Celui qui a dit « Il n’y a rien de pire qu’une publicité négative » n’aurait jamais pu imaginer les conséquences de l’annonce d’une entreprise déclarant qu’elle s’était fait dérober 30 millions de numéros de cartes de crédit de clients par un groupe de pirates, ou d’une autre, reconnaissant qu’elle avait dû verser plusieurs milliers d’euros de rançon pour éviter de perdre des données numériques vitales !

Les entreprises prennent la cybersécurité plus au sérieux que jamais, mais malgré tous les investissements techniques réalisés, un rapport publié en 2017 par le cabinet d’avocats BakerHostetler démontre qu’il n’existe pas de solution miracle pour résoudre ce problème. Pourquoi ? Parce que l’Homme (et la Femme !) continue à être le maillon faible de la chaîne de cybersécurité.

Une récente étude a montré que 43 % des incidents en entreprise (phishing, piratage et logiciels malveillants) étaient le résultat de menaces introduites sous forme d’e-mail ou résultant d’activités négligentes sur le Web. Par ailleurs, 32 % de ces incidents ont pu être attribués à une action ou à une erreur d’un employé. Et 18 % des incidents se traduisaient par le vol ou la perte d’un équipement ou de données (où avais-tu abandonné ton ordinateur portable ?).

Ces modes d’attaque étant très efficaces, les pirates continuent d’augmenter la fréquence et la complexité des ransomwares (ou rançongiciels), note Simon Arnell, expert Sécurité auprès du CTO de DXC. Dans un article récent, il constate que les rançongiciels sont utilisés comme couverture pour des opérations encore plus frauduleuses. Les rançongiciels permettent également aux pirates de désactiver les points d’accès  et de les utiliser ensuite pour commettre des vols de données plus importants. Une autre forme de rançongiciel, appelée « doxware » (ou logiciel d’extorsion) menace de publier des informations personnelles sensibles ; la seule solution étant le paiement de la rançon exigée.

Les entreprises ont la possibilité de prendre des mesures proactives pour mieux résister à ces types d’attaques, les détecter plus rapidement lorsqu’elles se produisent et minimiser leur impact. La plupart de ces mesures ont un objectif similaire, à savoir améliorer la résilience des systèmes en améliorant la résilience des employés :

  • Faire de la sensibilisation à la cybersécurité une priorité absolue en matière de formation. Si les employés ne sont pas sensibilisés aux menaces, ils ne sauront pas comment éviter et anticiper les incidents. En formant les employés à détecter les indices (qui sautent aux yeux dans la plupart des e-mails frauduleux) et en les testant régulièrement à l’aide d’e-mails de phishing factices, vous pourrez plus facilement identifier ceux qui ont besoin d’une formation complémentaire.
  • Demander aux employés d’éviter de répondre aux e-mails qui sollicitent des informations personnelles (mot de passe, fiche de salaire…). Toute demande de données sensibles doit être confirmée par téléphone ou faire l’objet d’une interaction en personne. L’employé ne doit jamais demander confirmation en répondant à l’e-mail de sollicitation.
  • Le département informatique doit se tenir informé des dernières menaces : il lui suffit pour cela de participer à des programmes de partage d’informations. Pour plus de détails sur ces programmes : www.dhs.gov/topic/cybersecurity-information-sharing.

Les réseaux, les systèmes et les logiciels sont les produits de l’activité humaine et ils sont utilisés par des êtres humains, par nature faillibles : ils présenteront toujours des faiblesses et des failles qui permettront aux pirates de perpétrer leurs attaques. Pour cette raison, les entreprises doivent prendre toutes les mesures nécessaires pour renforcer la résilience de leur environnement, faire appel aux technologies les plus récentes et se préparer à tout événement de piratage. Comme le montre l’étude de BakerHostetler, la meilleure façon de réduire les risques d’une attaque réside sans doute dans les investissements consentis en matière de préparation et d’éducation.

Pour plus de détails sur les rançongiciels et autres menaces, consultez les 10 prédictions de sécurité de DXC pour 2018.