Comprendre l’enjeu de la sécurité informatique pour une PME

Un système d’information n’est plus, comme dans les années 1980, un système déconnecté du monde, que l’on posait dans l’entreprise, et qui tournait. Ce système demandait de l’entretien technique, mais il n’était pas exposé.

Aujourd’hui ? Portable, smartphone, tablette, montre, réfrigérateur, aspirateur, enceinte, téléviseur…TOUT est exposé à l’extérieur, une porte ouverte sur votre réseau, et ça les cyberattaquants le savent très bien.

« Avant que l’on me vise … on est tranquille ! » « Mes salariés sont déjà sensibilisés » «J’ai déjà mis en place un antivirus » « Ce n’est pas notre priorité budgétaire » « J’ai pris une assurance » autant de réponses que l'on entend régulièrement dans la bouche de responsables informatiques, DAF ou chefs d’entreprise.  

Avec l'augmentation des cyberattaques et des violations de données, il est essentiel que ces derniers comprennent les principes de base de la sécurité informatique et prennent des mesures pour protéger leurs entreprises de ces menaces. Cet article vise, pour un non initié, à donner quelques chiffres explicites, expliquer ce qu'est la sécurité informatique, présenter l'Agence nationale de la sécurité des systèmes d'information (ANSSI), mettre en avant les points essentiels du guide d'hygiène informatique. 

Quelques constats : 

1/ Augmentation des cyberattaques : Selon le rapport annuel de la société de sécurité informatique Symantec, le nombre de cyberattaques a augmenté de 56% en 2020 par rapport à l'année précédente. Cela indique une évolution rapide des tactiques utilisées par les cybercriminels pour compromettre les systèmes informatiques. En 2022, Cybermalveillance.fr nous indique que le nombre de visiteurs uniques de leur plateforme (professionnels et particuliers confondus) représente le même volume que les 4 années précédentes réunies, cela nous donne une petite indication quant à l’explosion du marché lucratif de la cybercriminalité (source : cybermalveillance.gouv.fr). Et si l’on reprend comme point 0 le début de la pandémie, on est à +400% d’attaques.  

2/ Coût des cyberattaques : Selon le rapport du Ponemon Institute sur le coût des cyberattaques, le coût moyen d'une violation de données pour une entreprise s'élève à 3,86 millions de dollars en 2020. Cela représente une augmentation de 1,5% par rapport à l'année précédente. 

3/ Ransomware en hausse : Les attaques de ransomware, où les cybercriminels bloquent l'accès aux données d'une entreprise et demandent une rançon pour les débloquer, ont connu une augmentation spectaculaire. Selon le rapport de la société de cybersécurité Sophos, le nombre d'attaques de ransomware a augmenté de 485% en 2020 par rapport à l'année précédente. 

4/ Fraudes en ligne : Les fraudes en ligne sont également en hausse. Selon le rapport d'Experian sur la fraude en ligne, 47% des entreprises ont signalé une augmentation des attaques de fraude en ligne en 2020 par rapport à l'année précédente. Les fraudeurs utilisent diverses techniques, telles que le phishing, l'usurpation d'identité et la fraude aux paiements, pour cibler les entreprises et les particuliers. 

5/ Attaques ciblant les PME : Les PME sont de plus en plus ciblées par les cyberattaques en raison de leurs ressources limitées en matière de sécurité informatique et leur sentiment souvent de ne pas être concernées, ce qui en fait pour les acteurs de la cybercriminalité une cible de choix plus facile à atteindre. Selon le rapport de l'ANSSI, plus de 70% des attaques informatiques en France ciblent les PME. 

Ces chiffres démontrent clairement l'ampleur croissante de la cybercriminalité et soulignent l'importance pour les entreprises de renforcer leur sécurité informatique pour se protéger contre ces menaces. La sensibilisation, l'adoption de bonnes pratiques et l'investissement dans des mesures de sécurité appropriées sont essentiels pour faire face à cette évolution du paysage de la cybercriminalité. Il n’est pas souhaitable de faire de l’alarmisme à tout va, mais simplement de mener une démarche cohérente pour chaque entreprise, différente de sa voisine. 

Comprendre l’enjeu de la sécurité informatique ? 

La sécurité informatique fait référence à l'ensemble des mesures prises pour protéger les systèmes informatiques, les réseaux et les données contre les accès non autorisés, les perturbations ou les dommages intentionnels ou accidentels. Elle vise à garantir la confidentialité, l'intégrité et la disponibilité des informations sensibles. 

Il faut comprendre que la sécurité informatique est contextuelle. Elle dépend de risques qu’il faut identifier, étudier l’exposition actuelle de ces risques et mettre en œuvre des mesures en lien étroit avec un contexte économique, un marché, un environnement. C’est le choix du référentiel. L’artisan travaillant pour le particulier n’a pas d’intérêt sur son marché à se certifier ISO 27002…parce qu’il n’a pas les moyens, d’une part, et aucun intérêt stratégique. Maintenant, un artisan travaillant pour Airbus sur des pièces d’avion a peut-être un marché sur lequel il a tout intérêt à se sécuriser un maximum, et de toute manière son donneur d’ordre lui imposera, en échange d’un revenu correspondant. Même métier, pas le même contexte, pas le même référentiel. Cela permet aussi de décider ce que l’assureur doit couvrir et ce que l’on peut protéger. Nous avons un client local, travaillant avec des majors Américains de l’industrie du divertissement, en train de se certifier ISO 27002. Et pourtant, c’est une petite PME du département de la Charente…Rien n’indique sur le papier les risques qu’il n’encourt ni ses enjeux de sécurité et pourtant…il a jugé que l’investissement énorme dans une certification ISO en vaut la peine. Dans la majorité des cas pour des PME, nous mettons en avant le référentiel du guide d’hygiène de l’ANSSI (voir plus bas), qui est cohérent dans une activité économique. Même si ce référentiel est bien moins contraignant, nous constatons encore aujourd’hui qu’il est loin d’être couvert pour la majorité du marché PME. 

Le risque Zéro n’existe pas, c’est un leurre. L’assureur ne pourra pas vous ramener vos données disparues, l’historique de vos clients, la compta, les factures, vos logiciels de production, votre CRM. Il pourra vous indemniser financièrement (si toutefois vous montrez patte blanche sur votre protection de base !) mais il ne fera pas de miracle sur la survie de votre entreprise. La pensée « je paie une assurance, je suis protégé » n’a pas de sens. Vous vous protègerez sur les risques les plus critiques, l’assureur couvrira le reste financièrement. 

Les outils, les humains : un système d’information est souvent comparé à un système pour Geeks, destiné à n’être manipulé que par des personnes spécialisées. Et pourtant, posez-vous la question du temps que vous passez par jour dans votre job sur un outil informatique, sans être pourtant un technicien avisé. Tout organe recevant et/ou émettant de l’information dans l’entreprise fait partie du système d’information : un fax (quel coup de vieux !) en fait partie et, c’est vrai, l’outil technique envoyant le fax en fait partie aussi. L’émetteur et le récepteur en font partie. C’est pareil pour tous les outils et les personnes qui les manipulent. Un système d’information est bel et bien un système socio technique composé d’outil et d’humains qui agissent dessus. L’humain est donc aussi une faille possible ! 

Le suivi / le SOC : Vous pouvez avoir l’auto la plus puissante du monde, si le pilote n’est pas à niveau vous n’en ferez rien. Dans la sécurité informatique, vous pouvez vous doter des meilleurs outils les plus chers du marché (Darktrace & Co.), si vous ne suivez pas les nouvelles failles et l’écart de votre système de sécurité par rapport à vos risques identifiés, l’investissement dans l’outil n’a aucun sens. La sécurité demande un suivi permanent ou du moins régulier. On parle là de systèmes plus poussés, mais le SOC (Security Operations Center) sert aussi à mener une politique permanente, c’est l’administration de la sécurité. 

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) 

En France, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) est l'autorité chargée de la défense et de la protection des systèmes d'information. Elle joue un rôle crucial dans la sensibilisation et l'accompagnement des entreprises dans le domaine de la sécurité informatique. L'ANSSI développe et publie des recommandations et des guides pratiques pour aider les organisations à renforcer leur sécurité informatique. Ce référentiel « guide d’hygiène » récence les bases techniques et organisationnelles de la sécurité. 

Les points essentiels du guide d'hygiène informatique de l'ANSSI 

L'ANSSI a élaboré un guide d'hygiène informatique qui propose des bonnes pratiques de sécurité à suivre et il s’agit déjà d’un référentiel de confiance qui d’ailleurs n’est pas si aisé de compléter à 100% (voir plus haut). Ce guide est accessible à tous ici https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

Voici quelques points clés : 

Gestion des mots de passe : Utilisez des mots de passe forts et uniques pour chaque compte. Évitez de les partager et changez-les régulièrement. Un gestionnaire de mot de passe peut vous aider. 

Soyez toujours à jour ! : Installez les mises à jour de sécurité pour votre système d'exploitation, vos logiciels et vos applications afin de corriger les vulnérabilités connues. Je vous invite à aller voir le site du CERT ne serait-ce que pour vous rendre compte du nombre de failles recensées tous les jours (https://www.cert.ssi.gouv.fr/)  

Protection contre les logiciels malveillants : Utilisez un logiciel antivirus et antimalware fiable et maintenez-le à jour. Analysez régulièrement vos systèmes pour détecter et supprimer les programmes malveillants. 

Sécurité des accès : Limitez les privilèges d'accès et utilisez l'authentification à deux facteurs lorsque cela est possible pour renforcer la sécurité des comptes. 

Sauvegarde des données : Effectuez régulièrement des sauvegardes de toutes les données essentielles. Vérifiez la validité et l'intégrité des sauvegardes pour vous assurer qu'elles peuvent être restaurées en cas de besoin. 

Sensibilisation des utilisateurs : Formez et sensibilisez vos employés aux bonnes pratiques de sécurité informatique. Apprenez-leur à reconnaître les menaces potentielles telles que le phishing et les attaques par ingénierie sociale. 

En conclusion 

Le besoin en sécurité informatique est devenu un sujet d’état, et le climat géopolitique depuis 1 an et demi n’a pas arrangé ce constat. Ce sont réellement des armées d’informaticiens qui envoient depuis les pays de l’est, la Russie, la Chine, les États-Unis et l'Europe des attaques, des contre-attaques quotidiennes. Cette carte des attaques en temps réel est assez déconcertante sur le sujet : https://threatmap.checkpoint.com/ 

Alors, que faire ? 

Il n’y a pas de règle unique en matière de sécurité des systèmes d’informations. Chaque cas est différent et on ne traite pas de la même manière la sécurité en environnement artisanal TPE qu’en environnement contraignant dans une ETI. Notre démarche, simple à comprendre est pourtant essentielle pour accompagner nos clients dans cet enjeu récent : 

• Audit des risques de l’entreprise (Méthode Ebios Risk Manager par exemple) 
• Définition d’un référentiel 
• Audit du système d’information et mise en exergue des écarts de sécurité dans le référentiel choisi 
• Définition des objectifs 
• Accompagnement dans l’atteinte des objectifs 
• Suivi, alerte et assistance sur les failles de sécurité 

_____

N'hésitez pas à faire appel à nos experts pour toute interrogation sur le sujet de la cybersécurité !

Référencés sur le site de cybermalveillance.fr nous vous accompagnons pour réaliser de la prévention, auditer votre système, mais aussi pour intervenir en cas de cyberattaque.