Cybercriminalité : les bases pour se protéger

Vos 4 étapes incontournables :

1ère étape : agir sur le “ maillon faible ” humain

"Près d'un incident sur deux ^(…) est imputable au facteur humain ” comme en a témoigné un chef d'entreprise à la table-ronde organisée par la Délégation aux entreprises le 25 mars 2021. Le rapport de février 2022 du Sénat l’explique en partie par un manque de cyberculture y compris du côté des jeunes générations : “ 82 % des répondants ignorent ce qu'est un pare-feu, 76 % indiquent ne pas connaître ce qu'est un malware, 73 % ne comprennent pas le terme VPN et 71 % n'arrivent pas à définir le terme HTML. Toutefois, ils connaissent les notions de virus (65 %), cookies (65 %) et bande passante (49 %) ”.

Pour éviter cette situation, vos collaborateurs doivent être sensibilisés et formés aux menaces pour avoir les réactions adaptées : adopter des mots de passe forts, réfléchir à la provenance d’une pièce jointe, vérifier que le protocole HTTPS soit notifié dans la barre d’adresse du navigateur web. Tous ces bons réflexes s’apprennent et l’entreprise peut/doit y contribuer.

Vous pouvez vous appuyer sur certains sites : celui du ministère de l'économie ou celui de la cybermalveillance, crée par l’ANSSi et le ministère de l’intérieur, et où vous pouvez retrouver de nombreux conseils, formations ou guides actualisés que l’on peut facilement consulter, comme celui sur les rançongiciels, “ attaque par rançongiciels, tous concernés ” ou le guide cybersécurité à destination des TPE/PME de la banque publique d’investissement Bpifrance.

N’hésitez pas à les transmettre à vos salariés.

Une sensibilisation obligatoire : NIS et RGPD

Avec l’apparition de ces deux textes européens, la Directive NIS et le RGPD, toutes les entreprises, y compris les plus petites et les plus éloignées de l’informatique, ont désormais une obligation de sécurité informatique. Elles doivent alors “gérer les risques qui menacent la sécurité des réseaux et des systèmes “ (article 14 directive NIS), “ garantir les droits et libertés de la personne concernée “ (article 5 RGPD) ou encore “ garantir un niveau de sécurité adapté au risque (…) et assurer la sécurité du traitement “ (article 32 RGPD). Ne pas respecter ces obligations pouvant être sanctionées d’amendes voire de prison.

Pour rappel : vous devez sensibiliser tout votre personnel à la cybersécurité et en avoir une trace écrite. Vous devez avoir une procédure de “ privacy by design ”. Toute relation avec un salarié ou un client doit comprendre un contrat signé avec des clauses garantissant la sécurité des données. De nombreux secteurs sont concernés : les juristes, les achats, les opérationnels, la DG, la DSI, le RSSI et même la comptabilité… Obligation d’effectuer des audits réguliers avec trace écrite pour vos clients et autorités compétentes.

Il faut donc, obligation légale ou non, prendre très au sérieux cette étape car elle est aussi de plus en plus réclamée par vos clients.

Compliance exigée et ISO/IEC 27001 et 27110

Inspiré des normes anglo-saxonnes et critère de notation financière de certaines agences comme Moody's mais surtout exigé par les assurances, un cahier des charges précis sur la cybersécurité est désormais demandé par vos clients. Se faisant, vous êtes responsable de la sécurité numérique des données sensibles confiées par vos clients qui peuvent se retourner contre vous en justice si vous êtes défaillant sur vos engagements. Ainsi, on observe le niveau de cybersécurité de toutes les entreprises se développer tout en répondant aux attentes de leurs clients créant ainsi un cercle vertueux bénéficiaire pour chacune des parties.

Une des solutions adoptées par les entreprises est l’obtention de la certification ISO/IEC 27001 délivré par des organismes accrédités, comme le COFRAC. Véritable démarche de mise en conformité, le processus pour y parvenir est parfois long et nécessite certains investissements pour aboutir à la compliance souhaitée.

La norme ISO 27001 atteste de la mise en place d’un système de management de la sécurité de l’information (SMSI). Ce “ SMSI : Système de Management de la Sécurité de l’Information (…) regroupe les systèmes d’informations, les processus et les personnes qui sont concernées par les mesures de protection “ . Ensuite, “ l'ISO/IEC 27001 énumère un ensemble de points de contrôles à respecter pour s'assurer de la pertinence du SMSI, permettre de l'exploiter et de le faire évoluer”. L’objectif étant de “ protéger les fonctions et informations de toute perte, vol ou altération, et les systèmes informatiques de toute intrusion et sinistre informatique “ .

Selon un rapport du Sénat de février 2O22 : “l'ISO/IEC 27001 (…) vient d'être récemment complétée, en février 2021, par la spécification technique ISO/IEC TS 27110, “ Sécurité de l'information, cybersécurité et protection de la vie privée - Lignes directrices relatives à l'élaboration d'un cadre en matière de cybersécurité “, élaborée en collaboration avec la Commission électrotechnique internationale (IEC), pour " créer, ou perfectionner, un système de protection robuste contre les cyber-attaques “. Ces référentiels privés permettent donc à vos entreprises d'obtenir une certification publique de cybersécurité rassurante pour vos clients.

Source : What is ISO 27001? | Groupe CIS

2ème étape : identifier et combler les vulnérabilités et failles techniques du réseau

Avec la crise du Covid, de nombreuses entreprises ont choisi le cloud pour recevoir et protéger leurs données sensibles tout en passant au travail à distance. Si certaines entreprises ont pu fournir équipements et cybersécurité, dans certains cas ce sont les salariés en télétravail qui y ont accédé avec leurs équipements ou matériels privés : le “BYOD” (bring your own device). Mine d’or pour les pirates, ces appareils peu ou pas sécurisés offrent de nombreuses possibilités de faille pour pénétrer tout réseau protégé.

Il est donc essentiel de vérifier que chaque point d’entrée au réseau (postes de travail, mobiles, ordinateurs portables ou non, smartphone, tablette, etc.) soit protégé par des solutions générales et incontournables (un antivirus, un antimalware et un pare-feu) et d’autres plus élaborées (chiffrement du smartphone, authentification renforcée, Wi-Fi sécurisé, renforcement des postes de contrôle, sécurité embarquée...)  

Un des réflexes à envisager est alors de bien dissocier la protection du site de travail (équipement et réseau) de celle des travailleurs externes au site, dissocier le “site to site” du “client to site”. Entre le parc de matériel fourni par l’entreprise et formaté au niveau sécurité qui est souvent considéré comme bien protégé et les intervenants externes ou à domicile qui utilisent leur propre matériel, il faut alors baliser et adopter certains outils de cybersécurité comme le VPN ou la MFA(authentification multi facteurs) 

Le VPN (Virtual Private Network) ou “ réseau privé virtuel “ a pour but d’intégrer un client dans un réseau privé depuis une connexion distante, permettant à l’utilisateur d’accéder à des services qui ne sont accessibles qu’aux équipements présents dans le réseau privé. C’est donc “ un service grâce auquel vous pouvez accéder à Internet de manière sécurisée ” . “ La connexion à un serveur VPN va (…) avoir pour conséquence de cacher votre adresse IP et de la changer au profit de celle du serveur (…) qui se place comme un intermédiaire. Ainsi, le site web que vous consultez ne connaitra donc pas votre adresse IP d’origine et votre anonymat sera respecté ” .

L’utilisation d’un VPN sécurisé peut vous permettre de chiffrer vos données pour les protéger. On parle alors de processus de “tunneling” (via différents protocoles comme OpenVPN, IPSec, WireGuard, L2TP, IKEv2…). Tout en utilisant votre fournisseur d’accès à Internet, votre trafic passera dans un tunnel protégé où nul ne peut plus alors lire ou espionner vos activités sur Internet, sauf votre fournisseur VPN.
L’utilisation d’un VPN sécurisé ( avec chiffrement et DNS, etc.) est recommandée lorsque vous utilisez un réseau Wi-Fi public qui a souvent un niveau de sécurité faible. 

Source : Que peut faire un VPN pour assurer votre cybersécurité ? | Le VPN

En plus du VPN, il est recommandé d'adopter la MFA : L'authentification à deux facteurs

En effet, les identifiants de connexion (identifiant de compte et mot de passe) sont les premières cibles des hackers. Munis de ces informations, ils peuvent tenter de pirater vos comptes et voler vos données bancaires ou sensibles voire tenter d’usurper votre identité. Vous devrez donc renforcer la sécurité de ces données en utilisant une authentification forte, dite MFA.

Définition : 

Parfois désignée par le sigle “ 2FA “ (pour l’anglais “ 2-factor authentication “ , authentification à deux facteurs), ou “ validation en deux étapes “ mais aussi “ MFA “ (pour l’anglais “ multi-factor authentication “ , l’authentification multi-facteurs), “ l’authentification multi-facteurs (MFA), ou authentification forte, est un processus (…) de vérification pour prouver l’identité d’un utilisateur. Le plus souvent, cela implique de se connecter à un réseau, une application ou une autre ressource sans se contenter d’une simple combinaison ID + mot de passe “ . Exemples : un code temporaire envoyé par SMS, un lien d’authentification, une question de sécurité ou la reconnaissance de la voix.

L’utilisation de l’authentification multi-facteurs rend ainsi plus ardu le piratage de vos comptes. Même muni de votre identifiant et d’un mot de passe, le pirate trouvera encore un obstacle devant lui pour accéder à votre compte : le second facteur d’authentification.

À savoir : de nombreuses entreprises, dont les banques, imposent à leurs clients ce mécanisme d’authentification. Peu surprenant, puisqu’il s’agit d’une mesure obligatoire liée à la directive DSP2 (2019) pour les banques et les prestataires de services de paiement et pour la plupart des paiements à distance, l’accès au compte ainsi que les opérations sensibles (ajout de bénéficiaire de virements, commande de chéquier, changement d’adresse, etc.).

Attention, l’authentification multi-facteurs n’est pas sans failles : un pirate peut réussir à intercepter les SMS contenant vos codes d’authentification comme avec les attaques de type “ SIM SWAPPING ” (ou “ remplacement de carte SIM “ en français). Cependant, en comparaison avec la simple authentification, la MFA réduit fortement le risque de fuite ou de réutilisation de données sensibles par rapport à une authentification simple.

Cette mesure de cybersécurité doit donc être systématique que l’on soit consommateurs ou entreprises. Les entreprises qui ont revu massivement leurs dispositifs de sécurité depuis la pandémie et la croissance du travail à distance ne s’y sont pas trompées : 63% d’entre elles ont généralisé le recours à l’authentification multi-facteurs (MFA).

3ème étape : les bons réflexes concernant les mails

Vérifiez bien l’adresse de l'expéditeur. S’agit-il d’une adresse réelle ? Ou le mail d’un ami ? 

Sa demande vous paraît surprenante ? Contactez-le via un autre moyen pour vérifier s’il est à l’origine de celle-ci. 

Méfiez-vous des mails qui demandent vos données personnelles. Aucun organisme officiel ne vous demandera des données sensibles comme mot de passe ou code de carte bancaire.

Il ne faut, en aucun cas, cliquer sur un mail douteux ni sur ses pièces jointes ou ni sur des liens envoyées par des inconnus.

Parfois ces mails sont remplis de fautes d’orthographe, d’erreurs de ponctuation voire d’injonctions menaçantes sur vos comptes ou vous accusant d’actes illégaux, n’ayez qu’une seule réponse : envoyez-les directement dans vos spams ! 

S’agit-il de votre compte professionnel ? Alors, signalez-le à votre SI ou RSSI qui se chargeront de faire les vérifications nécessaires. 

Certaines entreprises vous proposent même un programme d’entrainement pour vos salariés : 4 entreprises sur 10 ont recours à des programmes d’entrainement à la crise cyber, et 47% déclarent que c’est en projet.

4ème étape : effectuer les mises à jour et sauvegardes nécessaires 

Les programmes auxquels l’utilisateur a recours sont sujets à des mises à jour régulières permettant de résoudre les failles de sécurité découvertes. Sans ces mises à jour, les pirates ne se privent pas de cibler ceux qui les auraient “ oubliés ”. Assurez-vous donc que système d’exploitation, logiciels et antivirus soient bien à jour si vous ne voulez pas être victime d’une mauvaise surprise.

De même, effectuez des sauvegardes régulières de vos données sensibles sur un cloud sécurisé ou un serveur non relié au reste du réseau. Ce “ back up ” est la garantie de pouvoir tout redémarrer en cas de blocage par cyberattaque. Les spécialistes, tout comme le ministère de l'économie et des finances, évoquent “ la règle du 3-2-1 “ : vous devez prévoir et disposer de 3 copies des données (l’original et deux copies). Il vous faut ensuite les stocker à 2 endroits physiques différents. Et enfin, il vous faudra en conserver une “ off line “, c’est-à-dire non accessible via le réseau, ce qui exclut nombres de solutions cloud.

Source : https://www.monde-proprete.com/sites/default/files/sauvegardes.pdf

Avec ces quelques recommandations et conseils, vous avez déjà l’assurance d’une vigilance et protection à minima pour votre entreprise et vos salariés. Mais gardons nous de croire être parvenu au niveau maximal de cybersécurité. En réalité, les pirates évoluent à toute vitesse dans leurs approches et déjouent de plus en plus rapidement les antivirus ou modes de protections classiques. Le cyberpiratage pousse ainsi la cyberprotection dans ses limites et provoque l’arrivée de nouvelles solutions pour toujours plus de protection. Ce sont ces nouvelles tendances de cyberprotection que nous vous proposons de découvrir dans notre prochain article.