5 conseils pour protéger votre PME des cyber attaques via des pièces jointes et liens piégés

 

Vous recevez un message contenant une pièce jointe à télécharger ou un lien sur lequel cliquer. Méfiance ! en apparence inoffensifs, ces éléments peuvent déclencher de vastes dégâts : ainsi le fichier photo montrant la main d'un nourrisson entourée d'un bracelet "Je suis Charlie" libère un virus aux effets dévastateurs. Quant au journal Le Monde, l'attaque du 18 janvier 2015 a commencé suite à l'ouverture d'un email contenant un lien piégé...

 

1. Ne croyez pas que votre PME n'est pas une cible intéressante pour les hackers

Les PME traditionnelles, qui ne gèrent pas d'informations confidentielles, se sentent généralement à l'abri de telles cyber attaques. C'est une erreur, dans la mesure où bon nombre d'attaques, en particulier par des pièces jointes ou des liens piégés, frappent au hasard et ne ciblent pas intentionnellement votre entreprise. De même, l'ordinateur familial peut être victime de ces cyber attaques à l'aveugle, et vous exposer à des risques si vous l'utilisez ponctuellement pour vous connecter sur le réseau de votre entreprise.

Les préjudices que pourrait subir votre entreprise sont nombreux : par exemple, la destruction ou le vol de données (documents confidentiels, contacts clients, coordonnées bancaires, codes et identifiants...), ou le blocage complet de l'ordinateur.

Ce dernier cas connait une forte progression en France, selon les analyses de Trend Micro, et sont souvent imputables à Cryptlocker. Ce virus spécifique à Windows crypte votre disque dur, ce qui vous empêche d'en lire le contenu : si vous payez une rançon, les pirates prétendent qu'ils vous donneront le code permettant de le décrypter. Mais rien ne le garantit...

Plus généralement, n'oubliez pas que le dirigeant d'entreprise est responsable juridiquement : il doit protéger correctement les données personnelles de ses clients, ainsi que ses secrets de fabrication et autres données stratégiques afin d'assurer la continuité de son activité.

Et pour en revenir aux pièces jointes et autres liens cliquables piégés, ils peuvent aussi cacher un vecteur d'attaque d'une grande entreprise, cyber attaque effectuée par l'intermédiaire d'une PME sous-traitante négligente. Cette grande entreprise pourra ultérieurement incriminer son fournisseur au titre de la responsabilité civile d'exploitation. En matière de sécurité informatique, les obligations légales se mettent en place et le laxisme est désormais réprimé.

2. Avant toute chose, mettez vos logiciels à jour et sauvegardez vos données

Si vos logiciels sont à jour, les risques d'incident seront grandement diminués. Assurez-vous que vous disposez des dernières mises à jour de votre système d'exploitation (Windows ou Mac OS), de votre navigateur, de votre messagerie, de votre CMS (si vous en disposez), et de vos logiciels de sécurité (notamment antivirus, firewall, anti-spyware, etc.), mais aussi de certains add-on (java ou Adobe Flash, etc.). Attention toutefois : les risques évoqués seront grandement diminués grâce à ces mises à jour, mais pas supprimés !

Et bien sûr, ce conseil va avec son corollaire : faites des sauvegardes de données et d'applications régulières.

Mais si vos données sont particulièrement précieuses ou sensibles, ne pensez pas que les sauvegardes soient une protection suffisante : n'hésitez pas à faire faire un audit de sécurité régulier. Un expert, mobilisable en cas de crise et connaissant déjà votre structure, peut vous être utile. Il permettra d'éviter des situations hautement préjudiciables à votre entreprise ou à votre réputation auprès de vos fournisseurs et clients.

 

3. Ne faites pas une confiance aveugle à un interlocuteur... que vous croyez connaître

Sans verser dans la paranoïa, il est recommandé de rester vigilant et à l'écoute de ses intuitions. En pratique, il ne faut pas faire une confiance aveugle au message d'un de vos interlocuteurs habituels - ou plutôt à quelqu'un qui se présente comme tel. En effet, rien ne vous garantit que l'email que vous venez de recevoir - et qui prétend provenir d'un organisme de confiance comme une banque ou l'un de vos fournisseurs - émane véritablement de cet interlocuteur. Cet email provient peut-être d'une personne mal intentionnée, qui a usurpé cette identité (après avoir piraté la liste de contacts d'un de vos interlocuteurs).

La première règle est donc de ne pas cliquer trop vite sur un lien ou sur une pièce jointe à télécharger (document, application, etc.). Commencez par examiner la forme du message d'invite : certains documents "officiels" comportent de nombreuses fautes d'orthographe, de mise en page, ou des tournures de phrase maladroites qui révèlent leur origine : généralement, une mafia étrangère.

Tenez compte également de la vraisemblance de la proposition ou de la demande qui vous est faite. En règle générale, toutes les propositions de gain d'argent (suite à une loterie, un héritage, etc.) sont piégeuses. Et les demandes d'informations confidentielles également (codes d'accès, procédure de réinscription ou de vérification de vos coordonnées, signature numérisée, etc.). Ces messages s'accompagnent souvent d'une proposition d'action : téléchargement d'une pièce jointe ou un simple clic sur un lien.

Au moindre doute, sollicitez l'avis d'une personne de confiance dans votre entourage, ou entrez en relation directe avec votre interlocuteur (par téléphone ou SMS), afin de vous assurer de son identité et de la légitimité de sa demande.

 

4. Liens cliquables : identifiez-les pour déjouer les cyber attaques des hackers

Tel site ou interlocuteur vous invite à cliquer sur un lien : attention, ce simple clic peut lancer votre navigateur et vous relier à un site Internet « piège ». Ensuite, le simple fait de consulter la page web correspondante pourra déclencher une action malveillante, parfois indétectable à court terme sur votre ordinateur.

Si vous avez des raisons de douter, ne prenez pas de risques inutiles et souvenez-vous que, parfois, un lien peut en cacher un autre ! Par exemple, un lien qui s'affiche dans un email sous la forme impots.gouv.fr masque peut-être un autre lien, qui dirige vers un site piégé par un hacker et situé hors de France. Pour le savoir, effectuez l'une des opérations suivantes :

- ne cliquez pas sur le lien mais copiez-le dans la barre d'adresse de votre navigateur. Vous êtes ainsi certain d'aller sur le lien tel qu'il est affiché (le lien caché ne sera pas recopié),

- si votre logiciel dispose de cette option : survolez le lien sans cliquer dessus et vous verrez s'afficher une petite "bulle d'information" qui fera apparaître le lien effectif. S'il est différent du lien affiché, il y a probablement un piège.

 

5. Applis mobiles : assurez-vous que cette mise à jour est proposée par le vrai éditeur

Les smartphones et tablettes ne sont pas à l'abri des cyber attaques, au contraire, celles-ci ayant tendance à se multiplier. Pour vous en protéger, prenez garde aux applis payantes qui vous sont proposées gratuitement ou à bas prix. Certaines mises à jour peuvent également vous être proposées. Là encore, tenez compte de la présentation du message ou du site (nombreuses fautes d'orthographe, etc.).

En effet, une fois téléchargées et installées, ces applis vont chercher à utiliser votre smartphone ou tablette pour déclencher des actions malveillantes (concernant vos données ou celles de vos contacts téléphoniques ou de messagerie). Vos contacts recevront, par exemple, un message émanant en apparence de vous, ce qui les mettra en confiance...

Il peut aussi arriver que les smartphones infectés appellent des numéros spéciaux qui vous seront facturés. Le vol de données (contacts, login, mots de passe, coordonnées bancaires...) sont une autre conséquence fréquente de ces cyber attaques.

Pour éviter ces problèmes, la précaution de base consiste à télécharger vos applis sur une plateforme officielle (Apple ou Android) et non sur des sites inconnus. Sur ces plateformes, le risque n'est pas nul, mais il est bien moindre.