Comment aborder la sécurité informatique dans votre PME ?

La prise de conscience des enjeux de sécurité informatique pour votre PME

 

Si la menace est réelle, il ne faut pas paniquer pour autant ! Évaluer les enjeux, adopter quelques bons réflexes et s’assurer d’utiliser les bons outils suffiront à réduire considérablement les risques. En matière de sécurité informatique, il n’y a pas un seul type de menace, mais une multitude. La difficulté pour vous, c’est de faire la différence entre les cas spectaculaires dont les médias se font régulièrement l’écho et les menaces réelles qui pèsent sur votre entreprise. Pour faire simple, celles-ci sont de 3 ordres :

 

• Atteinte à l’intégrité des données de votre entreprise,

• Risques d’exploitation par des tiers de vos ressources informatiques à votre insu pour des activités illicites ou criminelles,

• La tromperie des utilisateurs.

 

Atteinte à l’intégrité des données de votre entreprise

 

Quelle que soit votre activité, vous traitez chaque jour des données qui peuvent intéresser les hackers. Votre entreprise est une cible potentielle pour les pirates informatiques. Vos bons de commandes, vos factures, votre fichier client… recèlent d’informations intéressantes pour eux : adresses e-mail, comptes bancaires etc. Tout est bon à prendre, ces informations peuvent être ensuite utilisées ou revendues à des fins illicites. Vous risquez ainsi de perdre des données essentielles pour votre activité. Ou encore, ces données confidentielles risquent de se retrouver dans la nature, avec deux dommages possibles : la fuite d’informations stratégiques pouvant être utilisées par la concurrence et la divulgation de données confidentielles de tiers (vos clients, vos salariés), engageant la responsabilité juridique de votre entreprise.

 

Récemment, plusieurs entreprises ou salariés ont été victimes d’une nouvelle forme d’extorsion de fonds. Citons le cas de cette entreprise dont les salariés avaient pour habitude de jouer sur des sites de jeu en ligne lors de leur pause déjeuner. Une activité anodine et sans conséquence en apparence. Pourtant, certains hackers savent exploiter les failles de sécurité de certains navigateurs Internet, ce qui leur permet d’introduire des logiciels malveillants – appelés également « malware » - dans l’ordinateur de l’internaute, qui permettent aux pirates d’en prendre le contrôle à distance. Un matin, un des collaborateurs de l’entreprise a eu une très mauvaise surprise en allumant son poste de travail. Celui-ci avait été verrouillé par les pirates et affichait un message réclamant quelques centaines d’euros en échange du code de déverrouillage. Pris de panique, le salarié a préféré payer la somme, plutôt que d’en informer son patron et de risquer une sanction. Mais quelques temps plus tard, ce sont plusieurs ordinateurs de la même entreprise qui ont subi le même chantage, avec cette fois l’exigence de sommes bien plus importantes. Avertis cette fois de la situation, les dirigeants de l’entreprise ont porté plainte, mais n’ont pas eu d’autre choix que de payer les sommes demandées, car ils ne disposaient pas de sauvegarde des disques durs concernés pour continuer à travailler. Même si l’entreprise porte plainte, il est important de savoir qu’il est très difficile et très long pour les services spécialisés de la police et de la gendarmerie de remonter jusqu’à ces cybercriminels qui appartiennent désormais à des réseaux organisés.

 

Les ordinateurs de votre entreprise utilisés à votre insu.

 

Il y a peu, un micro entrepreneur français qui éditait un site de vente en ligne d’accessoires pour téléphone mobile a reçu un e-mail de son hébergeur l’informant qu’il faisait l’objet d’une enquête aux États-unis de la part du FBI pour fraude à la carte de crédit. Très surpris, et sûr de son honnêteté, il contacte la banque qui lui fournit la solution de paiement en ligne, mais celle-ci n’est au courant de rien. Il se résout donc à prendre contact avec les autorités américaines pour faire valoir sa bonne foi. Après enquête auprès de son hébergeur, il s’est avéré que plusieurs serveurs hébergés chez ce prestataire, dont le sien, avaient été infestés par un virus et servaient, à son insu, à l’hébergement de données de cartes bancaires. Heureusement, l’affaire s’est arrêtée là pour lui, la responsabilité de l’incident incombant à l’hébergeur en charge de l’infogérance des serveurs. Mais notre entrepreneur français avait néanmoins commis une négligence. En effet, attiré par une offre d’hébergement au prix défiant toute concurrence, il avait choisi un prestataire « low cost » basé en Malaisie. Suite à cet incident, il a donc décidé de rapatrier son site en France.

 

Ce type d’attaque est plus fréquent qu’on ne le croit et concerne aussi les ordinateurs individuels utilisés par les particuliers, comme par les entreprises. Les cybercriminels introduisent pour cela un logiciel malveillant dans les ordinateurs ciblés, au moyen d’une faille de sécurité dans un logiciel ou simplement en pièce jointe d’un e-mail. L’ordinateur visé devient alors un « bot », c’est-à-dire un ordinateur pouvant être contrôlé à distance. Ensuite, ce logiciel se propage vers d’autres ordinateurs grâce au carnet d’adresse de messagerie ou même via les réseaux sociaux. L’ensemble constitue alors un « botnet », c’est à dire un réseau d’ordinateurs qui peuvent à tout moment obéir au doigt et à l’œil du pirate, telle une armée de « zombies » (autre nom donné aux « bots », sans que leurs propriétaires ne s’en aperçoivent. Les PME constituent un environnement idéal pour la mise en place d’un « botnet » : elles sont constituées d’un nombre plus ou moins important d’ordinateurs en réseau, n’ont souvent pas de service informatique chargé de la sécurité du réseau et les collaborateurs partent souvent le soir en laissant leur poste de travail allumé, ce qui le rend disponible la nuit. Cela crée une situation dans laquelle les ressources informatiques légitimes de l’entreprise font le travail des cybercriminels : envoi de spams, vol et stockage de données illicites et même attaque vers d’autres ordinateurs ou serveurs via internet. En outre, l’individu qui crée le « botnet » n’est généralement pas celui qui l’utilise. Il peut gagner beaucoup d’argent en le vendant au plus offrant ou en louant l’utilisation de son réseau de « zombies » à des groupes mafieux.

 

La tromperie des utilisateurs

 

Confrontés à des solutions logicielles de défense contre les menaces informatiques, les cybercriminels exploitent aussi d’autres failles liées au comportement des utilisateurs. Ils tentent alors de manipuler ces derniers en les incitant par exemple à installer eux-mêmes un logiciel, à communiquer des informations telles que mot de passe, numéro de carte bancaire, etc. Cette technique porte le nom de « fishing » ou hameçonnage. Au départ, elle s’appuyait sur la naïveté des individus : ceux-ci étaient invités à fournir des informations pour pouvoir recevoir le gros lot émanant d’une loterie à laquelle ils n’avaient pourtant pas joué ou encore pour aider la veuve d’un ancien dignitaire africain à rapatrier en France les fonds d’un important héritage, moyennant une commission substantielle. Mais depuis quelques années, les cybercriminels ont accompli de gros progrès en matière de « fishing ». Les messages incitatifs semblent désormais émaner d’émetteurs de confiance (Trésor Public, banques, opérateurs télécom, fournisseurs d’énergie…) ou prennent la forme de message système de l’ordinateur invitant l’utilisateur à télécharger une mise à jour ou un plug-in de navigateur.

 

Quelques bons réflexes pour se prémunir

 

D'après une étude diligentée par G Data Software, 20 % seulement des chefs d'entreprise reconnaissent avoir un bon niveau de connaissances en matière de sécurité informatique. Voici donc quelques mesures simples à mettre en œuvre pour réduire les risques au sein de votre entreprise.

 

1. S’assurer que tous les postes informatiques de l’entreprise sont bien équipés d’une solution logicielle anti-virus complète incluant également la protection de la messagerie électronique et de la navigation Internet. Ce logiciel doit être actualisé dès la mise à jour de l’éditeur : pour cela il est préférable de privilégier la mise à jour automatique ;
2. Installer et régler un pare-feu au niveau du réseau (les box Internet sont équipées de fonctionnalités de pare-feu dont vous vérifierez les paramètres) et des postes de travail. Il conviendra au moins de filtrer les sites potentiellement dangereux (sites de jeux en ligne, sites à caractère pornographique, sites de téléchargement, ainsi que les sites « peer to peer ») ;
3. Veiller à ce que le système d’exploitation et l’ensemble des logiciels installés sur les postes soient régulièrement mis à jour pour s’assurer qu’ils bénéficient bien des derniers correctifs de sécurité. Vous pouvez aussi simplifier cette démarche en optant pour l’utilisation d’applications hébergées dans le cloud ;
4. Harmoniser votre parc informatique : il est plus facile d’assurer une sécurité efficace sur un réseau composé de postes de travail fonctionnant sur le même système d’exploitation (OS) ;
5. Procéder à des sauvegardes quotidiennes ou en temps réel. Pour cela, le cloud présente une solution pratique et sécuritaire : vous pouvez même coupler les sauvegarde en local et sur un serveur distant dans le cloud ;
6. Sensibiliser vos collaborateurs aux différentes menaces informatiques. Pour cela, vous pouvez utiliser un module d’autoformation en ligne portant sur les bases de la sécurité informatiques pour les salariés de PME.

 

Enfin, selon la taille de votre entreprise ou votre évaluation des risques encourus, vous pouvez déléguer la gestion de la sécurité de votre parc informatique à un prestataire spécialisé qui pourra réaliser un audit de sécurité et assurer la maintenance de votre réseau à distance.