Cybersécurité : si Twitter a pu être piraté, vous êtes peut-être le prochain

Devant la multiplication des cyberattaques ces derniers mois, les organisations, quels que soient leur taille et leur niveau de vigilance, doivent s'interroger sur les questions de sécurité interne.

La  récente attaque de Twitter a visé les comptes de célébrités, de dirigeants et d'organisations ; et relancé le débat sur la vulnérabilité des entreprises. Le 30 juillet, Twitter annonçait que des cyber-attaquants étaient parvenus à obtenir des identifiants permettant d'accéder aux données internes et aux comptes les plus populaires. Si le réseau social a vite endigué la brèche, tout ne semble pas avoir été dit. Si Twitter a pu être piraté, pourquoi pas moi, est-on en droit de se demander.

Tous des cibles potentielles ?

Il n’est de forteresse imprenable. Devant la multiplication des cyberattaques ces derniers mois, les organisations, quels que soient leur taille et leur niveau de vigilance, doivent s’interroger sur les questions de sécurité interne : protocole d'authentification, sécurisation du parc informatique, mobilité des salariés, niveau de sensibilisation des employés aux risques (ransomware, phishing, whale phishing), etc. Certains observateurs se sont même demandés si nous n’étions pas confrontés à deux crises mondiales, l’une sanitaire, l’autre informatique.

Admettons aussi que la volonté d’imposer l’everywhere enterprise, la montée du Bring Your Own Device (BYOD), l’absence de politique de sécurité dans certaines compagnies, l’adoption massive du cloud, etc., créent un terrain propice aux fraudes informatiques. Ajoutons à ces phénomènes, l’irruption brutale du télétravail. Si elle a permis des avancées sociales en France, elle a aussi profité aux pirates informatiques. La soudaineté du télétravail n’a laissé que peu de temps aux services informatiques, pour s’assurer de la mise à jour des logiciels, effectuer les sauvegardes nécessaires, élaborer des protocoles de sécurité adaptés...  A ce stade, nous analysons que, le débat de la sécurité n’est pas que technologique, il est aussi organisationnel : l’employé livré à lui-même, malgré les meilleures technologies, sans politique de sécurité, aura accès aux applications de l’entreprise, sans le niveau de vigilance nécessaire. 

Si l’entreprise ne doit rien négliger en matière de sécurité, elle doit aussi s’intéresser à la première brèche : l’employé. Ce dernier doit acquérir une culture de cybersécurité. Les organisations doivent offrir une formation en continue à leurs collaborateurs, afin de les aider à prendre conscience, à identifier les menaces et comprendre la valeur de la donnée. Ceci dit, malgré la plus grande vigilance, nous pouvons tous êtres victimes d’une cyber-attaque. Citons l’exemple du réseau professionnel LinkedIn : de fausses offres emploi ont été adressées à des personnes par le biais du service de messagerie. Les messages contenaient des pièces jointes malveillantes destinées à obtenir des données précieuses d'entreprises aérospatiales et militaires. Si Twitter, LinkedIn… ont pu être piraté, pourquoi pas moi, est-on en droit de se demander.

Comment les entreprises peuvent-elles se protéger ?

L’Agence de sécurité des systèmes d’information (Anssi) en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du ministère de la Justice  a publié, début septembre, son guide Attaques par rançongiciels, tous concernés, pour réduire le risque de cybersécurité, devant la recrudescence des attaques visant des entreprises françaises (M6, CHU de Rouen, Doctolib, etc.). Plusieurs conseils sont donnés sur les bons comportements à adopter en cas d’attaque : conserver les données chiffrées, ne pas payer de rançon, et restaurer les systèmes depuis des sources saines, entre autres recommandations. 

Il est impératif que la sécurité mobile soit une priorité pour les entreprises. Elles doivent protéger les appareils personnels des employés, mais sans nuire à leur productivité. Dit autrement, les organisations doivent fournir une protection transparente qui assure la sécurité des employés où qu'ils soient, sur tous les appareils, afin d’accéder aux ressources de l'entreprise, sans contraintes. Mais la meilleure des protections n’aura que peu d’effet, sans une éducation du salarié : les organisations doivent mettre régulièrement en place des formations obligatoires de sensibilisation à la sécurité, pour non seulement aider à rester vigilants face aux menaces, mais aussi comprendre comment elles peuvent être évitées. Mais demander aux employés de se plier à de nombreux protocoles de sécurité pourra frustrer certains et engendrer des comportements à risque, comme choisir d'utiliser des applications personnelles non sécurisées. Il s’agira donc de trouver le bon équilibre entre prévention, productivité et liberté.

Les cyber-attaquants connaissent les points faibles des entreprises. Ils savent que le défi est à la fois technologique et organisationnel.  Mais, maintenant que les entreprises savent qu’il suffit d’un clic sur un lien malveillant pour qu’un pirate informatique accède aux données personnelles et professionnelles, elles doivent engager les budgets, les formations et les technologies appropriées.