Comment mettre en place une politique de cybersécurité efficace ?
Petites ou grandes sociétés, la question de la cybersécurité s’invite dans chaque organisation avec des problématiques variables d’une structure à l’autre. L’introduction du Règlement Général sur la Protection des Données (RGPD) en mai 2018 ayant à son tour accentué les inquiétudes liées à l’importance de protéger son patrimoine numérique, en règle générale.
De leur côté, les experts sécurité s’attendent à un renforcement des logiciels malveillants et au développement de méthodes d’attaques de plus en plus sophistiquées. De quoi se pencher sérieusement sur la question de la cybersécurité, peu importe la taille de l’entreprise.
Savoir reconnaître les pratiques frauduleuses
La question de la cybersécurité (ou sécurité informatique) tant pour les entreprises que pour les administrations publiques n’a jamais été aussi prégnante, d’autant plus que les pratiques propres aux cyberattaques se diversifient et deviennent de plus en plus dures à contrer.
La maîtrise des nouveaux risques numériques a donc été intégrée comme un enjeu majeur des stratégies de transformation numérique et de compétitivité des entreprises. C’est donc une clé essentielle pour mettre en place une politique de cybersécurité.
Les différentes formes de cyberattaques
On retrouve plusieurs formes de cyberattaques qui tendent à faire disparaître la frontière numérique-physique et dont voici une liste non exhaustive :
- La compromission des emails professionnels est toujours d’actualité, bien que des formations soient dispensées aux employés pour sensibiliser aux dangers des courriels et des liens suspects. On parle dans ce cas-là de « phishing », c’est-à-dire un procédé consistant à compromettre une adresse email professionnelle pour s’en attribuer la propriété afin de réaliser des opérations frauduleuses avec.
- Tous systèmes informatiques comme les serveurs notamment, doivent intégrer des mises à jour régulières pour maintenir leur bon fonctionnement. C’est donc par le biais de mises à jour volontairement corrompues qu’il est possible de mettre à mal un serveur initialement fiable et sécurisé.
- L’émergence de l’intelligence artificielle représente aussi une faille de sécurité potentielle, via le recours aux botnets (réseaux de machine infectées et contrôlées à distance par un pirate). Cette accessibilité aux technologies telles que l’intelligence artificielle permet aux cybercriminels, par le biais de l’IA, d’automatiser la sélection de leurs cibles, d’analyser les vulnérabilités d’un réseau ou d’évaluer la réactivité des environnements infectés. Ainsi, il leur est possible de mieux dissimuler leurs attaques pour dérouler les phases suivantes d’un plan global.
- La création d’alliances cybercriminelles pour combiner différents types d’attaques et trouver des stratégies de contournement des défenses informatiques fait également parti des potentielles menaces, qui risqueront d’être difficiles à enrayer.
Ainsi, des activités illicites comme l’exploitation de failles de vulnérabilité, l’introduction de programmes malveillants, les ransomwares, les fraudes bancaires ou encore le blanchiment d’argent vont évidemment se multiplier.
Il est donc impératif pour toute entreprise d’intégrer à son fonctionnement quotidien des règles en matière de cybersécurité dans la mesure où les outils de sécurité informatique seront parfois faillibles face au comportement et à l’action humaine.
Savoir quelle solution mettre en place en fonction du type d’attaque
Avec l’évolution des types de cyberattaques, les outils nécessaires à la protection des données d’entreprises se sont eux aussi transformés. Ils font partie intégrante d’une politique de cybersécurité robuste et adapté à chaque cas d’entreprise. C’est pourquoi il est nécessaire d’en avoir une pleine connaissance, afin d’anticiper pour demain les solutions adaptées à chaque type de cyberattaques.
Il existent donc des outils de prévention pour bloquer en amont une attaque, des outils pour détecter une anomalie, des outils d’analyse et enfin des outils correctifs seront nécessaire, et de manière conjointe, pour protéger son SI face aux cyber risques.
Aussi, pour des raisons évidentes de coûts, certaines entreprises ne pourront pas internaliser certaines solutions et opteront pour une prestation externalisée de cybersécurité pour se protéger ou souscrirons même parfois à une cyber-assurance.
Cas concret avec les ransomwares : quels sont les systèmes de protection pour y faire face ?
Plusieurs options existent dans le cas d’une cyberattaque au ransomware, mais la question de récupération des données reste elle, toute aussi importante.
L’un des premiers réflexes sera de chercher à isoler son matériel informatique en se déconnectant du réseau le plus rapidement pour éviter toute propagation du ransomware aux autres postes du réseau (connexions filaires et WiFi).
La récupération des données sera le sujet d’inquiétude principal. Il est possible, selon la nature du ransomware, de faire appel à des sociétés de sécurité informatique disposant d’outils adaptés permettant de récupérer les données volées.
Dans le cas où la récupération est impossible, la meilleure alternative restera toujours d’anticiper le risque potentiel d’une attaque en mettant en place et en amont, une sauvegarde de l’intégralité des données. Cette sauvegarde devant être réalisée dans un lieu sécurisé, distant du site primaire où se trouve les données. Nous faisons notamment référence ici à une procédure particulièrement efficace, à savoir celle de la sauvegarde 3 2 1 0.
Ainsi, en répliquant sur un site distant l’ensemble de ses données, mais également les configurations propres aux serveurs hébergeant les données, une entreprise peut alors espérer se protéger efficacement face à un risque de cyberattaque. Si un incident majeur se produit, elle aura une chance de retrouver l’intégralité de ses données, dans un laps de temps relativement court.
Pour aller un peu plus loin, d’autres stratégies permettent de basculer complètement une infrastructure infectée vers une nouvelle totalement saine, permettant en cas d’attaque par ransomware, un redémarrage des activités informatiques. Il s’agit ici de stratégies de plan de reprise d’activité et de plan de continuité d’activer pour les entreprises. Nous vous invitons d’ailleurs à consulter cet article sur les étapes clés de mise en place d’un PRA informatique, pour en découvrir d’avantage.
Comprendre ce qu’est l’ingénierie sociale pour l’intégrer à sa politique de cybersécurité
L’ingénierie sociale s’apparente à des procédures visant à entrer en relation avec un individu de manière discrète, mais suffisamment poussée pour pouvoir utiliser à des fins frauduleuses ses informations personnelles.
Les hackers adoptant ces pratiques mettent ainsi sur pied des techniques « d’hameçonnage » (phishing) qui grâce aux interactions, aux questions posées et à la relation de confiance nouée avec un individu, va permettre de récupérer une quantité suffisante de renseignements clés.
Le cumul d’informations non stratégiques en apparence, mais une fois recoupées entre elles, va devenir un puissant levier de détournement permettant aux hackers d’accéder à différents types de données privées :
- Identifiants de connexion
- Informations bancaires ou de paiement
- Données personnelles (PII)
- Données permettant l’usurpation d’identité
- Accès à des systèmes ou comptes protégés
2 techniques de fraudes propres à l’ingénierie sociale
Les arnaques qui mobilisent des techniques d’ingénierie sociale se divisent généralement en deux grandes catégories. D’un côté les fraudes massives à savoir les attaques utilisant des techniques basiques de vol d’informations tout en ciblant le plus grand nombre de personnes. De l’autre côté, les fraudes ciblées plus sophistiquées visant des individus ou des entreprises spécifiques.
A l’intérieur de ces 2 grandes catégories, il existe quatre phases caractéristiques d’une arnaque à l’ingénierie sociale :
- La collecte d’informations
- L’établissement de la relation avec l’individu ciblé
- L’exploitation de vulnérabilités identifiées
- L’exécution à des fins frauduleuses
En cas de fraude par ingénierie sociale, le premier réflexe concernant une organisation professionnelle, doit être de prévenir les administrateurs réseaux afin qu’ils redoublent de vigilance dans la détection de toute activité suspecte.
Si la fraude concerne des comptes bancaires, il faut contacter au plus vite l’établissement financier pour fermer les comptes, repérer d’éventuels frais inexpliqués et réinitialiser ses mots de passe.
L’un des bons réflexes est aussi de signaler toutes attaques aux autorités. Un portail est à disposition des internautes pour transmettre des signalements de contenus ou de comportements illicites : Internet-signalement.gouv.fr
Pratiquer des audits régulier de son système d’information
L’une des pratiques clés à intégrer à sa politique cyber est de réaliser régulièrement un audit de sécurité complet de son SI.
Cela va permettre, en faisant des points réguliers sur l’état du système, de pérenniser sa fiabilité à long termes. C’est également l’opportunité de revoir et repenser certaines parties de l’infrastructure, d’optimiser des architectures logicielles, des services applicatifs, le niveau de sécurité, les failles potentielles et l’exposition aux menaces extérieures, etc.
L’objectif d’un audit est donc de retranscrire une image et faire un état des lieux du SI. En inventoriant le fonctionnement du système d’information, les applications hébergées et les réseaux de connexion par exemple, il devient plus facile d’identifier les zones du SI à optimiser.
L’audit doit aussi permettre d’identifier les failles du système d’information, les niveaux d’accès au réseau ainsi que la sécurité des données hébergées. En clair, il formalise des axes d’amélioration visant à pallier les faiblesses d’un système d’information, en définissant des seuils de tolérances en termes de contraintes matérielles, de disponibilité, d’inaccessibilité des données mais aussi ressources ou humaines.
Sensibiliser et former son réseaux d’utilisateurs internes en continue
Dans de nombreux cas il est constaté que l’utilisateur final, en raison de mauvaises pratiques, est le point d’origine d’une faille de sécurité informatique. La consultation de pages web douteuses, l’ouverture de fichiers joints ou de liens malveillants portant le germe d’une attaque ou des logiciels corrompus, sont autant d’occasions d’infecter le réseau informatique d’une entreprise.
L’étude « The Global State of Information Security » menée par PwC indiquait déjà en 2017, que près d’une entreprise sur trois estimait que ses collaborateurs étaient involontairement à l’origine de certaines attaques subies l’année précédente.
C’est pourquoi inscrire dans sa politique de cybersécurité des procédures de sensibilisation régulières de ses collaborateurs, d’évaluation des connaissances en matière de sécurité et de formation à la cybersécurité, est essentiel.
Les impératifs de la cybersécurité place dorénavant les entreprises dans des situations d’urgences telles, qu’un utilisateur pris à part peut à lui seul et grâce à de bonnes pratiques enrayer une cyberattaque avant qu’elle ne se déclenche, un peu comme les gestes de premiers secours en matière de survie. On en revient au fait que ce sont les collaborateurs imprudents ou malchanceux qui se trouvent être le plus souvent liés à des cyber-menaces, plutôt que des employés véritablement malveillants.
Il existe ainsi de nombreuses formations et support pour former le personnel à la sécurité et aux risques auxquels s’expose une société informatisée.
- Une charte informatique, pour formaliser et partager les bonnes pratiques
- Des sessions d’e-learning, pour former chaque collaborateur à son rythme
- Des formations de groupe, pour le partage d’expérience et l’émulation
- Des dispositifs ludiques et participatifs comme les tests façon quiz, les tests d’intrusion en social engineering et autres serious games
- La mise en conditions réelles avec des sessions de live-hacking (reproduction factice d’une attaque).
