Mon compte Devenir membre Newsletters

Cybersécurité : 3 conseils pour éviter l'effet "Mr.Robot" à votre entreprise

Publié le par

Dans la série Mr. Robot (saison 2 diffusée sur France 2 à partir du 24 octobre), un petit groupe de hackers cherche à faire tomber une multinationale. Peu protégées contre le piratage, les PME sont très vulnérables à cette criminalité d'un nouveau genre. Voici 3 astuces simples à mettre en place.

Le masque utilisé par les hackers dans la série Mr.Robot

© Mr.Robot

Le masque utilisé par les hackers dans la série Mr.Robot

En matière de piratage, la règle du "ça n'arrive qu'aux autres" ne s'applique hélas pas, à moins de faire preuve d'un grand optimisme. Dans les faits, toutes données sensibles pouvant être monétisées (coordonnées bancaires, fichiers clients, données confidentielles) font de votre entreprise une cible potentielle pour les cybercriminels. Pour Vincent Boyer, ingénieur en sécurité informatique, la vulnérabilité des entreprises est, dans la majorité des cas, avant tout liée au facteur humain plutôt qu'à une faille matérielle.

Elle est également devenue un enjeu stratégique pour toutes les entreprises qui doivent adopter de bonnes pratiques rapidement pour éviter de subir des conséquences, parfois dramatiques. Perte massive de données ou fuite d'informations client, il peut être ensuite difficile de s'en relever. Voici comment prévenir plutôt que guérir en trois points.

1. Utiliser un mot de passe complexe

Pour trouver une brèche de sécurité, il faut commencer par chercher un point faible. Un collaborateur qui colle un post-it avec son mot de passe de session sur son ordinateur ou un dirigeant qui partage un fichier comportant tous les mots de passe et identifiants utiles à l'entreprise dans un fichier de type Google Doc ? Plus simple encore, le même mot de passe, inchangé depuis des années et utilisé par tous les collaborateurs.

Le phénomène est courant, voire banal. En juin dernier, Mark Zuckerberg, patron de Facebook a été piraté sur ses comptes Twitter et Pinterest. En cause : son mot de passe, aberrant pour un géant du Net : "dadada". Et ce n'est pas un cas isolé puisqu'en 2015, le top 25 des mots de passe les plus calamiteux révélait la fragilité des mots de passe majoritairement employés par les internautes :

1-123456

2-password

3-12345678

4-qwerty

5-12345

Ce type de mot de passe est aussi simple à pirater que ceux liés à votre vie personnelle (date de naissance, nom de votre conjoint(e)...). La règle d'or est d'utiliser un mot de passe complexe (comportant des majuscules et minuscules, des chiffres... Et si le formulaire de connexion l'autorise, des caractères spéciaux). Ne transmettez jamais ce mot de passe à un tiers et si vous avez un doute sur une fuite potentielle, n'hésitez pas à en changer pour un autre, complexe et différent.

Pour l'expert en cybersécurité, vous pouvez créer un mot de passe complexe de cette façon :"Choisissez une phrase facile à retenir, par exemple "Je me lève tous les matins à 7h et je prends le bus 34". Sélectionnez les premières lettres ou chiffres de chaque mot. Pour l'heure, utilisez un symbole (ici, %). Cela donne : Jmltlma7%ejplB34. La clé d'un bon mot de passe est l'utilisation d'une suite incohérente car les méthodes pour les trouver se basent en général sur des dictionnaires qui testent des suites "probables" et "potentielles", notamment les mots de passe les plus populaires cités précédemment (suite de chiffres ou de lettres). Vous pouvez également utiliser un générateur de mot de passe, cela reste plutôt efficace.

2. Sécuriser et limiter les appareils mobiles

Les entreprises pratiquent de plus en plus le BYOD (Bring your own device). Les employés apportent leurs ordinateurs et tablettes personnelles et cela présente un risque majeur, ces terminaux pouvant avoir été exposés à des virus à leur domicile. Au moment de se connecter au réseau de l'entreprise, ils infectent ainsi l'ensemble des autres terminaux. Pour Vincent Boyer, la solution est de limiter au maximum les périphériques. "Si l'employé branche sa clé USB personnelle, sa tablette, son portable ou sa montre connectée, c'est un risque".

Les clés USB forment l'un des points d'entrée les plus efficaces. "3/4 des personnes qui trouvent une clé USB dans la rue, sur un coin de bureau voire dans une enveloppe vont la brancher à leur machine pour savoir ce qu'il y a à l'intérieur. Ils permettent ainsi la propagation d'un virus si celle-ci est infectée. Pour leur machine ainsi que toutes celles qui sont branchées sur le réseau de l'entreprise. Dans les bureaux de Google, il y a par exemple des distributeurs de clés USB, automatiquement formatées après chaque utilisation. Les employés déposent la leur puis en récupèrent une nouvelle. Il est également très important d'installer des antivirus sur chaque machine et de les mettre à jour régulièrement. Et si vous interdisez les terminaux personnels, vous devrez fournir un matériel adéquat.

3. Apprendre les règles de base de la sécurité informatique aux collaborateurs

Pour éviter les ennuis, il est possible de paramétrer le réseau de l'entreprise pour restreindre l'accès des collaborateurs à des sites jugés risqués ou de définir des plages horaires de connexion. Mais, pour Vincent Boyer, cela ne suffit pas : "un réseau peut être très bien protégé, si les utilisateurs ne respectent pas les règles de sécurité de base, ce sont eux qui deviennent le facteur de faiblesse de la sécurité informatique de leur entreprise."

Un e-mail ouvert par inadvertance et comportant un virus, une clé USB récupérée auprès d'un livreur, la consultation de sites dangereux ou interdits dans l'espace de travail... Ces problématiques peuvent être évitées en formant l'ensemble des collaborateurs et en faisant de la sécurité informatique l'un des piliers de son entreprise. "La cybersécurité n'est plus une option, c'est devenu un enjeu majeur dans une société qui se digitalise de toutes parts" précise Vincent Boyer.

Social engineering et objets connectés : des failles insoupçonnées

"L'une des pratiques les plus "rentables" pour les pirates est le social engineering. C'est une sorte de généralisation du renseignement. Le pirate peut utiliser tous les moyens qui lui semblent pertinents (une recherche Google, appeler en se faisant passer pour une hotline, étudier les horaires et activités extraprofessionnelles du collaborateur). Des goûts personnels, statuts et photos diffusées sur les réseaux sociaux, les pirates peuvent aussi déduire la routine de collaborateurs identifiés comme "maillons faibles" de l'entreprise car faisant preuve de négligence sur le web, par exemple. C'est cette personne qu'il faudra attaquer pour accéder à l'ensemble des informations.

Pour Vincent Boyer, l'étape suivante, ce sont les objets connectés : "Avec l'avènement des objets connectés, les sources de danger sont au final très insoupçonnées. De nombreux "hacks" sont par exemple réalisés par le biais d'une imprimante. Connectée à d'autres périphériques, on en absorbe les informations de transactions enregistrées en mémoire, on corrompt les périphériques auxquels elle est associée...". Les enjeux sont devenus si importants en matière de donnée qu'il est stupéfiant de constater que nombre d'entreprises courent vers leur transformation digitale sans penser au basique : sécuriser leurs systèmes d'information. Après l'ubérisation, se faire "Mr.Robot-iser" pourrait devenir la nouvelle expression à la mode.