiaux comme Telefonica en Espagne, ou encore Renault, ont été touchés par ce ransomware dont la diffusion a été extrêmement rapide, scannant les réseaux internes et Internet pour se propager.