Cybercriminalité : comment y faire face ?

Les entreprises sont devenues une cible privilégiée des cyberattaques. Ces dernières sont passées de 54 attaques rapportées en 2019 à 192 en 2020 selon l'ANSSI, en plus d'une très grande part d'attaques non déclarées par peur de représailles. Pour les directions financière et les trésoriers d'entreprises mesurer et anticiper au mieux ce risque majeur est devenu vital. Pour autant détecter les failles principales et prioriser les actions est beaucoup plus simple à dire qu'à faire. Réunis autour d'une table ronde aux Journées de l'AFTE 2021, des experts ont livré des clés pour lutter contre ce fléau.

Industrialisation des attaques

Cette forte augmentation des attaques s'explique en partie par la création de réseaux et de plateforme de piratage fabriqués par des hackers professionnels, sur le même modèle qu'Uber ou Deliveroo. "Au cours des dernières années, on a pu observer une mutation entre un écosystème d'experts qui, avant, choisissaient leurs cibles, réalisaient les attaques, essayaient de récupérer les gains de ces attaques et recommençaient. Ces experts se sont rendus compte qu'ils perdaient énormément de temps à la fois dans l'identification des cibles mais aussi dans la réalisation technique des attaques. Désormais, les experts développent des outils, les mettent à disposition d'un réseau d'affiliés et se rémunèrent via un système de rétribution. Les plateformes vont alors recruter des hackeurs moins expérimentés, et vont leur donner les outils pour aller faire des attaques en grand nombre" détaille Gérôme Billois, associé cybersécurité et confiance numérique chez Wavestone.

Faut-il obligatoirement payer la rançon ?

Les attaques les plus populaires sont celles appelées par rançongiciel, qui, comme son nom l'indique, demandent une rançon en échange de la récupération des données de l'entreprise piratée. Et ce "business" est extrêmement rentable. "Si l'on prend le coût de l'attaque (fabriquer les outils, installer la plateforme et temps humain pour faire l'attaque) ramené au taux de succès (paiement des rançons et blanchiment de l'argent), il est possible d'observer des rentabilités allant de 200 à 800% poursuit Gérôme Billois. Les montants collectés par ces plateformes criminelles sont, eux aussi, extrêmement importants. Le trésor américain a fait une analyse qui les chiffrent à plusieurs milliards de dollars. Le groupe Ryuk, qui a lancé sa plateforme de piratage en 2018 a de son côté réussi à collecter 3 millions d'euros de rançon la première année, 60 millions la deuxième et 150 millions la troisième."

Mais alors, lorsque son entreprise se retrouve attaquée, faut-il impérativement payer cette rançon demandée par les attaquants, pour espérer pouvoir reprendre son activité au plus vite ? Pour l'associé cybersécurité chez Wavestone, la réponse n'est pas si simple et peut varier d'une entreprise à l'autre. "Le premier réflexe est de dire qu'il ne faut pas payer la rançon car c'est ainsi qu'est financé l'écosystème cybercriminel. Mais il existe certains cas où la vie d'une entreprise est un jeu. Et derrière cela ce sont des emplois, des vies. Ce ne serait pas réaliste de dire qu'il ne faut jamais payer. Ce qui est clair, c'est qu'il ne faut pas rendre ce paiement automatique. Car même si vous payez, le temps pour remettre l'entreprise sur pied, avec tous les problèmes techniques que l'attaque aura créé, sera quasiment le même que si l'entreprise ne paye pas la rançon, à savoir environ deux semaines. Payer ne va pas non plus régler tous les problèmes juridiques, y compris si des données à caractère personnelles sont concernées. Mais payer va permettre dans certains cas de sauver la vie d'une entreprise si certaines données n'ont pas été sauvegardées ou ne peuvent pas être reconstruites."

Prendre des précautions individuelles ...

Chaque collaborateur possède des clés pour lutter au maximum contre ce fléau des cyberattaques. Car la façon la plus simple pour un pirate de pénétrer au sein des systèmes d'une entreprise est plus souvent due à la non-vigileance, voire à la négligence de la part d'un ou plusieurs employés de l'entreprise qu'à de réels exploits de sa part. "Il existe quatre failles principales qui permettent aux cyberattaquants de rentrer au sein d'une entreprise indique Rémi Martin de Abia, pentester chez Advens. Ce sont tout d'abord des défauts de mise à jour. Microsoft recommande par exemple de faire des mises à jour de leur système quasiment chaque semaine. C'est le même problème avec les pare-feux ou les proxys, qui sont des systèmes à mettre un jour en permanence. Si jamais quelqu'un découvre une faille dessus, elle sera potentiellement exploitable. La seconde vulnérabilité, et c'est sûrement la principale, sont les mots de passe faibles. On entend par mot de passe faible un mot de passe réutilisé sur plusieurs sites différents ou avec un pattern, par exemple son nom suivi de 1234 ou son nom et sa date d'anniversaire. Lorsqu'ils fuitent, ces mots de passe se retrouvent dans des compilations appelées des dictionnaires, qui sont très facile à dénicher sur internet et qui référencent tous les mots qui ont déjà été utilisés comme des mots de passe. Les pirates peuvent alors télécharger ces dictionnaires, avec des millions de mots de passe et dans 9 cas sur 10, cela leur permet de s'introduire au sein d'une entreprise. Il y a ensuite la question du phishing qui reste un des meilleurs moyens pour obtenir l'accès dans une entreprise."

Reste enfin les mauvaises pratiques, qui sont une accumulation de plusieurs mauvaises habitudes du quotidien. "On parle ici du fait de conserver un fichier excel avec tous ses mots de passe, d'enregistrer son mot de passe automatiquement dans Chrome ou Firefox. Ce mot de passe est alors enregistré quelque part sans être chiffré et n'est donc plus secret. Il peut aussi y avoir le fait de brancher son téléphone à une prise USB dans le train, mais est-elle reliée à une prise de courant ou à un ordinateur ? Se connecter à un Wi-fi public et taper ses mots de passe ou se connecter à son compte bancaire peut aussi être une manière de se faire pirater," complète le pirate White Hat.

Pour essayer de remédier à ces problèmes, la meilleure pratique reste le 2FA, l'authentification deux-facteurs, ou double authentification, à savoir un sms ou une authentification sur une application pour chacune de ses connexions. "Si quelqu'un trouve votre mot de passe, il faudrait qu'il ait en plus votre téléphone, ce qui est plutôt improbable," reprend-il.

... et collectives

A leur échelle, les entreprises peuvent également de se prémunir contre ces attaques. Elles peuvent notamment faire de la prévention, pour sensibiliser contre les mauvaises pratiques pré-citées. Elles se doivent aussi d'intégrer ce risque cyber au sein de leurs plan de continuité d'activité (PCA). Pour Gérôme Billois, il y a deux point principaux à intégrer dans le PCA. "Dès que vous êtes attaqués ou qu'il y a une forte suspicion d'attaque, il faut basculer sur des systèmes de messagerie spécifiques et dissociés des systèmes nominaux. Le second point, très important, est également très complexe. Il s'agit de réussir à trouver des solutions pour travailler pendant une à deux semaines sans informatique. Il faut trouver des solutions extrêmement dégradées, voire archaïques, mais qui permettront de faire fonctionner une partie de l'activité de l'entreprise. C'est toujours mieux que de ne pas avoir d'activité du tout."

Les entreprises peuvent également mettre en place des moyens pour se protéger au mieux contre ces attaques. C'est ce qu'a fait Frédéric Tailler, responsable trésorerie et comptabilité fournisseurs chez Fleury Michon. L'entreprise a été cyberattaquée en avril 2019 et a désormais évolué pour être prête à réagir le plus rapidement possible en cas de nouvelle attaque. "Tous les services importants ont désormais des pc portables au lieu de petites tours d'ordinateur que nous avions avant. Nous avons aussi mis en place un numéro de téléphone au niveau du service informatique, notamment pour communiquer auprès des banques, de manière à ce qu'il n'y ait plus que ce numéro qui soit en mesure d'effectuer des opérations. Nous avons également ouvert les sites bancaires pour pouvoir transmettre des fichiers via ces sites bancaires en cas de problème. Enfin, quelque chose de tout bête, nous avons réutiliser des carnets avec les numéros de téléphone de nos principaux contacts pour ne pas se retrouver bloquer si nous n'avons plus accès à notre téléphone ou pc."

Rémi Martin de Abia conseille de son côté de "faire régulièrement des tests pour savoir où vous en êtes de votre sécurité." Enfin car rien n'est mieux qu'une mise en situation réelle, Gérôme Billois préconise de s'entraîner en faisant des exercices de crise en condition réelle. "C'est bien de faire ces exercices annuellement, en choisissant un scénario pour se préparer et s'exercer. Il s'agit de s'entrainer à la fois sur les moyens mis à disposition le jour J, de connaître les personnes qui seront présentes, savoir comment réagir, si ce qui a été pensé théoriquement dans le PCA est efficace une fois mis en pratique. Il faut enfin se préparer à reconstruire les systèmes coeurs. En faisant cet apprentissage, il est possible de faire repartir les systèmes informatiques de l'entreprise en 4 jours au lieu de 2 semaines." Autant de moyens qui permettent de limiter l'impact d'une attaque sur les comptes et l'activité de l'entreprise.