Fermer la publicité

Cyber-attaques : tous menacés !

le 28 février 2016 - Dossier réalisé par Stéphanie Polette - Cyber attaques : Tous menacés !

Cyber-attaques : tous menacés !
DR - DR - La Gendarmerie nationale répertorie dans des fiches pratiques les principales menaces et les diffuse aux entreprise

La cybercriminalité constitue une réelle menace économique pour les entreprises françaises. Piratage de données stratégiques, détournement de fonds, les conséquences sont énormes pour celles qui ne se protègent pas. Et toutes sont concernées, de la TPE au grand groupe, à Paris mais aussi en région. Eric Pozzi, référent Intelligence économique de la région Rhône-Alpes à la Gendarmerie nationale, a produit 500 rapports depuis 2007. 500 entreprises qui ont déclaré une fraude alors que nombreuses sont celles qui gardent le silence pour ne pas écorner leur image de marque. Un danger à ne pas sous-estimer.

L’attaque, c’est pour les autres. « Les entreprises se mettent des œillères et ne veulent pas voir. Elles ne se sentent pas concernées tant qu’elles n’ont pas été touchées », affirme sans ambages Frédéric Bellotti, coordinateur du programme SI PME à l’ENE (Espace numérique entreprises). Chaque année, via un accompagnement spécifique sur la sécurité des systèmes d’information, une centaine d’entreprises vient s’informer, en toute discrétion, pour ensuite mettre en place des actions de protection de leurs données sensibles.


Car toutes sont concernées. De la société unipersonnelle au grand groupe, les pirates, étrangers principalement, frappent au hasard, en masse pour récolter le maximum d’argent. Pour une entreprise, le préjudice n’est pas uniquement financier. Il met l’accent sur la défaillance de son système de protection, fragilise la confiance des collaborateurs et, si l’affaire éclate au grand jour, écorne son image de marque.

Dans le programme proposé par l’ENE, 140 questions sont au préalable posées aux entreprises accompagnées. Sur ces 140 questions, toutes les entreprises sont concernées par au moins 20 sujets, dont 5 ou 6 en vulnérabilité prioritaire où des actions doivent être mises en place immédiatement. « Les entreprises pensent que si leur informatique tourne correctement, elles sont protégées, résume Frédéric Bellotti. Or, un antivirus ou un firewall ne sécurise que 20 % du système d’information. La plus grosse vulnérabilité au sein d’une entreprise, c’est l’homme. »

                « L’homme est le maillon faible de l’affaire » 

La Gendarmerie nationale répertorie dans des fiches pratiques les principales menaces et les diffuse aux entreprises

Même constat du côté de la cellule Intelligence économique Rhône-Alpes de la Gendarmerie nationale. En 2015, Eric Pozzi, le référent régional, a animé une douzaine de conférences, avec des partenaires comme la CCI de Lyon, pour sensibiliser quelque 400 chefs d’entreprise aux menaces réelles auxquelles sont soumises leurs entreprises si la vigilance n’est pas de rigueur à tous les étages. « L’homme est le maillon faible de l’affaire », constate celui qui ne cesse de faire de la pédagogie, par ses conférences et la dizaine de fiches de risque qu’il distribue régulièrement aux entreprises. « Dès qu’un ou deux faits identiques et suspicieux remontent du réseau, on se penche sur le phénomène et on alerte les entreprises. » Car les malfrats sont agiles et rapides pour faire évoluer leurs plans d’attaque.
Sans paranoïa excessive, ne pas mettre toute sa confiance dans l’informatique mais aussi prendre conscience de la vulnérabilité de l’être humain constituent les meilleures protections. Parler, alerter ses collaborateurs sur l’existence de ces menaces, écrire les procédures pour sécuriser les transactions, imaginer des plans de reprise d’activité en cas de crise grave, hiérarchiser les niveaux d’informations sont des mesures de bon sens qui complètent un système d’information protecteur.

Repères

Selon le ministère de l’Intérieur, depuis 2010, date à laquelle est apparue l’arnaque au président et aux faux ordres de virement (lire page suivante), 485 M€ auraient été détournés des entreprises françaises. En 5 ans, 2 300 plaintes ont été déposées.

46 % des entreprises touchées sont des ETI, 40 % des PME, 12 % des TPE et 2 % des micro-entreprises.
73 % sont dans l’industrie, 16 % dans l’artisanat et le commerce, 10 % dans le BTP, les services et le transport.

Les conséquences possibles

Licenciement du salarié en cause.
Dépression du salarié, voire du dirigeant.
Suicide de collaborateurs.
Faillite et fermeture de l’entreprise. 

                       Les grandes attaques

Emanant de pays étrangers, souvent d’Israël, de Chine et plus récemment des pays de l’Est pour brouiller les pistes, les arnaques prennent des formes variées mais ont toutes un seul objectif : détourner de l’argent et mettre l’entreprise en péril. Les menaces se sont accentuées ces dernières années. Le point sur les plus fréquentes qui peuvent toucher toutes les entreprises, sans distinction. Les malfrats attaquent en masse et au hasard, pour mettre toutes les chances de leur côté.

L’arnaque au président ou aux faux ordres de virement (FOVI)

Simple comme un coup de fil ! L’arnaque se déroule généralement par téléphone. Le malfrat, se faisant passer pour le dirigeant de l’entreprise, exige un virement immédiat dans la plus grande discrétion, parfois sous peine de représailles, pour régler un rapport ou un contrat ultra-confidentiel. « Ils vont jusqu’à regarder les vidéo du président sur Youtube et à imiter sa voix, glisse Eric Pozzi, référent IE Rhône-Alpes de la Gendarmerie nationale. Si le premier appel ne fonctionne pas, un deuxième est passé, plus insistant, sous la bannière de l’Autorité de régulation des marchés ou de la répression des fraudes disant qu’ils sont au courant des dernières manœuvres et qu’ils enquêtent. Et parfois, ce deuxième coup de fil est lourd de conséquence. »
Pour s’en prémunir, des procédures de vérifications sont à mettre en place comme un double avis avant tout déclenchement d’un virement, rappeler pour vérifier l’interlocuteur et surtout être vigilant quand ces appels arrivent en période de congés, à la veille de week-end ou de jours fériés.

L’arnaque au technicien

Un individu se présente comme technicien de maintenance pour la banque gérant les comptes de l’entreprise. Il demande à faire des manipulations par téléphone en invoquant une migration vers un nouveau site web de la banque. Via une adresse URL communiquée, un programme s’ouvre sur l’ordinateur du collaborateur piégé sans qu’il ne s’en aperçoive. Le technicien demande d’aller sur les comptes de l’entreprise et peut ainsi récupérer les données, voire l’argent… « Lors du passage aux normes européennes SEPA, en 2013-2014, de nombreuses entreprises se sont faites piéger, assure Eric Pozzi. Toute manipulation informatique doit être vérifiée auprès de sa banque. »

Le défacement de sites Internet

Les attentats de janvier 2015 ont été suivis par de nombreuses opérations de « défacement » des sites Internet en .fr. Celles-ci consistent à défigurer un site Internet en remplaçant sa page d’accueil par un autre message tels que Hacked, Owned, des images ou des vidéos des revendications des malfrats. « Ils attaquent au hasard, souligne Eric Pozzi. Les conséquences portent sur l’image de l’entreprise et pointent ses dysfonctionnements internes. Il faut agir très vite pour remettre à jour le site Internet. »

Le virus rançon via la pièce jointe

Ce logiciel malveillant, inséré en pièce jointe d’un mail, crypte les données de l’entreprise. Un deuxième mail envoyé incite à verser une rançon pour obtenir les clés de déchiffrement. « Certaines entreprises paient et n’obtiennent jamais cette fameuse clé pour récupérer les informations, avertit Eric Pozzi. Les sauvegardes, les antivirus mais surtout la vigilance des personnels quant à l’utilisation de leurs outils informatiques sont les meilleures protections contre ces attaques. »

Le piratage du serveur téléphonique ou pheaking

Weekend ou jours fériés sont propices à cette malveillance. Par une faille du système, la téléphonie professionnelle est détournée pour passer des appels à l’étranger. La note peut-être salée. « Plusieurs dizaine de milliers d’euros peuvent être facturés à l’entreprise », affirme Eric Pozzi. Paramétrer les indicatifs internationaux utiles à l’entreprise bloque une partie de cette arnaque. Les PME et TPE sont davantage menacées car leurs systèmes de téléphonie semblent moins protégés que ceux des grands groupes.

Des sommes astronomiques

Les préjudices financiers iraient jusqu’à 17 M€, selon les dossiers connus. D’après Eric Pozzi, « ces hold-up virtuels sont en moyenne d’un montant de 300 000 € ». De quoi plomber les comptes d’une entreprise… qui souvent ne communique pas sur ses soucis. Pourtant, quelques escroqueries sont sorties dans la presse. Ainsi KPMG Rhône-Alpes a connu un préjudice de 7,6 M€ en plusieurs virement, escroqués en abusant de la confiance d’une comptable via le dispositif de « l’arnaque au président ».
Le club de foot l’OM a été victime d’un faux virement vers la Chine de 700 000 € en 2014.
Michelin a versé 1,6 M€ à un faux directeur financier d’un faux fournisseur via une banque en République Tchèque en 2014. En 2013, Géant Vert a été ponctionné de 17 M€, l’une des plus grosses escroqueries aux faux virements.

Des comportements de bon sens

L’informatique ne protège pas de tout. Bien au contraire. L’outil est souvent mis à mal par l’homme qu’il faut sans cesse sensibiliser aux menaces externes et parfois internes.

Hiérarchiser les informations stratégiques

« Dans 80 % des PME, tous les collaborateurs ont accès à l’ensemble des informations de l’entreprise, se désole Jocelyn Bouilhol, chef de projet SI PME à l’ENE. Les entreprises doivent hiérarchiser les informations pour en limiter l’accès aux seules personnes concernées. » Un stagiaire n’a pas à s’introduire dans le système d’information d’une PME. « Il ne doit pas non plus sortir des informations de l’entreprise ». Les étudiants vendent pour 15 € sur internet leurs rapports de stage avec les organigrammes, voire les stratégies commerciales des entreprises. Une mine d’informations pour les escrocs. « Le dirigeant doit contrôler ces informations et donner son accord ou non pour parution. »
Un état des lieux de l’information doit être fait en interne pour classer l’information blanche, 90 % des informations concernant l’entreprise que l’on trouve facilement sur le web, l’information grise, 5 % que l’on trouve quand un cherche, et l’information noire, ces 5 % qui ne doivent jamais sortir de l’entreprise. « L’information noire est tellement stratégique qu’elle ne doit pas être partagée, affirme Jocelyn Bouilhol. Le cloisonnement est impératif pour assurer la sécurité des informations à forte valeur ajoutée. »

Attention aux réseaux sociaux

« L’homme est égocentrique et très fier de parler des projets sur lesquels il travaille en détaillant souvent les montants, les clients, les plans stratégiques. Sans penser à mal. Les réseaux sociaux comme LinkedIn, Viadeo et Facebook sont une mine d’informations pour les cybercriminels, tout comme pour les concurrents », affirme Jocelyn Bouilhol. La discrétion est de mise pour protéger l’entreprise mais également les individus.

Ecrire les procédures internes

Qui fait le virement et comment ? Qui détient les mots de passe et les codes d’accès aux informations stratégiques de l’entreprise ? Quelles personnes sont autorisées à pénétrer dans le système d’information interne, à avoir accès aux comptes bancaires, aux fichiers clients… ? Ecrire les procédures permet de sécuriser les process.

S’assurer de la bonne sauvegarde des données

Sauvegarder, c’est bien. Etre certain que les sauvegardes ont été réalisées dans de bonnes conditions, que les données remonteront bien le jour où l’entreprise fera appel à elles, c’est mieux. « Ne pas stocker les sauvegardes au même endroit que les fichiers sources paraît une évidence qu’il faut toutefois sans cesse rappeler aux entreprises », souligne Jocelyn Bouilhol. Ecrire un plan de reprise et de continuité d’activité en cas de cyber-attaque permet de ne pas avoir à agir dans la précipitation en temps de crise. Que faire si les données clients ont fuité ? Si un responsable est parti avec des informations stratégiques ? Si le serveur informatique flanche ? « L’idée est d’identifier les 5 ou 6 risques majeurs auxquels l’entreprise est exposée et d’écrire les procédures à appliquer pour ne pas avoir à réfléchir. »

Les notes d’étonnement

Tout comportement suspect vis à vis de l’entreprise ou d’un personnel doit être signalé à son supérieur hiérarchique. « C’est ce qu’on appelle les notes d’étonnement, avance Jocelyn Bouilhol. Tout attitude bizarre doit être notée. Surtout, les collaborateurs ne doivent pas céder à la flatterie… » Pour cela, il faut sensibiliser l’ensemble du personnel, notamment les plus exposés comme les standardistes ou les personnes à l’accueil des visiteurs.

Entreprise : Processium protège ses données sensibles

Hector Osuna veille à la sécurité des données sensibles de Processium

« Tout notre travail s’appuie sur les données, avance Hector Osuna, responsable IT et calculs scientifiques chez Processium à Villeurbanne. Celles que nous cherchons, celles que nous produisons et celles que nous confient nos clients. La sécurisation de nos systèmes d’information et des procédés est essentielle. Elle passe par une charte informatique délivrée aux 40 collaborateurs où les procédures sont écrites et doivent être respectées. Notre SI est géré en partie en externe pour davantage de sécurité. »
L’entreprise imagine des procédés et des produits pour les secteurs de la chimie et des biotechnologies. Depuis plusieurs années, elle a pris conscience de l’importance de protéger ses données sensibles. Récemment, elle a suivi le programme SI PME SSI. « Nous avons formalisé les procédures de protection. Aucun système n’est infaillible à 100 % mais nous avons mis en place une palette d’outils pour retarder les intrusions. » Les pare-feu ont été renforcés et Processium est toujours plus exigeant envers l’infogérance. « Si notre système est mis en défaut, les conséquences seront davantage néfastes à la crédibilité de l’entreprise que financières. Nos clients industriels sont très sensibilisés à cette question. »



À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide