Accueil Nos points de vue Point de vue #4 : Cybersécurité et PME Echange avec Laura Peytavin
De plus en plus organisés et sophistiqués, les réseaux cybercriminels prospèrent sans connaître de frontières et lancent des attaques redoutables, face auxquelles les PME restent largement vulnérables. Laura Peytavin, Consultante avant-vente certifiée CISSP chez Proofpoint, partage avec nous son analyse de la mutation des cybermenaces et ses conseils à l’attention des dirigeants d’entreprises.
Quel état des lieux faites-vous de la cybermenace qui pèse sur les entreprises, en particulier sur les PME ?
Cette menace, qui n’a jamais été aussi élevée, représente plusieurs dizaines de milliards de dollars par an en pertes financières pour les entreprises. Avec de pareils gains, on comprend que les cybercriminels prospèrent et se professionnalisent : ce ne sont plus des individus isolés mais de véritables écosystèmes industriels dotés de filières, de spécialités, de bases de données volées qui se revendent… Pour ces systèmes organisés, les frontières n’existent pas. C’est la raison de l’inquiétude des États, et de leur volonté d’aider les dirigeants à protéger leurs entreprises, car ils ont pris conscience de l’ampleur de la menace. Aujourd’hui, la question de la cybersécurité n’est pas de savoir si je vais être attaqué mais quand cela se produira. Si les PME représentent des cibles plus ou moins attrayantes, selon leur chiffre d’affaires, la détention d’innovations à travers des brevets, ou de technologies particulières, elles n’en représentent pas moins des cibles de choix : pour la majorité d’entre elles, les moyens technologiques alloués à leur cybersécurité sont rudimentaires et vont rarement au-delà du simple antivirus.
Mais s’il est vrai que les attaques sont de plus en plus sophistiquées, le premier mode d’accroche des cybercriminels reste humain – concrètement, tromper quelqu’un, pour le pousser à cliquer ou à télécharger – et les hackers continuent donc d’utiliser des ressorts humains : provoquer un sentiment d’urgence ou de gravité, de préférence à des heures de la fin d’après-midi où les collaborateurs sont plus stressés. Chez Proofpoint, nous le constatons : les hackers s’appuient sur des échanges de messageries piratées pour placer les éléments d’usurpation dans un cadre professionnel. Ils envoient ensuite le message le plus personnalisé possible par tous les canaux numériques existants – par mail bien sûr, car c’est le moyen le plus anonyme, et quasi gratuit – mais aussi par SMS ou par le biais d’appels téléphoniques. Les cybercriminels sont devenus des professionnels qui analysent leur cible, lancent une attaque multicanale puis font une analyse de ROI.
Ces cyberattaques proviennent-elles d’entités ou d’organisations spécifiques ?
Les hackers sont avant tout des individus qui connaissent bien le numérique. Nous avons affaire à de vrais talents qui savent parfaitement comment fonctionnent les couches matérielles et logicielles des systèmes numériques et qui sont à l’affût de la moindre vulnérabilité. Certains sont basés en Europe et en Amérique du Nord, d’autres en Russie, en Chine pour les plus gros contributeurs, au Moyen-Orient, en Asie du Sud-Est, et dans certains pays du continent africain qui comptent un vrai vivier de talents en la matière. Comme je l’ai dit, ce sont des réseaux qui ne connaissent pas de frontières… mais qui ont tout de même besoin d’un ancrage dans le pays qu’ils ciblent : pour tromper un dirigeant français, par exemple, il est nécessaire de s’appuyer sur un savoir-faire local, maîtrisant la langue et les codes culturels.
Il est important de bien comprendre la répartition du revenu des cybercriminels : la moitié provient d’attaques avec contenus malveillants, typiquement le rançongiciel qui constitue l’outil le plus utilisé depuis son apparition en 2014. Les entreprises dont les données sont détenues finissent par payer, car le coût de leurs pertes est trop élevé pour elles – ce sont ces fameux milliards qui font prospérer les hackers, leur permettent de rétribuer leur réseau et d’investir en outils technologiques. L’autre moitié est obtenue par messages frauduleux, en usurpant l’identité de personnes connues par la cible pour lui faire faire une opération financière à ses dépens. Là où il s’agissait auparavant d’attaques en silos, principalement par email – le phishing – nous avons désormais le smishing – par SMS – et le vishing – par appel. Surtout, les trois convergent pour multiplier les canaux d’une même attaque.
Comment les PME peuvent-elles s’en prémunir ou du moins diminuer le niveau de risque ?
Nous le voyons, les moyens des cybercriminels augmentent et la sophistication – redoutable ! – de leurs attaques aussi. Les petites entités, PME, ETI, sont loin d’être dotées d’outils ou de logiciels suffisants pour répondre à l’ampleur de la menace, et c’est ce qui explique le ROI des cybercriminels : la vulnérabilité des entreprises entretient le profit des hackers qui entretient à son tour leur montée en puissance… Un cercle vicieux dont il faut sortir. L’État en a conscience, et de ce cercle et de protéger le tissu vital de son économie : il existe des aides mises à disposition des entreprises pour renforcer leurs moyens et des formations pour sensibiliser aux bons réflexes à adopter. Patcher, mettre à jour, réviser régulièrement son infrastructure logicielle : tout cela est indispensable.
Mais il faut garder à l’esprit que la première source de vulnérabilité est et demeure humaine. Les dirigeants doivent donc former leurs collaborateurs, exercer leur vigilance, et se doter d’un Délégué à la protection des données – une mesure par ailleurs imposée par le RGPD – même si l’entreprise ne compte que cinq salariés. En vue des présidentielles, le CESIN a par exemple récemment fait une série de propositions de cybersécurité : la 8ème consiste en l’obligation pour les entreprises de procéder annuellement à un diagnostic flash de cybersécurité. Autant de réflexes qu’il devient économiquement vital pour les entreprises d’intégrer, en perspective du nouveau monde du travail, entre cloud et télétravail ; en un mot avec des systèmes plus ouverts et, donc, une surface d’attaques potentielles qui l’est d’autant.