Vous êtes dirigeant d’une entreprise de taille petite ou moyenne et vous sous-traitez la gestion de votre système d’information ainsi que votre cybersécurité ? Vous occupez un poste à responsabilité dans une TPE ou PME ? Vous vous dîtes : je suis petit, ma trésorerie est limitée, je n’ai que des données clients sans importance, qui cela intéresserait-il ? Vous pensez passer sous les radars des hackers, ces individus malfaisants qui ne ciblent que les grosses entreprises ; quand ce ne sont pas des États qui règlent leurs comptes entre eux !
Et bien, détrompez-vous : la CPME (Confédération des Petites et Moyennes Entreprises) estimait qu’en 2019, 40 % des entreprises de moins de 50 salariés avaient été victimes d’une cyberattaque. Le MEDEF, lui, précisait que 20 % des TPE touchées par une cyberattaque avaient subi un préjudice supérieur à 50 000 euros, et 13 % un préjudice dépassant 100 000 euros. Les dommages ne sont pas toujours chiffrables : perte de confiance des clients, perte de données irrécupérables, immobilisation…
Les TPE et PME : un beau vivier
Les TPE/PME représentent 99,9 % des entreprises. Et contrairement aux grands groupes, elles ont beaucoup moins de moyens financiers pour mettre en œuvre des politiques de cybersécurité. Elles sont souvent moins cyber sensibilisées, moins formées, plus à risque.
La preuve, voici quelques questions portant sur votre système d’information :
- Vous inscrivez-vous sur des sites non-professionnels (Netflix, Amazone, forums divers, …) avec une adresse électronique professionnelle ?
- Utilisez-vous votre ordinateur personnel pour travailler ?
- Faites-vous des mises à jour régulières de vos applications et de vos systèmes d’exploitation ? Changez-vous régulièrement vos mots de passe ?
- Si votre entreprise possède des données confidentielles, savez-vous qui y a accès et à quel cyber-risque ?
- Avez-vous des sauvegardes de vos données ? Si ces quelques questions ne vous disent rien, il est peut-être temps de vous inquiéter. Par ce que le hacker, lui, les aura en tête ! En étant moins sensibilisés et moins formés, vous multipliez les points d’entrés. Votre entreprise devient une cible facile.
Des hackeurs opportunistes, des cyberattaques de plus en plus fréquentes
Nous disions donc, le hacker, « cet individu malfaisant en sweat à capuche et masque Anonymous ». Le hacker est un être patient, acharné, doté de moyens techniques impressionnant, capables de prouesses en code ; il passe des heures à préparer ses coups, à la Ocean’s Eleven (ou à l’Arsène Lupin pour ceux qui préfèrent) ; toute cette préparation, ce n’est certainement pas pour récupérer le fichier client de l’agence immobilière du coin ou les 4000 euros que compte la trésorerie de ma boutique, vous dites-vous.
Mais malheureusement pour les TPE et PME, cette image est très romancée. De la même manière que Jacques Cassandri (le casse du siècle de Nice) ou Bonnie & Clyde coexistaient avec des milliers de petits voleurs minables et de pickpockets de métropolitains, les hackers de grande envergure (étatiques, hacktivistes ou génies du crime) côtoient des petites mains, des magouilleurs, des bandits du dimanche.
La plupart des piratages sont même de cette eau-là. Il s’agit bien souvent de mail de phishing, envoyé à des dizaines de milliers d’adresses mails de manière automatique, en espérant que le plus grand nombre d’usagers clique sur le lien ; ou de ransomwares (rançongiciel) qui se propagent sur internet, avec peu d’action requise de la part des pirates. Voyez par exemple le fameux ransomware « WannaCry », qui a touché plus de 300 000 ordinateurs, parfois de petites entreprises, chiffrant leurs données et les rendant inaccessibles. Qu’importe la cible originelle : les piratages de ce type « ratissent large », les malwares se répandent de machines en machines pour en contaminer le plus possible et à terme, multiplier les usagers infectés et donc les rançons obtenues.
Une nouvelle ère : l’industrialisation des cyberattaques
Le piratage est entré dans une nouvelle ère, d’automatisation et d’industrialisation des attaques. Des listes d’emails ou d’informations bancaires sont facilement trouvables sur le dark web, des scrappers sont disponibles pour collecter des données en masse, des scanners peuvent balayer des milliers de ports à la minute, des outils sont proposés « clefs en main » par des hackers chevronnés qui préfèrent vendre leurs créations que risquer la prison (dans le jargon, ceux qui utilisent ces outils sont souvent appelés des scripts kiddies, des « gamins » qui n’ont aucune compétence technique particulière et qui se reposent donc sur des scripts tout fait pour mener leurs piratages).
Le pirate lance ses outils puis il regarde ce qu’il a remonté au sein du SI : des ports ouverts sur des machines non mises à jour, des employés qui ont cliqués sur des liens frauduleux. Qu’importe la taille de l’entreprise, la quantité prime sur la qualité.
Imaginez un voleur qui peut tester une porte par seconde. Elles défilent toutes devant ses yeux, il n’a qu’à tendre la main pour voir si la clenche s’abaisse, si le verrou est fermé ou non. Si la porte est ouverte, il rentre, il prend ce qu’il trouve à portée de main, il ressort, et il recommence. Cela vous donne une idée approximative de la facilité avec laquelle un hacker peut effleurer votre système d’information.
Vous n’êtes pas « perdus dans la masse », car le hacker sait comment exploiter cette masse. Il la scanne, il la teste, il la parcourt de ses outils pour identifier vos risques. Si vous avez des vulnérabilités, alors il saura pénétrer dans votre système informatique. Vous n’êtes pas invisible non plus. Si vous possédez un système informatique, alors vous existez dans le cyberespace. Il est possible de vous trouver, et facilement pour ceux qui possèdent les outils adéquats. La magie de l’internet fait que, la plupart du temps et moyennant quelques microsecondes de différence, vous vous trouvez à égale distance de n’importe qui.
Heureusement, cette manière de faire possède une grosse faille. Qui dit industrialisation et automatisation dit absence de personnalisation, donc diminution du risque. Face à ces techniques grossières et stakhanovistes, il suffit parfois de moyens de protection simples et peu couteux pour échapper à la majorité des attaques. Point n’est besoin d’un système de vidéo- surveillance et d’alarme de pointe pour éviter les attaques ; parfois, un simple verrou suffit pour décourager le pirate, qui ira voir ailleurs sans perdre plus de temps.
Vous voilà prévenu(e), protégez votre entreprise contre les cyberattaques !
Si vous vous sentez perdu sur ces thématiques et souhaitez un accompagnement, Coralium vous aide à définir et appliquer votre stratégie de cybersécurité !
Article rédigé par : Louise de Mauroy, CEO de Coralium
Si vous voulez en savoir davantage sur nos offres, en lien avec le sujet de l’article, nous vous proposons de découvrir : Audit Flash