[Dossier] Cybersécurité : êtes-vous bien protégé ?

C'est la préoccupation du moment. La 10e édition du Forum international de cybersécurité vient de se dérouler à Lille les 23 et 24 janvier. De son côté, l'État envisage d'engager 1,6 million d'euros pour sa cyberdéfense. Sans parler des cyberattaques retentissantes, les virus WannaCry et NotPetya, qui ont paralysé des centaines de milliers d'ordinateurs et frappé des milliers d'entreprises au printemps 2017.

La cybersécurité s'invite dans l'actualité parmi les sujets sensibles pour les entreprises. "La majorité des attaques, non médiatisable, passe sous silence et est judiciairement invisible, car elle ne justifie pas un dépôt de plainte", observe Philippe Laurier, chercheur et auteur d'une étude sur les cyberattaques menée par l'Institut de recherche technologique SystemX.

Les PME prises pour cible

Les PME ne sont pas épargnées et semblent aussi exposées que les grandes entreprises, d'autant qu'elles sont plus vulnérables. "Il faut aller sur le terrain, en immersion, pour mesurer le décalage entre ce que l'on croit savoir et la réalité", regrette Philippe Laurier. Selon les chercheurs de SystemX, les attaques seraient plus nombreuses que ce que les études diligentées par les prestataires informatiques indiquent. Mais elles coûteraient moins cher à leurs victimes.

D'ailleurs, la question n'est plus de savoir si une entreprise va être ciblée, mais quand ? "Les PME sont considérées comme des chevaux de Troie offrant un accès à des donneurs d'ordre plus importants. Dans la région de Toulouse, par exemple, nous avons vu des PME se faire attaquer parce qu'elles travaillent pour des grandes entreprises des secteurs aéronautique ou pharmaceutique", affirme Jean-Michel Denys, membre du groupe de travail audit informatique à la Compagnie régionale des commissaires aux comptes (CRCC) de Paris. Dans ce cas, les cyberattaques relèvent de l'espionnage industriel. Et la pression monte d'un cran. "Je connais des PME qui ont perdu des contrats parce qu'elles ne savaient pas répondre aux exigences de leur donneur d'ordre en matière de cybersécurité", ajoute Philippe Truchaud, expert en cybersécurité chez PwC.

Au-delà du risque informatique, la question soulève donc de vrais enjeux commerciaux et stratégiques. Plusieurs types d'attaques font des ravages : l'hameçonnage - ou phishing - est l'un des plus répandu. Il vise à obtenir les données financières ou les identifiants de connexion du destinataire d'un e-mail, voire ses droits d'accès au réseau de l'entreprise afin de s'y infiltrer.

En recrudescence, le rançongiciel consiste à envoyer à la victime un logiciel malveillant qui chiffre ses données puis à lui demander une rançon - à payer en bitcoin - en échange du mot de passe de déchiffrement. "Nous conseillons expressément aux entreprises de ne pas payer la rançon ni de faire confiance à une personne malveillante", glisse Luis Delabarre, expert en cybersécurité, représentant de Malwarebytes en France. Peu de PME disposent de portefeuille de bitcoin, ce qui limite leur capacité de paiement. Mais il n'empêche, pas question de céder ! D'autant que les fameuses clés de déchiffrement ne sont pas toujours délivrées par les hackers.

La fraude au président est également fréquente et peut être évitée par une plus extrême vigilance. Il s'agit d'une arnaque consistant à convaincre un collaborateur d'effectuer un virement à un tiers sur un prétendu ordre du dirigeant. Les salariés du service comptable doivent donc se méfier des demandes de virement à l'international, non planifiées et réclamées en urgence.

Les pratiques préventives

Dans les entreprises, l'attention de tous est requise. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a publié un «guide de l'hygiène informatique" contenant une quarantaine de mesures de prévention, ainsi que des conseils de bon sens pour limiter les risques d'exposition. Pour résumer, trois grands axes prévalent.

Tout d'abord, au coeur du système informatique, la mise en place de pare-feu et antivirus, ainsi que la gestion des mises à jour des logiciels et des sauvegardes sont obligatoires. Ensuite, au niveau managérial, la formation et la sensibilisation des équipes doivent être une priorité. Enfin, il faut mettre en place des procédures claires au sein de l'entreprise : restriction des accès aux données sensibles (et différenciation administrateurs / utilisateurs), gestion des droits (en fonction des arrivées, départs, changements de poste des collaborateurs), supervision et contrôle des mises à jour des logiciels et des systèmes de sécurité, mode opératoire en cas de cyberattaque, etc.