Les TPE/PME sont aujourd'hui la cible de prédilection des cyberattaques. Pourquoi ? Parce que, souvent, elles ne disposent pas de DSI, et ne détiennent pas de process de formation et d’information, leur permettant de prévenir efficacement les invasions virales, et autres intrusions par voie numériques. D’où l’enjeu d’une pédagogie ciblée sur la cybercriminalité dans les entreprises. Le point avec Yannick Chatelain, expert du domaine.
Selon le dernier baromètre du Club des Experts de la Sécurité de l'Information et du Numérique (CESIN), 80 % des entreprises interrogées ont été confrontées au problème au cours des 12 derniers mois. Lorsque l'on sait qu'il faudra débourser une moyenne de 800 K€ pour se remettre d'une violation de sécurité, mieux vaut faire le choix d'investir dans la formation.
En effet, chaque salarié disposant d'un ordinateur et d'un accès internet, connecté au réseau de son entreprise, est une porte ouverte à des intrusions potentiellement malveillantes. « Une simple clé USB, configurée de façon spécifique et laissée à l'abandon, trouvera rapidement un acquéreur curieux, et suffira à faire télécharger un virus sur un ordinateur. La manœuvre suffit à pirater le cœur des données informatiques d'une entreprise, prévient Yannick Chatelain, spécialiste du marketing on line, du hacking et de la Cybercriminalité, et enseignant-chercheur à Grenoble Ecole de Management.
Autre arnaque, qui peut être extrêmement préjudiciable : « l'arnaque au président », qui permet au cybercriminel, armé d'un aplomb sans faille, d'une connaissance de la structure cible (organigramme, etc.), et d'une argumentation téléphonique pointue, d'obtenir ce qu'il souhaite. À partir de l'obtention d'un mot de passe, il peut ainsi réaliser moult délits, dont des virements à distance… Si c'est le but qu'il s'est assigné ». Ceci, sans parler des consignes téléphoniques anonymes (mais toujours bien renseignées), passées aux directions comptables et financières, afin de déclencher des mouvements de comptes… « A défaut d'être informé et formé aux risques, le comptable ou le directeur financier peut être tenu comme responsable d'avoir été complice involontaire de la fraude ! » souligne Yannick Chatelain. D'où l'enjeu, pour les TPE/PME, d'actions anticipatrices des risques et de règles de vigilance accrues.
« La curiosité est toujours un vilain défaut ! »
Le « Ransonware » ou « rançongiciel ». « En 2012, McAfee, une société internationale, dédiée à la sécurité des terminaux à distance, répertoriait déjà quelque 120 000 échantillons de ce type de virus, téléchargés dans les systèmes informatiques des entreprises, qui sont aptes à crypter les données comptables des sociétés. Ainsi, pour débloquer la situation, le paiement d'une rançon peut se faire par sms, afin d'obtenir la clé de chiffrement. En ce sens, on peut affirmer que la curiosité est toujours un vilain défaut, relève Yannick Chatelain. Pourquoi ? Parce que les salariés, par méconnaissance, n'hésitent pas à se rendre sur le site indiqué, ou à cliquer sur un lien… Véritables bombes à retardement !
Autre technique : le « phishing » (se faire passer pour une société ayant pignon sur rue), ou le « Scamming » (promesse de gain substantiel en échange d'informations), permettent par le biais d'une sollicitation personnalisée, de prendre de diverse manières le contrôle de la cible, toujours selon l'objectif que le cyberdélinquant s'est assigné : accéder par exemple au cœur de l'ordinateur, en faisant installer à sa cible un Cheval de Troie, puis de récupérer des informations personnelles (passeport, RIB, etc.) ou de s'adonner au chantage. Les cyberdélinquants ayant beaucoup plus d'idées pour berner leur victime que de scrupules. »
Pour résister aux « BlackHatHackers » ou cyber délinquants, « la principale recommandation est de mettre en place des filets de sécurité, notamment par la sensibilisation et la formation des collaborateurs au bon usage des mails en provenance de l'extérieur, souligne Yannick Chatelain. Ainsi, si la DSI règle le curseur du niveau de protection des usagers dans un grand groupe, les TPE/PME ont-elles, ne serait-ce qu'un « Fire Wall » pour prévenir les risques d'intrusions malveillantes ? La plupart du temps, non. Sachant que les salariés constituent, là encore, le premier point de vulnérabilité...
Bibliographie sur ce thème
- Big data ou BIG CATA? L'effet Snowden / Kawa 2016.
- Surfez Couvert ! Protéger et Défendre Sa Vie Privée Numérique / Ellipses 2015.
Un certificat Manager de la Sécurité et des Risques de l'Information Grenoble Ecole de Management et l'EPITA ( école d'ingénieurs en informatique, experte en formation sur la cybersécurité) ont signé un partenariat pour développer de nouvelles formations dans leurs domaines d'expertise.
Cette première collaboration se concrétise par l'habilitation du Certificat de Qualification Professionnelle (CQP) – Programme Manager de la Sécurité et des risques de l'Information (MSRI) –, par la branche professionnelle du numérique, de l'ingénierie, du conseil, des études et des métiers de l'évènement. Ce cursus inédit vise à mieux armer les managers de demain face à la cybercriminalité.
De fait, le Manager de la Sécurité et des Risques de l'Information est en charge de la définition de la politique de gestion des risques, liés à l'information dans l'entreprise, du déploiement et de l'animation du dispositif de gestion des risques. Il est le garant de la mise en place de bonnes pratiques au sein de l'organisation, dans un souci permanent de sensibilisation du personnel (interne ou de l'entreprise élargie) aux risques. La démarche intègre des actions anticipatrices de pesée des vulnérabilités, et des actions correctrices de défaut de la sécurité de l'information. Notons qu'EPITA est partenaire des services de sécurité de l'Etat, via son laboratoire de recherche LSE. Elle est labellisée SecNumedu par l'ANSSI (Agence nationale de la sécurité des systèmes d'information), et accréditée CTI.
Ce cycle de formation se déroulera entre septembre 2017 et mars 2018, à Paris, et s'effectue sur un total de 52 jours répartis sur 7 mois. Il comporte des cours dispensés par des experts en cyber sécurité et des études de cas. Pour candidater, il vous faut être titulaire d'un Bac+5 (science, commerce ou management), assorti d'une expérience professionnelle de 5 années minimum. Un niveau suffisant au TOIEC (ou équivalent) est également exigé.
La conception de ce programme bénéficie d'une aide de l'Etat Français au titre du Programme d'Investissements d'Avenir, IRT Nanoelec, portant la référence ANR-10-AIRT-05
