
Pourquoi se protéger des attaques informatiques ? Tous concernés
Les PME/TPE pourraient avoir le faux sentiment d’être à l’abri des attaques informatiques, pensant qu’elles ont trop petites pour intéresser les cyber-criminels.
Les récentes attaques Wannacry et Petya sont des rappels pressants pour toutes les entreprises, quelle que soit leur taille, de leur responsabilité dans la protection de leur système informatique et leur processus de conservation et de traitement des données, notamment des données personnelles.
Les entreprises doivent démontrer d’une attitude pro- active et responsable dans la protection des données personnelles qu’elles recueillent de personnes physiques sur le territoire de l’Union Européenne et de l’Espace Économique Européen (EEE).
Les nouveaux textes européens (RGPD) font porter une responsabilité importante sur les entreprises qui recueillent et traitent de données personnelles.
En fait, la plupart des mesures de sécurité informatique font appel au bon sens et à la réalisation de la valeur des données pour l’entreprise.
Principe de responsabilité :
Les entreprises doivent être en mesure de démontrer qu’elles ont pris toutes les mesures de sécurité appropriées pour :
« la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) » [1]
Les journaux en quête de gros titres rapporteront plus les faits d’attaques sur les grandes entreprises avec des dommages très importants.
Par exemple, la société américaine TARGET a perdu près d’1 milliard de dollars en 2013 suite au piratage de ses données.
Pourquoi est-il nécessaire de se protéger ?
Une cyberattaque coûte en moyenne 773 000 € et nécessite jusqu’à 9 semaines pour s’en remettre.
127 €: coût d’une seule donnée compromise pour les entreprises françaises.
4,4% en moyenne : taux de clientèle perdue suite à une attaque sur les données informatiques de l’entreprise. (2 derniers chiffres donnés par L’Usine Nouvelle, mars 2014)
Une perte de données définitive, si un archivage électronique efficace n’a pas été mis en place, est fatale pour une entreprise.
Comment faire face à la compétition si vous n’avez plus accès à vos données de recherche, de design industriel, à votre liste clients, vos données comptables… ?
Combien de temps votre entreprise pourrait tenir sans aucun accès à vos données digitales ?
Quelle que soit la taille de votre entreprise, vous prenez le très gros risque devoir mettre la clé sous la porte après une attaque très courante et assez facilement parable comme une demande de rançon par exemple.
Il vous suffit de posséder un ordinateur pour votre activité quotidienne, d’utiliser vos mails pour être une cible potentielle.
Les criminels en tout genre sur internet ne recherchent pas nécessairement les plus grosses entreprises qui sont, on peut l’espérer, plus armées contre la cyber-criminalité.
Ils agissent en ciblant en une seule fois de très nombreuses entreprises même petites.
Par exemple dans le cas fréquent de l’hameçonnage comme les récents Wannacry et Petya (attaque qui peut aboutir au cryptage de toutes vos données), les criminels savent que beaucoup paieront une rançon du fait de leur manque de préparation ou de leur inconscience.
Situation en France
- Les PME françaises sont dans leur quasi-totalité équipées en informatique et 93% disposent d’un accès internet.
- 80% des PME disposent de terminaux mobiles, ordinateurs portables, smartphones ou tablettes, » avec un accès au réseau de l’entreprise dans plus de 2 cas sur 3 » [3]
LES DIRIGEANTS D’ENTREPRISE SONT TOUS CONCERNÉS ET TOUTE ENTREPRISE QUI N’A PAS PRÉVU UN PLAN DE PROTECTION EN CAS D’ATTAQUE INFORMATIQUE RISQUE DE PERDRE SON ACTIVITÉ
Vous pensez être à l’abri ?
Continuez à lire ! Les chiffres parlent
Exemples chiffrés issus de 3 enquêtes
- 80% des entreprises ont déjà subi une ou plusieurs cyber-attaques
- En 2016, le nombre de cyber-attaques a augmenté pour près d’une entreprise sur deux
- Les dirigeants de PME sous-estiment fortement les risques liés à la cyber-sécurité alors que 77 % des cyber-attaques concernent les PME
- 93% des entreprises ayant déjà vécu des cyberattaques ont souffert de ces agressions.
Exemples des préjudices subis :
- Arrêt total du système informatique
- Vol de données (de l’entreprise, de ses clients, de ses fournisseurs)
- Ransomware[5] ou demande de rançon : attaque la plus fréquente (80%) et en augmentation
- C’est un logiciel malveillant qui bloque la machine qu’il a infectée et qui exige le paiement d’une rançon, souvent en monnaie cryptée comme le Bitcoin[6], pour rendre à l’utilisateur le contrôle
- 28,3% des attaques ont un impact financier.
- 25,5% ternissent l’image de l’entreprise.
- 50% des PME/TPE n’étaient pas ou peu préparées.
- Pour plus de 50% des entreprises seulement 5% du budget informatique est consacré à la cybersécurité.
- À peine 1 entreprise sur 2 espère augmenter ces dépenses.
Une chose est sûre, les cyberattaques se répètent et ne vont pas disparaître.
PLUS DE CHIFFRES POUR VOUS CONVAINCRE D’AGIR AUJOURD’HUI ?
En France, en 2015 :
- Le nombre de cyber-attaques a progressé́de 51 % en un an.
- Les entreprises ont subi, en moyenne, 21 incidents par jour [7].
- La France est dans le top 5 des pays les plus attaqués selon Microsoft [8]
Les pratiques constatées dans l’utilisation d’internet par les entreprises
Les PME/TPE françaises ont accumulé un net retard sur la prise de conscience des enjeux de la cybersécurité et de l’utilisation du digital dans leur stratégie commerciale.
- Les sondages montrent que beaucoup d’attaques ne sont pas rapportées par les PME/TPE. Pourquoi ?
- Elles n’ont pas eu de grosses incidences sur l’activité
- Par ignorance des recours possibles et manque d’informations
- Peur de perdre la confiance de leur clientèle.
TOUTES LES ENTREPRISES SONT CONCERNÉES ET TOUTES, QUELLE QUE SOIT LEUR TAILLE, FONT FACE AUX MÊMES RISQUES
TABLEAU NON EXHAUSTIF DES (MAUVAISES) PRATIQUES DES PME
Vous reconnaissez-vous ?
- Utilisation du même mot de passe pour les différents comptes digitaux. Conséquence : les attaquants accèdent à tous les systèmes en une seule fois.
- Utilisation de mots de passe faibles et communs de type AZERTY, PASSWORD, 1234…
- 78% des employés français déclarent partager des mots de passe en les notant sur des bouts de papier.
- Près de 70% avouent pouvoir accéder aux anciens codes inchangés (!) de leur emploi précédent.
- Pour communiquer avec leurs clients ou fournisseurs, les PME françaises utilisent à 87% une messagerie…
- qui dans 70% des cas est celui de leur fournisseur d’accès à Internet ou un générique type Google.
- 26% des PME ne disposeraient pas d’un anti-virus.
- Seules 36% ont un logiciel anti-hameçonnage (antiphising).
- Seules 52% ont un pare-feu (firewall).
- Plus de la moitié des entreprises ne prennent aucune autre disposition pour se protéger des actes de malveillance:
Par exemple l’obligation de définir des codes d’accès aux supports, la souscription d’assurances liées aux risques informatiques, le cryptage de données sur mobile
- Budget consacré à la sécurité informatique : pas plus de 50 € dans plus d’une PME sur deux.
- Pour les systèmes et applications, les sites Web ne sont souvent pas mis à jour de leurs correctifs de sécurité, les dernières attaques en sont encore la preuve.
- Absence de séparation des usages entre utilisateur et administrateur des réseaux.
- Laxisme manifeste dans la gestion des droits d’accès.
- Absence de surveillance des systèmes d’information (analyse des journaux réseaux et de sécurité).
- Cloisonnement insuffisant des systèmes qui permet à une attaque de se propager au sein des réseaux.
- Absence de restrictions d’accès aux périphériques (supports USB, Bring Your Own Device ou BYOD[9] se rapportant aux employés utilisant leurs propres objets connectés…)
- Ouverture excessive d’accès externes incontrôlés au système d’information (nomadisme, télétravail ou télé administration des systèmes).
COMPLÉTEZ VOUS-MÊME VOTRE LISTE !
CONCLUSION
La liste est longue mais la cause principale de cette situation est certainement
UNE SENSIBILISATION ET UNE MATURITÉ INSUFFISANTES DES UTILISATEURS ET DES DIRIGEANTS FACE À LA CYBER-MENACE DONT ILS NE PERÇOIVENT PAS LES RISQUES
- Les cyberattaques sont de plus en plus importantes et spectaculaires, leurs effets sont de plus en plus rapportés dans les informations.
- Les entreprises sont de plus en plus sensibilisées au risque opérationnel qui peut amener à la fermeture de structures mal préparées et surtout au risque de perte de réputation qui est difficilement récupérable auprès de ses clients ou de ses employés.
- Votre PME, TPE, votre start up ou votre activité d’indépendant sont soumises aux nouveaux règlements qui demandent que vous fassiez la preuve que vous avez eu une vision pro-active de la protection des données personnelles dans votre entreprise.
- Vous risquez très gros en ne vous conformant pas aux mesures de sécurité que demande la protection des données personnelles que vous recueillez de personnes en Europe.
Je vous recommande de lire mon article de blog « Suis-je concerné par le RGPD? »
NOTES:
[1] Règlement (UE) 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques àl’égard du traitement des données àcaractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données), RGPD, Art 5 f) http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
[2] VOIR : mon article »Exemples d’attaques informatiques, leurs formes, indices pour les reconnaître »
[3] Enquête IPSOS pour le fournisseur de solutions réseau Navista, 28/01/2015
[4] Enquête Usine Nouvelle-Orange Business du 11au19 déc. 2014 sur 210 dirigeants et cadres de l’industrie http://bit.ly/1DSOh9b
Baromètre de la cyber-sécurité des entreprises Vague 2, Club des Experts de la Sécurité de l’Information et du Numérique (CESIN), Janvier 2017 http://bit.ly/2nAybmK
« Les entreprises françaises face aux cyberattaques », enquête de Denjean & Associés en partenariat avec Gan Assurances, Décembre 2016, http://www.agefi.fr/sites/agefi.fr/files/fichiers/2016/12/enquete_cyber-attaques_denjean_2016.pdf
[5] VOIR mon article « Reconnaître l’ennemi »
[6] Définition du Bitcoin sur Wikipédia https://fr.wikipedia.org/wiki/Bitcoin
[7] Source: Société PWC
[8] Microsoft Security Intelligence Report http://bit.ly/1R28z4y
[9] Définition sur Wikipedia : https://fr.wikipedia.org/wiki/Bring_your_own_device
[ninja_form id=2]