Les TPE et les PME, cibles privilégiées des cybercriminels |
Selon le spécialiste de la sécurité Symantec, 71 % des TPE et les PME qui font l’objet d’une cyber-attaque ne s’en remettent pas. Pourtant, la sécurité du système informatique ne fait pas partie des priorités des petites et moyennes entreprises, même si c’est un enjeu majeur pour leur survie.
Face à des systèmes d’information de plus en plus ouverts, un usage généralisé d’internet et des terminaux mobiles connectés, les entreprises doivent mettre en œuvre des politiques de sécurité informatique de plus en plus exigeantes. Pourquoi les cybercriminels s’en prennent d’avantage aux TPE et aux PME ? Explication.
La cybercriminalité n’est pas un fait nouveau. Pourtant depuis quelques années, nous sommes tous devenus ultra-connectés et multi-équipés. Ce constat n’épargne pas les entreprises qui ont vu apparaître de nouveaux outils qui permettent aux salariés de rester connecter en étant plus mobile et plus productif. Ces nouveaux modes de travail, sont aujourd’hui autant de failles de sécurité possibles et donc d’attaques possibles. Cette forme de criminalité ne concerne plus les grandes entreprises qui ont majoritairement mis en place des moyens coûteux pour lutter contre le piratage. La nouvelle cible privilégiée des hackers serait les TPE et les PME qui seraient plus simple à attaquer.
Des cibles plus accessibles Les enquêtes le confirment : les gérants de TPE et PME ont une vision assez exacte du piratage informatique, mais ils se sentent peu concernés. Selon eux, cette forme moderne de criminalité menace surtout les grandes entreprises. Pourtant, les délits constatés contredisent cette perception. Plus encore, le pourcentage des attaques vers les entreprises de moins de 250 salariés progressent. Selon le rapport Symantec Security Threat, elles seraient passées de 18% à 31% en 4 ans. Or ce sont justement les entreprises de moins de 250 salariés qui doivent protéger leurs données. Le constat est le suivant : 40% de la valeur des entreprises est issue des informations qu’elles détiennent. Ce qui intéresse les cybercriminels : dossiers clients, listes de contacts, renseignements sur le personnel et informations bancaires de l’entreprise, cartes de crédit comprises et propriétés intellectuelles. Elles représentent aussi des passerelles d’accès à leurs partenaires.
Un frein pour travailler avec les grandes entreprises Loin des considérations financières et ne se sentant pas concernées, les TPE et PME s’estiment à l’abri de ces attaques. En conséquence, leurs infrastructures ne sont pas adaptées. Elles sont alors des cibles idéales permettant d’attaquer leurs différents partenaires qui sont parfois des grandes entreprises ou des administrations. Elles deviennent alors un moyen d’accéder à leurs systèmes d’information. Et cela peut constituer un frein à la compétitivité. Les Grandes Entreprises, ne pouvant contrôler le système d’information de leurs partenaires, exigent alors de leurs sous traitants un matériel informatique similaire afin de contrôler les flux.
Des attaques virales invisibles Les attaques les plus fréquentes sont de natures virales. A l’insu des utilisateurs, elles visent à installer de petits programmes capables d’identifier les mots de passe (via des enregistreurs de frappe), d’accéder aux services bancaires en ligne de l’entreprise (Chevaux de Troie bancaires), de contrôler à distance les ordinateurs de l’entreprise pour lancer des attaques commandées (réseaux de zombies ou botnet) ou d’espionner les employés pour connaître leurs habitudes, leurs mots de passe ou leurs préférences (Spyware)…
De nouvelles attaques plus structurées Les techniques de piratages évoluent et le matériel n’est plus l’unique faille. On voit apparaître de nouveaux types d’attaques basées sur les failles humaines et sociales. Les environnements de travail des salariés sont ciblés à travers les postes de travail des salariés. A titre d’exemple, les hackers identifient le lien entre les entreprises et leurs partenaires. Des mails sont envoyés depuis les réseaux sociaux type Linkedin ou Viadéo au nom du partenaire. L’email sera donc ouvert sans réel méfiance de la part du salarié. Cette technique, appelée « social engineering », permet alors au pirate d’accéder au poste de travail de l’utilisateur en premier lieu pour ensuite évoluer dans le système d’information de l’entreprise.
Des règles simples de cyber-stratégie Il n’est pas rare qu’en entreprise les salariés utilisent des outils réservés aux particuliers. Ce type de pratique multiplie les dangers d’intrusion car les systèmes peuvent être piratés. Ils pointeraient vers l’installation de « maliciels » (logiciels malveillants conçus pour infiltrer un ordinateur et y réaliser des activités non autorisées). Il en est de même pour tous les outils connectés. Malheureusement, ce n’est souvent qu’une question de temps avant qu’un hacker arrive à ses fins. Il est donc primordial de faire preuve de plus de rigueur pour gagner du temps afin de décourager l’intrusion. Une entreprise qui connait les risques et montre qu’elle a pris des mesures de sécurité simples, décourage les pirates. Il existe aujourd’hui des services de sécurité informatiques adaptés aux TPE/PME. A titre d’exemple, des prestataires proposent des offres sous forme de machine virtuelle, un proxy complet et simple. Le service permet de filtrer les pages internet en se basant sur des listes préétablies.
Mais bien avant de se consacrer à la sécurisation du matériel de travail, la première mesure à prendre concernera celle des bonnes pratiques des salariés. Des mesures de protection humaines sont nécessaires. « Il est surtout important de sensibiliser ses collaborateurs aux bonnes pratiques », assure Philippe Trouchaud, associé PricewaterhouseCoopers, spécialiste de la cyber sécurité. Le gouvernement met à disposition un Guide d’Hygiène et de Sécurité de l’ANSSI, il fournit les bases de la sécurité pour les utilisateurs au sein des entreprises.
Aussi une politique de sécurité consistera tout d’abord à mener de front trois actions :
Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement. Denis JACOPINI
Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.
Cet article vous plait ? Partagez !
Source : http://www.axione-limousin.fr/actualites/tpe-et-pme–cibles-privilegiees-des-cybercriminels—57.xhtml
|
Aucun commentaire jusqu'à présent.