Gestion des risques
Les bonnes pratiques pour sécuriser ses systèmes informatiques
Alors même que le nombre d’entreprises victimes de tentatives d’attaques informatiques s’inscrit en augmentation continue depuis plusieurs années, rares sont les TPE-PME à avoir déployé des actions destinées à lutter contre ce risque. La mise en œuvre de quelques bonnes pratiques permettrait pourtant d’atténuer la menace.
Difficile d’évaluer avec précision le nombre de tentatives d’attaques informatiques, réussies et avortées, touchant les entreprises françaises. Dans son récent panorama de la cybermenace 2022, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a recensé 831 intrusions avérées l’an dernier, après 1 082 en 2021. Dans leur dernier baromètre Fraude, l’assureur-crédit Allianz Trade et l’association nationale des Directeurs Financiers et de Contrôle de Gestion (DFCG) observent quant à eux que 63% des entreprises françaises auraient fait l’objet en 2022 de tentatives d’hameçonnage, ou «phishing», une pratique qui consiste pour un fraudeur à se faire passer pour un organisme connu en utilisant son logo et son nom.
Elles seraient par ailleurs 41% à avoir subi une intrusion dans leurs systèmes informatiques. Alors que les conséquences d’une cyberattaque peuvent se révéler dramatiques (vol et/ou perte de données, demande de rançon, piratage de comptes, ralentissement ou mise à l’arrêt de l’activité commerciale…), mieux vaut, dans ce domaine, prévenir que guérir.
Des campagnes internes de sensibilisation
Pour ce faire, le premier réflexe doit consister à sensibiliser l’ensemble des collaborateurs. «Le plus souvent, l’attaque a pour origine l’envoi d’un email frauduleux, à partir duquel l’un d’entre eux clique sur un lien ou télécharge une pièce-jointe corrompue», rappelle Dany Corgiat, dirigeant d’Alliance Cyber Technologies, société spécialisée dans la cybersécurité présente notamment à Lille. Les piqûres de rappel, qui peuvent prendre la forme de formations ou de campagnes d’information en interne, doivent être systématiquement renouvelées. «Quelques semaines après avoir subi une cyberattaque d’ampleur, nous avions mené une opération de sensibilisation sur le «phishing» à destination de nos salariés, témoigne le directeur financier d’un grand groupe. Quelques semaines plus tard, nous avons lancé une fausse attaque de ce type… et les résultats furent catastrophiques !».
En parallèle, il importe d’initier une analyse en profondeur des infrastructures informatiques de l’entreprise. «L’objectif de cet exercice est de faire ressortir leurs vulnérabilités, sur lesquelles pourraient s’appuyer un pirate, prévient Dany Corgiat. Par exemple, celles-ci peuvent porter sur d'anciens systèmes d’exploitation (Windows 7, XP, Linux, qui comportent de nombreuses failles), le matériel utilisé (absence de mot de passe, par exemple) ou encore la sécurité du réseau wifi et des bases de données.» Selon la taille de l’entreprise et l’état de son système IT, ce type d’audit peut durer une ou quelques semaines. Quant à son coût, il est le plus souvent compris entre 3 000 euros environ et plusieurs milliers d’euros.
Des tests d’intrusion à mener
Dans le sillage de cette revue, les entreprises peuvent aussi solliciter le déclenchement d’une fausse attaque auprès d’un «hacker éthique», dit «white hat», qui va jauger la capacité de résistance des serveurs. Appelée test d’intrusion, cette simulation peut se dérouler de différentes manières. «Soit la direction nous mandate sans en informer le reste des salariés, et l’idée consiste notamment à mesurer la capacité de réaction des équipes concernées, soit ces dernières sont mises au courant et l’idée consiste alors à réagir à la fausse attaque de façon collaborative», évoque Renaud Feil, dirigeant de la société Synacktiv, experte en cybersécurité. Le prix de cette prestation est du même ordre que celui d’un audit IT.
Un Pass Cyber Conseil régional
Pour les accompagner dans la mise en œuvre d’une stratégie de lutte contre le risque cyber adaptée à leur taille mais non moins efficace, les TPE-PME peuvent non seulement se reposer sur les guides de bonnes pratiques édités, notamment, par l’Anssi. Plusieurs dispositifs publics ont également vu le jour, à l’image de l’autodiagnostic lancé à destination des dirigeants de PME par Bpifrance, qui vient par ailleurs de commercialiser un diagnostic cyber plus approfondi (voir encadré). A l’échelle régionale, l’agence Hauts-de-France Innovation Développement propose aussi le «Pass Cyber Conseil», programme similaire destiné aux PME implantées en Hauts-de-France qui s’interrogent sur leur vulnérabilité informatique et les mesures de sécurité à mettre en œuvre pour y répondre.
Bpifrance lance un diagnostic cyber
Après ses diagnostics «Axes d’innovation», «Croissance», «Impact» ou encore «Décarbon'Action», Bpifrance a lancé, le 20 mars dernier, le «Diag Cybersécurité». Via ce nouveau dispositif, la banque publique entend mieux sensibiliser et accompagner les PME dans la gestion du risque d’attaque informatique. Avec l’appui d’un expert habilité, l’objectif consiste notamment à établir un bilan des forces et faiblesses de la protection des systèmes d’information de l’entreprise, à diffuser les bonnes pratiques en matière de cybersécurité et à mettre en œuvre les mesures nécessaires pour renforcer, rapidement, la protection de ces systèmes. D’une durée de 4 jours, cette prestation est facturée 4 400 euros HT, mais la moitié de ce montant est prise en charge par Bpifrance.