La cybersécurité des petites et moyennes entreprises est régie par 4 affirmations :
Vous l’aurez compris, la menace d’une cyber attaque est à prendre très au sérieux, surtout pour les TPE / PME qui ne sont pas toujours staffées et équipées pour y faire face, tant pour les prévenir que pour y remédier (comme ce fut le cas par exemple lors de la compromission des solutions AnyDesk en février 2024). Nous allons voir dans cet article les risques pris si le sujet « cybersécurité » est mis de côté par les organisations en attendant de pouvoir s’en occuper plus sérieusement.
L’ANSSI est une entité étatique chargée de « construire et organiser la protection de la Nation face aux cyberattaques », que ce soit en prévention ou en accompagnement en cas d’attaque. Nous en reparlerons souvent dans nos articles car cette entité à un rôle de « phare » : elle aide grandement les entreprises (au sens large, y compris les professionnels de la cybersécurité) à naviguer selon chaque cas (même si les professionnels de la cybersécurité ont bien évidemment une capacité de réaction certaine, même en cas d’absence de recommandations de l’ANSSI).
Il nous paraît cependant pertinent de la citer au moment de vous définir une cyberattaque, que vous pourrez ainsi comprendre tel que :
|
« Un ensemble coordonné d’actions menées dans le cyberespace qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité. Une cyberattaque peut être ponctuelle ou s’inscrire dans la durée. » |
Pour aller plus loin, une cyberattaque est aujourd’hui considérée comme un acte de cyberterrorisme. Elle a très souvent pour objectif de pirater ou d’investir un Système d’Information pour extraire (voler) des données et/ou désorganiser une structure.
On peut classer les cyberattaques en 2 catégories :
Ces 2 catégories peuvent à leur tour être encore scindées en 2 autres catégories. En effet, la plupart des cyberattaques ont une caractéristique commune : l’action humaine intervient à un moment donné dans le processus. Mais certaines, comme les attaques par brute force, exploitent un déficit humain (mauvaise gestion des logins par exemple) sans utiliser une erreur spécifique au moment T.
Vous retrouverez le détail plus complet de ces cyberattaques dans notre article « Les 5 types de cyberattaques qui touchent le plus les TPE / PME en 2024 »
Le phishing (hameçonnage) consiste à leurrer le visiteur en se faisant passer pour une entité de confiance (une personne physique… ou un site officiel factice reproduisant exactement l’officiel). Il a pour but de recueillir les données personnelles ou bancaires. Il utilise des canaux comme le SMS, l’appel téléphonique, les faux sites web, mais aussi… les mails, qui sont responsables de plus de 71% de ce type d’attaques. Autre stat effrayante : plus de 3% des e-mails mondiaux seraient des mails de phising !
Ce type de cyberattaque se caractérise souvent par une attaque au président ou un faux ordre de virement (FOVi).
Elles consistent pour l’hackeur à se faire passer pour la hiérarchie d’une organisation pour réclamer un virement et / ou des données à un employé, ou bien à un tiers travaillant avec cette organisation (la banque par exemple).
Une attaque en déni de service, ou DDoS, a pour objectif de saturer un serveur ou un service en effectuant de multiples requêtes, jusqu’à le rendre très difficilement voire plus du tout accessible.
Cette attaque a la particularité d’être visible publiquement, voire médiatiquement, et donc de forcer les responsables à agir dans l’extrême urgence. Elle est particulièrement redoutée des sites marchands, et laisse penser que l’hackeur aurait accès à des données très confidentielles (coordonnées bancaires ou données personnelles), sans que ce ne soit forcément le cas.
Une attaque MitM (Man-in-the-Middle) consiste pour le cybercriminel à intercepter des informations entre 2 parties, sans qu’aucune des deux ne sache que ses messages passent par ce fameux « homme au milieu ».
Plus que du « simple » vol d’information, le MitM est souvent en capacité de modifier les messages envoyés entre les 2 parties sans se faire repérer (par exemple : capter une demande d’accès à un site et rediriger le visiteur vers un autre site frauduleux sans qu’il ne le sache).
Les attaques zero-day sont des failles dans les systèmes d’exploitation que les cybercriminels détectent avant (voire bien avant) les développeurs. « Zero-day » signifie ainsi qu’ils ont « zéro jour » pour corriger la faille au moment où ils s’en rendront compte.
Ce sont par exemple des failles zero-day qui ont été à l’origine de la compromission des systèmes AnyDesk. N’ayant pas été découvertes dans un premier temps, plusieurs versions compromises du logiciel ont été mises en ligne avant que la faille soit découverte, laissant la possibilité aux cybercriminels d’installer des malwares pour tout téléchargement de ces versions compromises.
Plus de détail sur les différents types de cyberattaques dans cet article.
Les TPE/PME sont les victimes majoritaires des cyberattaques pour 3 raisons :
Et pourtant, bien que de taille plus modeste, les risques liées à une cyberattaque n’en sont pas moins importants.
C’est la conséquence la plus crainte par les TPE / PME. Les ransomwares sont des prises d’otages des données ou des systèmes d’information, pour lesquelles les cybercriminels demandent une rançon aux organisations en échange du rendu de leurs données ou du retour à la normale de leur accès aux systèmes de production.
Selon BDM, le coût total des rançons en 2022 serait de 888 millions d’€.
Les données sont le nerf de la guerre des entreprises modernes. Cette force est aussi leur faiblesse en cas de cyberattaque : la revente ou la diffusion de ces données (selon les objectifs du cybercriminel : financiers ou politiques notamment) peuvent se monnayer à prix d’or et/ou avoir de graves conséquences sur l’image et la confiance des clients et prospects de l’organisation victime.
L’arrêt forcé de la production et la hausse des coûts liés à cet arrêt de production représentent à eux deux un coût de 887 M d’euros en 2022, toujours selon BDM. Si on rajoute les pertes de production (heures de travail perdues, délais allongés et dysfonctionnement de service, on arrive alors à 1139 millions d’€ en France.
Si elles incluent les données persos et bancaires, les pertes de datas comprennent aussi la perte de propriété intellectuelle. Il peut s’agit d’espionnage industriel (infos concernant une innovation par exemple), mais aussi les datas liées au RGPD : les organisations s’engagent désormais à garantir la sécurité des infos stockées, et sont donc responsables de la violation de ces données. Le chiffrement de la perte de données RGPD peut très vite s’élever, et encore plus si la victime n’a pas déclaré cette perte à la CNIL dans les 72 heures.
Au final, les coûts totaux pour une entreprise liés à une cyberattaque peuvent se diviser en 2 parties : la face visible de l’iceberg, et la face cachée. (Ponemon Institute et Cybercover)
Les démarches simples à adopter en tant qu’organisation peuvent se regrouper en l’acronyme SMM : Sensibilisation, Mises à jour, Mots de passe. Si ces 3 principes étaient respectés dans toutes les organisations, il y aurait déjà un frein important aux cyberattaques les moins poussées et au phishing.
Il s’agit de sensibiliser ses employés pour éviter au maximum les erreurs humaines qui permettant l’intrusion d’un malware sur ses SI : reconnaître le phishing, ne pas cliquer sur des liens suspects, ne télécharger que des applis provenant des applications intégrées d’application (apple store, Microsoft store, Google Play Store) : 99,99 des applications compromises dès le téléchargement sont acquises en dehors de ces applis.
|
💡Bon à savoir 💡 Des coaching anti-phishing peuvent-être déployés par votre entreprise pour vous prévenir de ce type d’attaques en sensibilisant vos employés sur un très large spectre de possibilités d’attaques : les phishing coach. |
Mettre régulièrement ses applications à jour permet d’éviter l’extrême majorité des cyberattaques sur sa machine, les développeurs diffusant des patchs de manière régulière pour réparer les failles avant même qu’elles ne soient exploitées (dans la plupart des cas).
L’utilisation d’un mot de passe simple et unique favorise les chances de se le faire forcer (mais également de forcer l’accès à toutes les applications en ne trouvant qu’un seul login) : l’utilisation d’un gestionnaire de mots de passe générés automatiquement permet de se protéger de manière efficace.s
Une fois la base acquise, il existe de nombreux outils (du firewall aux EDR) qui permettent de faire face efficacement aux cyberattaques si vos SI sont suivis par un professionnel.
Nous vous guidons également pas à pas dans cet article pour savoir comment réagir si votre entreprise est touchée par une cyberattaque.
Le CTN Cyberenity avertit ses clients d'une potentielle cyberattaque et identifie les éventuels postes touchés. Les équipes IPgarde agissent à...
Guide pratique en 17 étapes pour réagir efficacement en cas de cyberattaque et limiter les dommages pour les petites et moyennes entreprises.
14 solutions techniques pour renforcer la cybersécurité de votre TPE/PME face aux cyberattaques et protéger vos données.