Comment protéger son entreprise contre les cyber-attaques ?

Publié le 01/03/2021 09:30 | Mis à jour le 30/08/2023 15:14

Face à la recrudescence de la menace cyber, votre entreprise est potentiellement une cible pour les pirates informatiques. En effet, les cyber-attaques concernent toutes les entreprises, quels que soient leur domaine d’activité et leur taille. Une étude de SystemX démontre même que plus de 1% des PME ou associations de moins de 50 employés sont victimes chaque année d’attaques réussies par rançongiciels (ransomwares). Si le pourcentage semble faible, cela représente tout de même plus de 38 000 sociétés touchées par an.

Notre dernier Breakfast & Learn, organisé en partenariat avec GM Consultant, fut l’occasion de revenir sur la menace cyber autour de la question « Entrepreneurs, pourquoi et comment protéger votre activité d’une cyber-attaque ? ».

Qui est concerné par les cyber-attaques ?

De nombreux signes peuvent vous alerter sur le début d’une cyber-attaque : écrans noirs, inaccessibilité des serveurs, antivirus désactivés… Les chiffres parlent d’eux-mêmes. Les cyber-attaques représentent un business très lucratif et en pleine expansion, ne touchant pas uniquement les grosses entreprises :

  • 42% des internautes français ont été visés par des comportements cybercriminels, pour un préjudice total de 6,1 milliards d’euros en 2018.
  • Les PME ont été la cible de 77% des cyber-attaques en 2018, selon une étude menée par Symantec.
  • 57% des attaques par ransomware (demande de rançon) ont visé des entreprises de moins de 250 salariés, toujours selon Symantec.

Qu’importe leur taille, la plupart des entreprises ne sont pas protégées contre les menaces cyber. Le baromètre Orange Cyberdéfense publié en janvier 2018 montre que 79% des entreprises de moins de 250 salariés et 60% des entreprises de plus de 250 salariés ne sont pas assurées contre les conséquences de potentielles cyber-attaques.

Quels sont les types de cyber-attaques les plus fréquents ?

On identifie aujourd’hui deux types de cyber-attaques. La première est l’attaque ciblée. Le pirate commence par élaborer une cartographie des informations relatives à une entreprise ou un individu en particulier. Des numéros de téléphone ou des adresses e-mails accessibles sur internet peuvent par exemple en faire partie. Il teste alors le système informatique de sa cible, afin de déterminer si celui-ci présente des failles de sécurité.

Mais très souvent, attaquer directement le système de l’entreprise ciblée est impossible si celle-ci est bien protégée. Le pirate n’hésitera-pas alors à exploiter les failles humaines, en tentant de soutirer des mots de passe aux collaborateurs de l’entreprise. Pour cela, il utilisera l’usurpation d’identité ou tentera d’exercer sur eux une pression psychologique (en créant par exemple une situation d’urgence).

La plupart du temps, les attaques ciblées se font par e-mail piégé. Une fois que la cible a cliqué sur le mail, le pirate peut alors prendre à distance le contrôle sur l’ordinateur de sa victime.

Le deuxième type d’attaque très fréquent est l’attaque opportuniste. Celle-ci n’est pas dirigée directement vers un individu ou une personne en particulier, mais a pour objectif de toucher le plus de cibles possibles. Selon GM Consultant « L'objectif étant d'optimiser son ROI via le phénomène de l'aléatoire. L'attaque opportuniste impacte tous les secteurs et toutes les tailles d'organisations ».

Le pirate cherche à prendre le contrôle de l’ordinateur de ses victimes grâce à un logiciel malveillant (malware), des e-mails piégés, des sites de phishing, des fausses publicités ou des spams sur les réseaux sociaux.

Dans les cas de ransomwares, les pirates cherchent des portes d’accès à distance pour lancer des robots et simuler toutes les combinaisons de mots de passe possibles. Suivant la complexité de vos mots de passe, le piratage peut prendre de quelques secondes à une journée seulement.

Le Groupe GM Consultant s’est basé sur son activité de réponse aux incidents, pour faire émerger les chiffres suivants : « 90% des attaques par Ransomware déclarées sont réalisées via des services mal sécurisés, comme les accès à distance (RDP), et par un spam malveillant. 100% de ces attaques opportunistes auraient pu être évitées ».

Par ailleurs, on distingue également deux types de facteurs pouvant constituer des opportunités d’attaques :

  • Les facteurs humains (phishing et fuite des mots de passe à partir des collaborateurs de l’entreprise),
  • Et les facteurs techniques (site internet pas à jour et accès à distance mal protégés, causant des failles de sécurité).

Pour en savoir plus, consultez le rapport cyber sinistres Hiscox.

Comment se protéger des cyber risques ?

Les experts de GM Consultant expliquent que « Lors d’une cyber-attaque, le premier objectif est de résister assez longtemps pour décourager l’attaquant ». Et selon Guillaume Poupard, Directeur Général de l’Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI), « il faut anticiper pour ne plus subir ».

En sensibilisant vos collaborateurs et vous-même aux bonnes pratiques de protection informatique, vous pourrez éviter qu’une cyber-attaque soit provoquée par une erreur humaine. Vous pouvez consulter le Guide des bonnes pratiques sur l’informatique réalisé par l’ANSSI et la CGPME, ainsi les recommandations de l’ANSSI pour générer des mots de passe forts.

Pour éviter qu’une cyber-attaque soit déclenchée par un facteur technique, GM Consultant recommande :

  • Un état des lieux de votre exposition aux risques cyber,
  • La sécurisation de vos accès à distance,
  • Et une sauvegarde systématique des données de votre entreprise sur un support de stockage déconnecté d’internet.

Le conseil d’Hiscox :

Une cyber-attaque est susceptible d’exposer votre entreprise à une multitude de coûts et pertes. Dès le mois de janvier 2019, Hiscox ajoute à son offre de Responsabilité Civile Professionnelle une option cyber-sécurité, et offrira gratuitement à ses assurés un audit de leur écosystème digital, avec l’outil développé par GM Consultant. Pour protéger vos idées, votre marque, ou d'autres éléments de votre activité (locaux, employés...), d'autres garanties peuvent être ajoutées à votre contrat.