Les attaques numériques envers les entreprises sont permanentes et prennent diverses formes, du blocage du système informatique (sous peine de rançon) aux arnaques via un mail frauduleux. L’impact est lourd pour celles qui en ont été victimes et qui parfois ne parviennent pas à s’en relever. Or, si le risque zéro est impossible dans ce domaine, il existe de nombreux moyens à mettre en œuvre pour rendre plus difficile la tâche des attaquants et limiter au maximum l’effet de leur malveillance.
« Entre Noël et le jour de l’An, une période où les équipes ne sont pas toutes présentes, nous avons subi une fraude au faux e-mail et au faux RIB », raconte Stéphanie Baragnon, directrice administrative et financière de Sport 2000 – 3e acteur du secteur des magasins d’articles sportifs en France avec un réseau de 628 points de vente indépendants, dont le siège est en Essonne. Le fraudeur s’était immiscé dans des échanges d’e-mails avec un fournisseur, avant de se faire passer pour lui et de réclamer un virement immédiat de 250 000 €… qui lui a été consenti sous la pression de l’urgence invoquée. Le montant de la fraude a heureusement pu être intégralement récupéré grâce à la grande réactivité de Sport 2000 et de sa banque. « Lorsqu’une telle situation vous touche, elle suscite un sentiment de panique et de désorganisation. Cela bloque l’activité de l’entreprise et incite à s’interroger sur les causes et à rechercher des coupables, alors qu’il est essentiel d’agir très vite, dans les vingt-quatre heures, comme dans le cas d’un enlèvement d’enfant », souligne la Daf.
Mais pour réagir rapidement face à une cyberattaque, il faut être bien préparé, comme c’est le cas pour la prévention des incendies, qui fait l’objet d’exercices réguliers. Or le risque pour une entreprise de subir une attaque numérique est aussi élevé, sinon plus. Tous les spécialistes en cybersécurité s’accordent à le dire : aucune organisation, aussi bien sécurisée soit-elle, ne peut y échapper. La question n’est pas de savoir si cela arrivera un jour mais quand cela arrivera ! « On est attaqués en permanence. Ce qu’il faut se demander, c’est comment retarder l’attaque le plus possible et comment y faire face », prévenait ainsi Guillaume Crepin, délégué régional Île-de-France de l’Anssi (Agence nationale de la sécurité des systèmes d’information) lors d’un comité départemental de sécurité numérique élargi, organisé récemment à la CCI Essonne.
HAMEÇONNAGE ET RANÇONGICIELS
Les principales motivations des attaques numériques sont le vol d’argent et l’espionnage. En tête des moyens les plus fréquents pour y parvenir : les « rançongiciels » (ou « ransomware ») et l’hameçonnage (ou « phishing »). Le rançongiciel consiste à introduire un logiciel malveillant dans un système informatique, notamment en incitant un utilisateur à cliquer sur un lien ou à télécharger un fichier, ce qui lui permet de prendre le contrôle du système et le bloquer en le cryptant. L’hameçonnage consiste quant à lui à usurper, dans un e-mail, l’identité d’un organisme officiel (banque, impôts, etc.) pour récupérer des données confidentielles (mot de passe, numéro de carte bancaires, etc.) ou encore, comme dans l’exemple cité plus haut, à faire virer une somme d’argent sur le RIB d’un fraudeur. À noter que les thématiques d’hameçonnage évoluent au fil du temps : réclamation des impôts, site internet soi-disant piraté, nouvel accès à Mon Espace Santé, etc.
On assiste par ailleurs à une recrudescence des tentatives d’hameçonnage par SMS (« smiching ») incitant à réaliser rapidement, sous peine de sanction ou de frais, une action de connexion/confirmation/mise à jour/paiement avec pour motif une livraison de colis ou une contravention suite à une infraction routière.
SE DÉFENDRE PAR LA PRÉVENTION
Les cibles favorites des attaquants sont les TPE, les PME, les ETI, mais aussi les centres hospitaliers et les collectivités territoriales. Or, précise Max Agueh, responsable du pôle Sécurité, réseaux, systèmes embarqués à l’Efrei (École française de radioélectricité, d’électronique et d’informatique) : « La moitié des entreprises victimes ne s’en relèvent pas car leur disque dur bloqué contenait des informations majeures. » Se défendre contre les cyberattaques, c’est d’abord évaluer le risque encouru par l’entreprise en fonction de ses caractéristiques, afin de mettre en place les parades adaptées, au besoin avec l’aide de prestataires spécialisés. Tout doit être passé au crible : l’équipement informatique et ses utilisateurs, le mode de sauvegarde des données et leur fréquence, les procédures de mise à jour des logiciels, les pare-feux, les règles en matière de messagerie, etc. Pour accompagner cette démarche, l’Anssi a édité le « Guide cybersécurité à destination des dirigeants de TPE, PME et ETI – Bonnes pratiques et réflexes à adopter », à télécharger sur son site (lire « Ressources en ligne »). Y figurent aussi de nombreux conseils destinés à faire barrage aux cyberattaques.
FACILITER SA RÉACTIVITÉ
Lorsque se produit une cyberattaque, il est important de réagir très vite. Pour cela, que l’on soit un indépendant, une TPE ou une PME, il est indispensable de se préparer. « La préparation doit être ciblée sur trois volets : la sensibilisation et la formation des équipes (volet humain), la mise en place de procédures (volet contrôle interne/process) et la sécurisation des systèmes d’informations (volet informatique) », détaille Stéphanie Baragnon, Daf de Sport 2000. Pour ne pas perdre un temps précieux en cédant à la panique le jour J, il est indispensable d’élaborer un plan d’actions avec une liste précise des personnes et des services à contacter en urgence avec leurs numéros (banque, police ou gendarmerie, assureur, prestataire informatique, clients et fournisseurs, etc.) ainsi que les tâches prioritaires à exécuter. L’idéal est de désigner un référent en sécurité informatique, chargé de gérer la situation directement avec la direction de l’entreprise. La reprise rapide de l’activité sera facilitée si les données les plus sensibles de l’entreprise sont conservées sur un ou plusieurs PC, rangés avec des clés 4G dans une armoire. Autre précaution précieuse : la souscription d’une assurance axée sur les cyber-risques, à la fois pour compenser les pertes et obtenir une assistance technique.
SENSIBILISER À LA CYBERMALVEILLANCE
La sensibilisation des équipes aux bonnes pratiques de sécurité et aux principales menaces susceptibles d’affecter l’entreprise est essentielle pour parer les attaques. Il est recommandé d’élaborer une charte d’utilisation des services informatiques et internet, remise à chaque nouveau salarié, et de communiquer régulièrement sur ce thème auprès de l’ensemble du personnel. Les dirigeants de TPE et les indépendants ont la possibilité de suivre l’actualité des cybermenaces et de recevoir des conseils utiles en s’inscrivant à la newsletter du dispositif cybermalveillance.gouv.fr (lire). Cette publication est accessible même sans compétence informatique. Les services informatiques des PME et ETI peuvent aussi retrouver des informations plus spécialisées sur le site cert.ssi.gouv.fr du Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR).
Auteur: Catherine Lengellé
Zoom sur
EN CHIFFRES
40% des cyberattaques par « rançongiciels » ciblent les TPE, les PME et les ETI, devant les collectivités territoriales (23 %). Source : rapport d’activité de l’Anssi 2022