Petite entreprise touchée par une cyberattaque : Quels risques ?
Les petites entreprises doivent prendre la cybersécurité au sérieux pour éviter les conséquences désastreuses d'une cyberattaque.
Contrairement à ce qu’on pourrait penser, les petites et moyennes entreprises sont victimes de la très grande majorité des cyberattaques : plus de 90%.
En acceptant ce postulat, il est important d’aider les dirigeants d’entreprise et les DSi à bien cerner l’environnement de leurs Systèmes d’Information en matière de cybersécurité : s’il est important de connaître les risques encourus par les TPE / PME en cas de cyberattaque ainsi que les premiers gestes à adopter pour les éviter au maximum, cet article vous aide à être plus familier au sujet des 5 types de cyberattaques les plus courants pour les petites entreprises, à savoir :
Le phishing mérite amplement sa première place dans ce classement, étant derrière plus de 74% des actes de cyber-malveillance en 2023. Et d’après le rapport de Vade, cela touche quasiment tous les secteurs, avec des pointes à +292% sur le T3 2023 pour les organisations étatiques (villes / mairies / collectivités) et de 125% environ pour les services financiers (cabinets comptables notamment). Cette prépondérance s’explique par la sensibilité des données hébergées par ces types d’entreprise.
De manière plus globale, mais tout aussi effrayante, voici 3 statistiques surprenante sur le phishing :
Maintenant les présentations faites, entrons dans les détails :
Le phishing présente une caractéristique assez unique parmi les techniques de cyberattaques : bien qu’il soit la plupart du temps utilisé pour insérer un malware sur une machine, il est également capable d’atteindre son but de manière informationnelle en trompant l’utilisateur internet. C’est très souvent le cas lors de la diffusion de domaines internet illégitime (une des exemples connus est la pub Carglass qui précise distinctement d’aller sur Carglasse.FR pour éviter que ses clients aillent sur des publicités sponsorisées de concurrent ou, pire encore, une contrefaçon du site gérée par une autre entité. S’en suit 2 possibilités : une boite externe qui prend des RDV pour le site ciblé et vous fait ainsi payer une commission, ou dans les pires des cas un vrai site pirate qui collecte vos données (login, données personnelles, données bancaires…)).
Ces derniers temps, 2 techniques de phishing prennent de plus en plus d’ampleur et sont particulièrement à surveiller : le spearphishing et le vishing.
Le spearphishing, loin du phishing de masse, consiste pour les pirates à personnaliser au maximum un message pour se faire passer par quelqu’un d’important avec des infos très précises (famille, proches, hiérarchie professionnelle) afin de demander un service financier ou de soutirer des informations capitales.
Le vishing quant à lui est un dérivé téléphonique (ou en visio-conférence) du phishing : il consiste à appeler la victime en se faisant passer par autrui (encore une fois les proches ou la hiérarchie) en espérant soutirer des infos confidentielles lors de ces conversations.
Vous avez été victime d’un phishing ? Voici un article décrivant les premiers réflexes à adopter.
Un ransomware est un logiciel rançonneur qui agit de l’intérieur votre système d’information en bloquant l’accès à vos données. Dans le pire des cas, s’il s’agit d’un cryptolocker (qui est une forme avancée de ransomware), où le malware pourra chiffrer les données pour les rendre inutilisable sans clé de chiffrement.
Ces 2 types de malware ont pour objectif de faire payer une rançon aux victimes en échange d’une promesse de restitution des données.
Les ransomwares agissent comme des « trojan horse » (chevaux de Troie) : ils s’introduisent dans votre système, le plus souvent de manière indirecte (notamment via un e-mail de phishing dont on vient de parler, celui-ci contenant le cheval de Troie en lien ou en pièce jointe).
Une fois sur votre système, le malware s’installe dans la base de registre pour modifier le démarrage via un payload, puis se connecte à un serveur maître pour installer une clef de chiffrement.
Cette clef va ainsi chiffrer les données des disques durs et/ou réseaux de votre système, les rendant inexploitables pour les utilisateurs légitimes. Généralement, les fichiers ainsi corrompus afficheront une extension de type .encoded, .encrypted ou .cryptolocked pour signaler l’attaque. Une fois ces fichiers ouverts, le malware lance un lien internet vers une page internet affichant des instructions de paiement de la rançon (souvent en cryptomonnaie) en échange de leurs données, avec généralement un compte à rebours menaçant à la destruction des données pour obliger les victimes à agir vite et de manière non éclairée.
💡Bon à savoir 💡 De manière générale, ne payez pas la rançon ! Vous n’êtes pas sûr de récupérer vos données par la suite et même si c’est le cas, elle pourrait avoir été stockées ou vendues entre temps. De plus, vous ne feriez qu’inciter les cybercriminels à réitérer sur d’autres entreprises… ou à nouveau sur vous ! Mieux vaut se tourner vers des professionnels pour construire avec eux et au plus vite un plan de PCA / PRA. |
Ces chiffres proviennent d’un rapport effectué par Sophos auprès de 3000 professionnels de la cybersécurité en 2023 :
Historiquement, les TPE / PME n’étaient pas la cible privilégiée des cyber-criminels auteur de ransomwares, de par leur moins grande possibilité à payer des grosses rançons. Mais cette tendance est de moins en moins vraie, les criminels misant désormais autant sur la quantité de rançons que sur leur importance.
Vous avez été victime d’un ransomware ? Voici un article décrivant les premiers réflexes à adopter.
Hors phishing, les failles de sécurité logicielle sont sans surprise le point d’entrée préférentiel des cybers criminels.
Tous les logiciels comportent potentiellement des failles exploitables. L’enjeu pour les développeurs est de maintenir un niveau de sécurité constant pour trouver ces potentielles failles avant qu’un cyber criminel ne puisse le faire, puis de mettre à jour le logiciel en sécurisant cette faille (ou potentiel point de faiblesse).
On parle souvent de « zero-day », ce qui signifie que le développeur « a 0 jour pour réparer la faille à compter du moment de sa découverte ». Autrement dit, l’équipe de hackeurs ayant découvert la faille peut l’exploiter (ou la revendre pour qu’une autre équipe l’exploite) durant le laps de temps jusqu’à sa découverte, ce qui peut aller de quelques minutes à plusieurs mois. On distingue 3 termes différents mais très reliés autour de l’expression « 0-day » :
L’exploitation d’une faille n’est donc pas un type d’attaque à proprement dit, mais plutôt le lieu d’entrée permettant à différents types d’attaque d’accéder au système visé.
On peut noter 5 types majeurs de faille dans les logiciels principalement utilisés par les TPE / PME (bien qu’il en existe en réalité bien plus) :
Elles consistent à uploader des malwares sur un serveur en détournant une requête SQL (langage de programmation pour interagir avec des bases de données) puis en récupérant la réponse provenant de la base de données ciblée.
Une vulnérabilité XSS est une zone de site web où l’utilisateur peut interagir (commentaire, formulaire, barre de recherche) qui permet à l’attaquant d’injecter un script malveillant (très souvent en JavaScript) dans le contenu dynamique d’un site web. Il peut à partir de là accéder aux infos contenues dans les cookies, mais aussi diffuser un malware, modifier le contenu du site, placer un phishing ou perturber le fonctionnement des systèmes en question.
C’est la faille la plus simple à comprendre, dans laquelle le cybercriminel accède au système victime via l’usurpation d’un mot de passe (phishing, brute force, scam, pattern trop simple, etc).
💡Bon à savoir 💡 3 techniques pour protéger vos mots de passe :
|
Les plug-ins et frameworks sont utilisés pour étendre les possibilités des sites et navigateurs web. Ils comportent plusieurs failles et ont surtout la particularité de n’être que très peu mis à jour par les utilisateurs : une faille a donc souvent la possibilité d’être longtemps exploitée.
Par mesure de sécurité, les applications modernes fonctionnent souvent avec une partie front et une partie back communiquant via des API. Lors de l’identification, la partie back transmet un jeton d’identification au front, contenant des infos sur l’utilisateur. Le détournement et le chiffrement de ce jeton permettent de récupérer les infos personnelles, MAIS AUSSI de s’infiltrer dans l’application grâce à ce jeton en se faisant passer par l’utilisateur conforme et ainsi y accéder avec les droits administrateurs.
L’attaque au président est plus une conséquence d’une attaque réussie qu’un type d’attaque à part entière. Les cybers criminels utilisent différentes méthodes (phishing / spearphishing, exploitation de faille…) pour entrer sur un appareil et trouver / aspirer des données confidentielles (informations persos, bancaires (perso et de l’entreprise), des photos du visage, des extraits de voix, les habitudes etc).
Une fois ces infos collectées, ils vont s’en servir pour contacter les victimes en se faisant passer pour leur hiérarchie, et prétexter une bonne raison d’envoyer une somme d’argent sur un compte à l’étranger (d’où les noms d’attaque au président et de FOVI).
Le taux de réussite de ces cyberattaques est aujourd’hui quasi nul car les banquiers sont formés et savent la plupart du temps reconnaitre les hackeurs. Du moins dans leur forme classique, c’est-à-dire des demandes de petites sommes ( moins de 10 000€) qui n’éveillaient pas les soupçons des banquiers.
Mais pour contourner cette formation, les pirates privilégient aujourd’hui des attaques d’envergure, beaucoup plus créatives, pour soutirer de grosses sommes d’un coup. 2 exemples :
Une attaque DDoS (Distributed Denial of Service ou déni de service en français) a pour objectif de rendre un serveur inaccessible en le saturant via l’envoie d’une multitude de requêtes simultanées. Le cyber criminel peut également rentrer sur le serveur via une exploitation de faille et ainsi provoquer un arrêt du serveur (ou un fort dysfonctionnement) depuis l’intérieur.
L’attaque profite ainsi de la limitation de capacité spécifique des ressources d’une infrastructure web (nombre de requêtes sur un serveur / site web), ou réseau (nombre de requêtes sur la bande passante du serveur vers Internet).
Une fois le nombre de requête correspondant à la capacité spécifique maximale est atteinte, le service en question va soit fonctionner à une vitesse excessivement lente, soit carrément cesser de fonctionner
La plupart du temps, pour construire une attaque DDoS, les cybers criminels utilisent des botnets. Ce sont des malwares qui infectent des séries d’appareil en 3 étapes :
Les pirates activent ensuite à distance la série d’appareil infectée pour en prendre le contrôle et effectuer des requêtes visant à saturer le SI visé (déni de service total).
La plupart des attaques DDoS suivent un des deux objectifs suivants :
Les attaques DDoS ont une spécificité unique en cybersécurité : quand une attaque est réussie, les conséquences sont souvent relativement « cachées » afin de pouvoir continuer à l’exploiter le plus longtemps possible.
Au contraire, pour un déni de service, le grand public peut très rapidement se rendre compte de la défaillance du système (lenteurs, voire arrêt total du fonctionnement).
Cette spécificité a plusieurs conséquences :
De ce fait, les entreprises les plus ciblées par les DDoS sont celles qui ont un parcours de vente 100% e-commerce. En effet, si l’attaque réussie, la plateforme de vente ne fonctionnera plus du tout, ce qui obligera les décideurs à prendre une décision rapide et pas toujours rationnelle.
Pour bien pouvoir se protéger des attaques qui touchent principalement les TPE / PME, il est ainsi important de bien comprendre leur fonctionnement et leur processus pour atteindre leur cible.
Mais il faut garder en tête que même en mettant toutes les chances de votre côté pour éviter une cyberattaque, le risque zéro n’existe pas : Il faut anticiper la possibilité que votre petite entreprise soit touchée à l’avenir. Cet article vous y aidera en détaillant de manière plus technique les outils indispensables pour aider à prévenir et fortifier ses SI en vue d’une cyberattaque, mais également à détecter le malware et y remédier si elle venait à être touchée.
Les petites entreprises doivent prendre la cybersécurité au sérieux pour éviter les conséquences désastreuses d'une cyberattaque.
Guide pratique en 17 étapes pour réagir efficacement en cas de cyberattaque et limiter les dommages pour les petites et moyennes entreprises.
14 solutions techniques pour renforcer la cybersécurité de votre TPE/PME face aux cyberattaques et protéger vos données.
Vous recevrez mensuellement un récap de nos infos pour parfaire votre veille informatique et télécom' ➡️