Quelques chiffres pour mieux comprendre l’enjeu
Le site cybermalveillance.gouv.fr nous dévoile que, chez les professionnels, les principales cyberattaques concernent l’hameçonnage (23%), qui consiste à tromper la vigilance de l’internaute en l’incitant à communiquer des données privées, et le piratage de compte (16%).
Chaque entreprise pense être protégée, par ses antivirus ou ses bonnes pratiques, alors que dans 99% des cas il est possible de sortir des informations sensibles. Il y a un manque d’anticipation, ce qui n’est pas surprenant lorsque l’on prend du recul sur l’enjeu : En 2019, la cybercriminalité était estimée à plus de 600 milliards de dollars, un chiffre en explosion en 2020 avec le confinement et le télétravail.
L’art du métier de pirate
Les cibles
Du point de vue du hacker, ce qui est pratique pour organiser une cyberattaque, c’est que le choix des cibles est très vaste. Tous les types d’entreprises et la grande majorité des secteurs d’activité sont concernés. Ainsi, si l’entreprise est touchée alors ses clients le seront aussi. La pression pour les entreprises piratées est donc immense et les hackers savent en profiter.
Cela encourage un bon nombre de personnes malveillantes, particuliers ou entreprises, à rémunérer les compétences des pirates du web. Autrement dit, alors que les entreprises sont plus exposées (cloud, télétravail…), les hackers sont plus efficaces, plus organisés et plus demandés.
Les procédés
Les hackers utilisent deux principales stratégies :
- les attaques plutôt vastes, appelés bruit de fond, qui sont présentes en permanence sur internet. L’objectif de cette pratique est la recherche automatique des services disponibles, adresse IP par adresse IP.
- Les attaques ciblées en fonction du gain potentiel (revente des informations, des biens, demande de rançon, atteinte à l’image et espionnage des concurrents). Ce genre d’attaque a pour objectif la prise de contrôle à distance de votre système informatique. Quand cela arrive, la portée financière dépasse de très loin des postes informatiques à remplacer ou des systèmes à repenser intégralement.
Les failles courantes de nos systèmes
Avant de parler de failles récurrentes, regardons rapidement celles qui vous concernent personnellement : tapez « Have I been pwned » dans votre barre de recherche et vérifiez rapidement si vos adresses email et leurs données ont été piratées.
Dénis de service et spam
Un déni de service revient à saturer un système en utilisant une faille de sécurité. Par exemple, si on vous appelle 500 fois en même temps, votre système de communication ne rend plus de service. Si en plus l’attaque est automatisée, cela peut détruire une société. Ce type d’attaque peut être contré par un pare-feu. Dans cet exemple, ils vont permettre de refuser les appels des numéros gênants.
Les spams quant à eux sont des mails, envoyé par un faux compte sous le nom de votre banque par exemple, pour vous demander des informations privées. Cela leur permet de prendre la main sur votre disque dur, le chiffrer et demander de l’argent pour le réparer. En passant la souris sur un mail qui vous demande des informations personnelles, vous verrez facilement si l’adresse email est digne de confiance.
Les mots de passe
Pour le fraudeur, l’intérêt de récupérer votre mot de passe est, comme pour le reste, de le revendre. Au niveau professionnel, on vous attaque pour voler une information ou même un brevet sur votre serveur en passant par le réseau de l’entreprise. Les logiciels de force brute peuvent proposer plusieurs milliards de mot de passe par seconde. Ils composent des combinaisons classiques, avec des prénoms, des suites logiques ou encore des numéros. De cette manière, sans un bon firewall, un concurrent peut voler votre idée et la produire avant vous : c’est de l’espionnage industriel.
Des solutions innovantes pour y faire face
Pour les startups et les PME
Selon Francenum.gouv, seulement 17 % des PME sont assurées contre les attaques informatiques alors que ce sont les plus touchées. Une PME peut voir son activité totalement paralysée par un virus pouvant entrainer des pertes financières jusqu’à plusieurs centaines de milliers d’euros. Aujourd’hui certaines startups ont développé des solutions innovantes et peu coûteuses pour lutter face à cette problématique.
BKube par exemple, nouvelle startup niçoise, ont une promesse innovante : « nos datas ne peuvent être attaquées si elles sont invisibles ». La startup propose ainsi un boîtier de stockage sécurisé fabriqué en France, via un abonnement, pour protéger ses données des cyber-attaques. L’innovation réside dans l’utilisation de l’invisibilité de la box sur le réseau ce qui empêche les virus de la détecter.
Pour les grandes entreprises
Qui de mieux pour lutter contre les hackers…que les hackers eux-mêmes ? Sensibiliser ne suffit pas, c’est pourquoi certaines sociétés, comme Provadys, reprennent les techniques des pirates pour mesurer la valeur de votre protection. Vos données sont attaquées, pour idenitifier ce qui est accessible, et ainsi pouvoir mieux les protéger. Bien souvent, ceux qui réalisent ces pseudo-attaques sont eux-mêmes des hackers expérimentés. Au-delà du financier, ils font avant tout cela pour le défi et se mesurer au hacker de l’ombre.
Pour toutes les entreprises
Un Bug Bounty est une récompense proposée au hacker éthique qui trouvera une faille dans le système informatique de l’entreprise. L’intérêt est d’avoir un regard extérieur sur le travail des informaticiens internes et de renforcer sa sécurité. En général, les entreprises proposent une échelle de récompenses en fonction de la faille repérée et des solutions proposées. Des sites internet regroupent une communauté de « friendly hacker », sélectionnés en fonction de leurs compétences, et se consacrent aux demandes de Bug Bounty. C’est une bonne manière de mesurer sa vulnérabilité et de la corriger si besoin.
Avec la multiplication des plateformes et des objets connectés dans notre quotidien, les attaques vont continuer à se développer. Mais heureusement, la cyberdéfense et sa législation aussi. Le mieux est encore d’intégrer la cybersécurité dans sa réflexion amont, dès la construction de sa stratégie digitale ou de son système d’information. On appelle ça le Security by Design.
