Comment se protéger des cyberattaques et y répondre ?

Les grands principes de la cybersécurité

Des attaques aux multiples visages

Derrière le mot “cybersécurité”, on entend “sécuriser les systèmes d’information” d’une entreprise en mettant en place des processus qui permettent de se protéger contre toutes les formes de cyberattaques. Hameçonnage (phishing), piratage de compte, virus, fraude au président (un hacker se faisant passer pour un dirigeant va demander à une personne de la comptabilité en général de réaliser un virement sans que cette dernière s’aperçoive que c’est un faux compte), ransomware (exfiltration de données dans le but de soutirer de l’argent aux dirigeants) ou vol de données de manière générale, les attaques prennent des formes multiples, plus ou moins sophistiquées. Leur point commun : leurs conséquences peuvent être importantes sur le fonctionnement de l’entreprise.

Ainsi, il est devenu fondamental de se protéger efficacement de tout ces types de cyberattaques, en déployant une stratégie de cybersécurité autour de votre système informatique et qui repose sur ces trois grands principes : la disponibilité, l’intégrité et la confidentialité.

Ne pas se protéger : quelles conséquences ?

Bien que son baromètre ne concerne pas seulement les PME, le 8eme rapport du CESIN (club des experts de la sécurité de l’information et du numérique) est intéressant puisqu’il montre que dans 60% des cas de cyberattaque, « elle impacte fortement le business des entreprises, avec pour effet de perturber significativement la production pour 24% des sondés. Dans 7% des situations, on constate un déficit du chiffre d’affaires. »

Des données volées ne sont parfois jamais rendues dans leur intégralité et l’image de l’entreprise peut en être écornée. Sans compter qu’un retour à la normale ne se fait pas du jour au lendemain, d’où l’importance de se prémunir d’une assurance cyber en cas de vol.
En moyenne, la durée de cette reconstruction est comprise entre 26 et 29 jours pour les TPE et PME quand ce n’est pas le risque de défaillance qu’elles encourent. Un risque qui augmente d’environ 50% dans les 6 mois qui suivent l’annonce de l’incident.

Dans 94% des cas, les cyberattaques conduisent l’entreprise à devoir reconstruire totalement ou partiellement son système d’information. (source ANSSI)

Adopter une stratégie de cybersécurité, c’est protéger toute son entreprise

Une entreprise doit évoluer et s’investir dans un changement de culture. Il devient primordial de prendre les mesures nécessaires et protéger ses systèmes informatiques.

« Il faut prendre conscience qu’à partir du moment où une entreprise dispose d’ordinateurs ouverts sur l’extérieur pour prendre des commandes ou utiliser un logiciel de paie par exemple, elle est forcément une cible », affirme Frederick Gavois, consultant en cybersécurité chez Visiativ.

C’est pourquoi le dirigeant doit engager un chantier en se faisant accompagner pour que son entreprise soit protégée et ses salariés avertis. Pour ce faire, ce ne sont pas seulement les outils technologiques qui favorisent une bonne protection, il faut d’abord apprécier le contexte de l’entreprise et déterminer le périmètre à protéger en réalisant un inventaire précis à partir duquel une feuille de route sera déployée afin de bâtir une stratégie optimale. Ainsi c’est un diagnostic qui permettra de faire un état des lieux et d’évaluer le niveau de risque et de maturité des systèmes d’informations de l’entreprise.

La prise de conscience : l’un des principaux défis à relever

82 % des cyberattaques proviennent d’un mauvais usage ou d’une erreur humaine, constatait en 2022 un rapport de Verizon : comme le fait, par exemple, de cliquer sur un lien dans un mail frauduleux. Encore faut-il lever les freins et développer une acculturation de la cybersécurité en interne. D’abord auprès du dirigeant qui ne dispose pas encore d’un haut niveau de maturité sur les enjeux cyber, malgré la prise de conscience qui commence petit à petit à faire son chemin. Ce que reconnaît Thomas Meyer, CEO de Socaps :

L’entreprise experte en assistante technique dans l’industrie du conditionnement se fait ainsi accompagner par Visiativ, notamment sur la sensibilisation du côté des salariés. Si les collaborateurs n’en voient pas les bénéfices, ils sont pourtant bien réels aussi bien pour leur santé mentale que pour la continuité de l’activité et donc le maintien de leur emploi.

Débloquer un budget de cybersécurité

Le deuxième défi est celui de débloquer un budget adapté à la sécurisation des systèmes d’information. L’ANSSI recommande de consacrer au moins entre 5 et 10 % du budget informatique à la cybersécurité, mais le budget informatique des entreprises reste encore limité.

En effet, investir dans la cybersécurité peut représenter un coût conséquent. Selon notre baromètre de la cybersécurité 2023, établi à partir des données recueillies depuis nos diagnostics de cybersécurité, 7/10 dirigeants n’allouent pas de budget cyber à leur entreprise et n’ont pas de comité de pilotage ni d’assurance dédiés à la cybersécurité.

Répondre aux enjeux économiques de la sécurité informatique

Troisième défi, celui de pouvoir répondre aux enjeux économiques afin de gagner en productivité et en compétitivité. C’est pourquoi, sans une stratégie cyber définie, les entreprises peuvent perdre des marchés. Ce qui est particulièrement vrai lorsqu’une PME travaille avec un donneur d’ordre dont les critères exigent une conformité en matière de cybersécurité.

La France et plus largement l’Union européenne ont compris l’enjeu qu’il y avait à soutenir la cybersécurité afin d’assurer la croissance des entreprises et de renforcer la confiance de tout un chacun dans le numérique. La directive NIS 2, un texte européen qui entrera en vigueur en 2024, vise à rehausser le niveau de sécurité pour de nombreuses entreprises des secteurs de l’énergie, des infrastructures numériques ou encore des transports.

Face aux risques de menaces, elles devront se conformer au traitement des incidents, à la gestion des risques, au chiffrement de données ou encore à la sécurisation de la chaîne d’approvisionnement. Sans cela, elles risquent des sanctions allant jusqu’à 10 millions d’euros d’amende ou 2 % de son chiffre d’affaires mondial. Par ailleurs, une banque prêtera de l’argent seulement si l’entreprise lui garantit qu’elle possède un niveau de cybersécurité élevé.

Faire un diagnostic : la première étape pour se protéger d’une cyberattaque

L’objectif du diagnostic est de monter le niveau de cybersécurité de la PME rapidement et donc d’appliquer les bonnes pratiques. Pour cela Visiativ propose l’accompagnement d’un RSSI en temps partagé pour piloter le déploiement de la feuille de route dans la durée et améliorer la posture cyber de l’entreprise pour devenir autonome en cas d’attaques.

Un accompagnement dont bénéficie l’entreprise Technax (40 salariés et 7 millions d’euros de chiffre d’affaires) qui conçoit et fabrique depuis 1989 des machines de soudage. Laurent Vernède, son directeur général, souhaitait déployer une stratégie cyber pour « se protéger des risques de perte de données et des coupures réseau en vérifiant le niveau de protection tout en faisant appel à un œil extérieur ». Après un diagnostic, la PME a déployé un plan portant sur l’accompagnement et la remédiation des vulnérabilités détectées, la formalisation aux bonnes pratiques, mais surtout sur la sensibilisation de ses collaborateurs. « Un point sur lequel nous avions un gros travail à effectuer et dont nous souhaitions faire des rappels réguliers », explique-t-il dans un webinaire.

Le groupe EuroCave (170 salariés et 40 millions d’euros de chiffre d’affaires), manufacturier français de caves à vin a également choisi de se faire accompagner par les équipes Visiativ.

Avant de lancer le chantier d’une stratégie de cybersécurité qui s’étale sur plusieurs années, très basiquement, une entreprise peut toutefois d’ores et déjà s’engager à répondre à trois priorités pour assurer un minimum de sécurité de ses infrastructures, à savoir :

• Réaliser régulièrement une sauvegarde hors ligne et s’assurer que les procédures de récupérations sont efficaces, une condition pour assurer la reprise de l’activité de l’entreprise après une attaque.
• Installer des technologies de défense telles que les antivirus, antispam, web application firewall, etc… afin de considérablement augmenter sa sécurité informatique et prévenir les cyberattaques au maximum.
• Sensibiliser tous les collaborateurs à la cybersécurité et aux bonnes pratiques.

Réaliser un diagnostic cyber

Les 10 mesures essentielles pour se protéger des cyberattaques

• Faites des sauvegardes « offline » et testez-les régulièrement.
• Sensibilisez vos employés pour qu’ils deviennent des pares-feux humains : cela passe par la sensibilisation aux mails frauduleux, aussi bien qu’aux sites internet non sécurisés et tout autres actions menant à un piratage informatique.
• Mettez en place des antivirus performants de type EDR et des systèmes de protection de votre messagerie. Traitez les alertes et informez la CNIL si vous êtes victime d’un vol de données personnelles.
• Mettez à jour vos logiciels et votre infrastructure SI.
• Mettez en place le Multi Facteur Authentification et des mots de passe robustes, attention à ne pas enregistrer ses mots de passe sur un navigateur web type Google Chrome ou Bing, privilégiez un outil adapté.
• Limitez les comptes administrateurs locaux.
• Chiffrez les disques durs des postes de travail, en particulier s’ils contiennent des données sensibles ou personnelles.
• Surveillez votre surface externe et cloisonnez votre réseau.
• Mettez en place une procédure de gestion d’incidents, cela vous permettra de vous remettre plus vite d’une cyberattaque si vous n’êtes pas déjà protégés.
• Faites des « pentest » internes régulièrement.

…et surtout, faites-vous accompagner pour monter progressivement en compétences cybersécurité et suivez les conseils d’expert afin de réduire considérablement les risques et les conséquences d’une cyberattaque !

Discuter de votre projet de Cybersécurité