Pour gérer vos consentements :

[Avis d'expert] Cybercriminalité - comment s'y prendre quand on est une PME ?

Publié par Camille Delcour et David Boisseleau le - mis à jour à

Aujourd'hui la cybercriminalité est le type de fraude le plus rencontré dans les PME devant les détournements d'actifs. Rien de surprenant au regard des évolutions technologiques des dernières années. Et pourtant la plupart des PME ne savent pas faire face à ce nouveau type de fraude.

On est passé d'une cybercriminalité d'amateurs ; des " geeks " pirates autodidactes, à une cybercriminalité industrialisée, financée dans certains cas par des sociétés privées, des organisations mafieuses voire des agences d'Etat. La cybercriminalité à laquelle une PME peut être confrontée reste semi-industrialisée avec des pirates, plutôt amateurs, mais aussi des attaques plus organisées souvent menées par des sociétés qui ont des moyens financiers pour développer des virus pointus. Ces derniers peuvent servir à extraire des données confidentielles, espionner vos activités ou créer des " backdoors " (porte dérobée) qui permettent aux pirates de prendre le contrôle des systèmes infectés.

A quel type d'attaque s'attendre

La cybercriminalité classique, par " déni de service ", est en pleine recrudescence. Ces attaques sont provoquées par des milliers d'ordinateurs infectés par le même virus qui, sur ordre d'un serveur central, lancent en même temps une attaque concertée sur une même machine cible de façon à saturer le réseau ou les services. C'est pourquoi ces attaques sont appelées (en anglais) DDOS pour " Distributed denial of Service. Le désordre provoqué permet d'utiliser une faille de sécurité et d'entrer dans le système. Dans les cas plus graves, les pirates vont tenter d'exfiltrer des données contenues dans les bases du système à des fins d'exploitation frauduleuse.

Certains autres virus procèdent tout simplement comme des " chevaux de Troie " qui une fois installés communiquent à leur serveur maitre nombre d'informations générées par l'utilisateur. L'exemple classique est le " Key Logger " qui enregistre vos frappes clavier autrement dit tous les login, mots de passe et autres, et les transmet à l'extérieur.

Mais le risque majeur pour les PME, reste l'attaque ayant pour objectif le vol d'informations par des moyens non techniques comme l'Ingénierie Sociale basée sur des méthodes simples de manipulation mentale (tromperie, séduction, menaces, usurpation d'identité etc...). Il s'agit le plus souvent d'attaques internes ou d'attaques extérieures exploitant des ressources humaines internes volontaires ou manipulées.

Dans certains cas une personne peut se faire embaucher en interne pour exfiltrer des informations pour le compte d'un tiers qui le rémunère. Statistiquement, plus l'entreprise gère des secrets importants, industriels ou d'autre nature, plus le risque est fort.

Avec tous ces éléments, on comprend que la Sécurité Informatique devient un enjeu majeur pour les entreprises. La protection contre la cybercriminalité évolue sans cesse, doit s'adapter en continu, notamment dans des entreprises qui gèrent beaucoup d'informations sensibles.

Profiter d'une obligation légale pour agir

Rien de telle qu'une nouvelle obligation légale pour ouvrir un chantier sécurité informatique. Ainsi, la mise en conformité RGPD est une excellente piste pour commencer à s'intéresser sérieusement à la sécurité du SI de son entreprise. Il y a d'ailleurs des actions simples à mettre en place par une approche par les risques. Appliquer les règles de bon sens sur la protection des données et la gestion du SI, qui sont dictées dans l'ISO 27000 et dans le RGPD, est la première étape :

-Gestion des accès aux données sécurisé

-Comptes nominatifs, profils d'habilitation et gestion des droits d'accès dans le temps

-Mots de passe complexes et renouvelés régulièrement

-Protection anti-virale

-Sauvegardes régulières

-SI protégé contre le vol (chiffrement des supports) et l'incendie (sauvegarde externalisée)

-Politiques opérationnelles de sécurité documentées et suivies

-Minimisation des données traitées

-Définition claire des finalités de traitement

-Respect des droits des personnes physiques concernées définis par le RGPD (information, consentement rectification, effacement etc...)

-Respect des délais de conservation, d'archivage et d'effacement des données

-Formation continue des collaborateurs aux risques légaux, informatiques et à la protection des données

S'appuyer sur les organismes de contrôle

Quand on parle de sécurité et de cyberattaque, nous faisons directement le lien avec les représentants de la Police et de la Justice, qui jouent évidement un rôle essentiel dans les affaires de fraude.

En termes de conformité RGPD, la collaboration avec la CNIL est évidemment le conseil n°1 qu'on peut donner aux PME. La CNIL est de très bon conseil pour mettre en place des mesures adaptées, proportionnelles au risque et accompagner les entreprises dans cette démarche volontaire.

Les représentants de la Police et de la Justice interviennent lorsqu'un problème survient, il faut alors collaborer et fournir tous les éléments permettant de retracer et identifier le fraudeur : éléments techniques, adresses IP, comportement du fraudeur sur le site, points de livraison choisis etc. Une absence avérée de traçabilité sur les données pourrait être dans ce contexte considérée comme une négligence répréhensible.

Par ailleurs, attention aux entreprises qui proposent des packages de mise en conformité forfaitaire. En effet, la conformité RGPD par exemple est un processus d'amélioration continue, avec des contrôles continus, qui évoluent au fur et à mesure que l'entreprise évolue, en aucun cas, un package " one shot ", clés en main.

Instaurer des bonnes pratiques

Les PME ont souvent des pratiques non conformes à l'ISO 27000 : mot de passe administrateur utilisé par tout le monde, faiblesse de la protection antivirale, composants des SI obsolètes donc attaquables, mots de passe trop facile à deviner, URL par défaut non modifiées, certificats SSL pas à jour (le petit cadenas vert devant l'URL du site qui garantit le chiffrement du canal de transmission en https - sans cela les mots de passe circulent en clair et peuvent être interceptés, valable aussi pour des sites internes).

Sans être paranoïaque, il convient d'instaurer une culture sécuritaire dans la gouvernance de l'entreprise à commencer par des pratiques de connexion clairement édictées et suivies par tous. Les mesures de sécurités sont proportionnelles aux risques et donc au volume et à la sensibilité des données que l'on gère.

En conclusion, face à la cybercriminalité qui ne cesse d'augmenter (y compris au niveau des petites structures), une démarche de mise en conformité réglementaire type RGPD permet à une PME de mettre en place les bases pour la protection de ses actifs informationnels et contre les risques juridiques associés.

Consultante Experte en analyse des risques et gestion de la fraude, Camille Delcour est la fondatrice de Cybooster, société spécialisée dans le contrôle de gestion, l'audit et le contrôle interne dédiée aux PME.

Consultant Architecte Sécurité Informatique, David Boisseleau est expert Conformité RGPD/ISO27000, Cryptographie, Anonymisation, Authentification et Gestion des Identités. Il a notamment piloté de nombreux audits externes de cabinets internationaux tels que Mazars ou EY.



La rédaction vous recommande