A l’heure où les ventes en ligne représentent 19% des ventes de détail dans le monde et où le travail hybride s’apparente à un acquis, la sécurité des utilisateurs et entreprises est devenue primordiale.
Chaque année, on recense pas moins de 978 millions de personnes concernées par une cyberattaque à travers le monde, pour des dommages estimés à 6’000 milliards de dollars en 2021 et qui devraient atteindre 10,5 billions de dollars d’ici 2025 ! (Source : Cybersecurity Ventures)
Un coût exorbitant qui traduit ce risque majeur, touchant aussi bien les PME que les grandes entreprises dans leurs activités, mais également les particuliers dans leur vie personnelle.
A travers cet article portant sur un sujet aussi vaste que passionnant, nous allons nous concentrer sur les principaux risques et menaces en matière de cybersécurité et protection de données. Nous présenterons ensuite les points de vigilance et solutions à mettre en place pour les entreprises comme pour les particuliers.
Les principaux risques de sécurité en 2022
Nous traversons actuellement une période de tensions géopolitiques et économiques, propice aux attaques et piratages informatiques des cybercriminels. La menace se retrouve accrue en parallèle en raison de la complexité pour les entreprises de sécuriser leurs systèmes et infrastructures désormais répartis et partagés dans le monde entier.
Dans un article de Betanews, nous apprenons que les cybercriminels sont capables de pénétrer dans 93% des réseaux d’organisation et accéder ainsi à leur réseau local.
Quelles sont les principales menaces de cyberattaque identifiées, notamment par Gartner, entreprise américaine de conseil et de recherche dans le domaine des techniques avancées ?
- La surface d’attaque : plus une entreprise est étendue en termes de géographie, activités, logiciels, clouds, etc., plus elle offre de possibilités d’angles d’attaques différents ;
- La supply chain numérique : les attaques devraient être multipliées par 3 entre 2021 et 2025 sur le partage de données dans la chaîne d’approvisionnement liant fournisseurs et partenaires ;
- La supply chain logicielle : il s’agit des attaques portant sur les sous-traitants informatiques auprès des fournisseurs Saas et de leurs clients ;
- Les systèmes d’exploitation Linux : ils sont régulièrement ciblés, tout comme les objets connectés fonctionnant sur ce système ;
- Les attaques sur le Cloud et les Sharepoints : les violations ont touché 79 % des entreprises depuis 2020. Un attrait certain pour les criminels, quand on évalue à 92 % les entreprises qui hébergent une partie de leurs données ou environnement informatique sur le cloud ;
- L’ITDR (Identity Threat Detection & Response) : les tentatives et intrusions dans les systèmes de gestion des identités et des accès, nécessitant l’intégration de nouveaux outils pour y faire face ;
- Les erreurs humaines : encore trop nombreuses, elles restent l’un des principaux facteurs des violations des données et des systèmes. Le phishing, le harponnage ou l’ingénierie sociale (social engineering ou manipulation psychologique) sont autant de méthodes employées par les cybercriminels pour répandre des virus ou s’introduire dans un système informatique. 94% des malwares (logiciels malveillants) sont d’ailleurs envoyés par e-mail ;
- Les usages : 70% des employés utilisent des appareils professionnels pour des motifs personnels, tandis que 37 % des collaborateurs utilisent leur ordinateur personnel pour se connecter aux applications professionnelles.
Les conséquences des cyberattaques sur les entreprises
Les répercussions d’une attaque peuvent être fatales pour une entreprise, car au-delà des pertes financières induites pour l’entreprise, les impacts collatéraux peuvent être tout aussi dommageables, notamment en termes de perte de données clients et de l’e-réputation qui en découle.
En cette période d’Halloween, des statistiques qui font froid dans le dos :
- Plus d’une entreprise sur deux a fait l’objet d’une cyberattaque en 2021 en France (source : Baromètre de la sécurité CESIN) ;
- Les attaques par ransomware ont été multipliées par 2,5 (logiciel prenant nos données en otage contre une rançon), selon l’ANSSI ;
- Le coût médian est estimé à 50’000 € dû à l’interruption ou la perturbation de l’activité, la détérioration du matériel informatique, la fuite de données, l’impact sur l’e-réputation de l’entreprise et de ses marques, la risque de perte de confidentialité, les frais juridiques, etc. ;
- Une perte moyenne de 27% du CA annuel ;
- Une perturbation de production de 21% ;
- Une interruption d’activité d’au moins 8 heures pour 40% des PME suite à une cyberattaque.
De plus, 60 % des PME attaquées ne parviennent pas à se redresser et sont contraintes de déposer le bilan dans les 18 mois suivant l’attaque en France.
Lire aussi
→ Nouvelle réglementation nLPD en Suisse: Principes et impacts sur votre stratégie digitale
Comment pallier aux risques liés à la protection des données ?
Face à ces attaques orchestrées par de véritables organisations criminelles, motivées par des taux de retour sur investissement de l’ordre de 200 à 800 %, selon le cabinet de conseil Wavestone, des solutions existent pour s’en prémunir.
Selon Verizon, 71% des cyberattaques sont motivées par l’aspect financier, puis le vol de propriété intellectuelle et enfin l’espionnage. Il n’est pas rare que les pirates réclament ainsi une rançon en échange des données subtilisées.
Quelle protection des données mettre en place en interne ?
- L’installation d’anti-virus ;
- L’intégration d’une API à l’environnement de messagerie directement pour protéger les boîtes de réception individuelles. Elle permet en outre de retracer les schémas de communication et de détecter des anomalies grâce aux données disponibles et à l’intelligence artificielle ;
- La mise en place de passerelles de sécurité sur les serveurs de messagerie, pour filtrer et bloquer les contenus malveillants, tels que les IP ou URL suspectes, les probabilités de virus et malwares ;
- La mise en place de pares-feux pour sécuriser les connexions aux sites Internet et le trafic entrant et sortant du réseau ;
- Les sauvegardes régulières des données pour limiter les risques en pouvant restaurer les anciennes données ;
- Le cryptage des données pour garantir la confidentialité des informations ;
- Le contrôle des autorisations et le principe du moindre privilège (PMP) dans la gestion des comptes administrateur dans les réseaux des clients, consistant à ne donner que les accès strictement nécessaires ;
- La mise à jour des logiciels, applications et systèmes d’exploitation permettant d’éviter les failles identifiées ;
- La veille informationnelle sécuritaire et technologique pour connaître les dernières recommandations et points de vigilance, via l’ANSSI par exemple ;
- Le recours à des audits de sécurité et des tests d’intrusion pour mesurer la vulnérabilité du système.
Comment peut-on sécuriser son site Internet et les interactions avec les utilisateurs ?
- Le recours au protocole HTTPS pour chiffrer toutes données, en particulier au niveau des paiements en ligne ;
- L’utilisation de Captcha (Completely Automated Public Turing test to tell Computers and Humans Apart) pour tout formulaire, afin d’évincer les robots ;
- La proposition de mots de passe complexes, pouvant être placés dans un coffre-fort comme Lastpass, car 61 % des violations sont dues à des faiblesses de mots de passe ou d’informations d’identification. Veiller à les renouveler régulièrement et à les diversifier selon les sites et comptes. La double authentification peut aussi être un gage complémentaire de sécurité ;
- Limitation des cookies : plus nous accordons les cookies dans le cadre du RGPD, plus nos données peuvent être diffusées et risquent d’être piratées. A noter que GA4(Google Analytics) ne conserva plus les adresses IP et mettra un terme aux cookies tiers courant 2024, avec le déploiement de la Privacy Sandbox.
De l’importance de la sensibilisation sur les risques de cybercriminalité en entreprise
- L’information au personnel : 47% des télétravailleurs se sont fait piéger par des tentatives de phishing. Dès lors, la mise en place de réunions, formations et ateliers de mise en situation s’avère indispensable pour expliquer les risques et les différents types d’attaque dont les employés peuvent être victime, dans leur vie professionnelle et même personnelle avec la digitalisation, les réseaux sociaux (e-reputation), les clouds, etc.
- La sensibilisation des petites entreprises : faute de moyens et de connaissances, ce sont souvent les principales victimes. Les grandes entreprises peuvent ainsi jouer le rôle de conseiller informateur vis-à-vis de leurs fournisseurs, sous-traitants, partenaires, etc.
Pour limiter l’impact financier des attaques, il existe des assurances de responsabilité civile professionnelle cybernétique. En raison de la recrudescence des méfaits, les primes sont en hausse et les critères d’exclusion nombreux (comme le paiement de rançons).
Le référentiel cybersécurité du NIST (National Institute of Standards and Technology)
Il s’appuie sur 3 piliers :
- PROTÉGER : la cyberprotection
- DÉTECTER : la cyberdéfense
- RÉAGIR : la cyberrésilence
“Les cyberattaques sont comme des catastrophes naturelles. Il n’y a aucun moyen d’empêcher un ouragan de frapper votre ville, mais vous pouvez certainement vous y préparer.”
CONCLUSION :
Les techniques de cyberattaques évoluent rapidement avec des moyens et méthodes toujours plus variés. Pendant le COVID, 35% des attaques étaient encore inconnues contre 20% au préalable. Ce n’est donc pas un hasard si les risques liés à la cybersécurité sont dans le Top 3 des Risk Managers, alors qu’ils ne figuraient qu’en 7ème place en 2017.
« Les directeurs financiers commencent à voir ce que cela va coûter s’ils ne se protègent pas, et non plus seulement le surcoût. » (Guillaume Poupard, ANSSI).
La cybercriminalité s’apparente désormais à une véritable industrie en raison de son ampleur et des impacts financiers en jeu. Il est devenu vital pour les entreprises de s’en prévenir en anticipant, en veillant et en investissant dans la sécurisation de leurs systèmes, mais surtout en informant et sensibilisant leurs équipes à la cybersécurité.