Alors qu’un quart des PME suisses ont déjà subi une cyberattaque, les entreprises doivent désormais impérativement apprendre à s’en protéger, notamment en sécurisant leurs données et en sensibilisant leurs collaborateurs.
Une version de cet article réalisé par Large Network est parue dans cialis optimum dosage.
_______
Un Suisse sur sept a été victime d’une cyberattaque en 2020, soit près d’un million de personnes selon une étude de l’institut gfs. Demande de rançon, cryptage des données sensibles, utilisation de techniques de manipulation pour inciter les employés à cliquer, les pirates de l’informatique développent leurs techniques et étendent leur maitrise. C’est une guerre sans fin, relève Jelena Moncilli, spécialiste anti-fraude chez Scout24. Dès que nous mettons en place des garde-fous, par exemple pour empêcher la création de comptes frauduleux, les cybercriminels trouvent de nouvelles techniques pour les contourner.»
De nombreuses entreprises romandes en font les frais chaque mois: un quart des PME suisses ont déjà fait l’objet d’une tentative de piratage, près d’un tiers d’entre elles ont subi un dommage financier alors qu’une attaque sur 10 a entraîné un dommage de réputation et/ou la perte de données de clients. Les responsables d’entreprise continuent néanmoins de sous-estimer les risques. Selon l’étude gfs, deux tiers des PME ne proposent pas de formations aux collaborateurs et ne disposent pas de cellules de crise. De plus, selon 39% d’entre elles, il n’est pas nécessaire de souscrire à une assurance contre ce type d’attaques.
Le télétravail a constitué un terreau d’autant plus fertile aux cyberattaques. Selon une étude de l’entreprise anglaise de cybersécurité Tessian, 47% des individus tombent dans le piège du phishing alors qu’ils travaillent à domicile. La raison: les appareils sont moins protégés, les employés ne maitrisent pas toujours les règles de sécurité, et les arnaqueurs profitent de la pandémie pour élaborer des scénarios sur la peur du virus. Les entreprises doivent aujourd’hui impérativement prendre au sérieux les menaces informatiques et former leurs collaborateurs à s’en protéger.
Décryptage des 3 tromperies typiques
«Si une petite menuiserie se met à brûler, le danger pour cette société est évident, résume Max Klaus du Centre national pour la cybersécurité (NCSC). En cas de cyberattaque, il est beaucoup plus insidieux.» La plupart des PME ne réalisent pas où le danger se cache et à quel point la cybercriminalité peut leur causer des dommages. Pourtant, cela peut aller jusqu’à la faillite, comme ce fut le cas pour le fabricant de fenêtres Swisswindows et ses 170 employés en Thurgovie (lire l’encadré sur les cas récents).
- Attaques par logiciel malveillant
Les rançongiciels (nommés «ransomware» en anglais) sont la principale forme de logiciels malveillants affectant les PME. La plupart de ces attaques démarrent par un e-mail envoyé à une personne privée ou à une entreprise, qui invite le destinataire à ouvrir une pièce-jointe. «La pièce-jointe entraîne l’installation d’un rançongiciel de chiffrement qui crypte les données présentes dans le système, les rendant inaccessibles, détaille le spécialiste du NCSC. Le logiciel enclenche ensuite l’ouverture d’un message à l’écran demandant le versement d’une rançon (généralement en crypto-monnaie), contre la clé de déchiffrement des données.»
Depuis peu, les pirates informatiques ont ajouté un niveau de pression supplémentaire, surtout à l’encontre d’entreprises et institutions relativement grandes: ils copient les données avant de les chiffrer. «Si les sociétés indiquent qu’elles ne veulent pas payer de rançon, les cybercriminels les menacent alors de publier sur le ‘dark web’ les données volées.» La plupart de ces attaques par rançongiciel sont toutefois basiques. Il s’agit rarement de cibles précises, mais de centaines de milliers d’e-mails envoyés en même temps. «Les pirates informatiques peuvent acheter des listes d’adresses pour une somme modique sur le dark web», explique Max Klaus.
Outre ces chevaux de Troie avec chiffrement, il existe d’autres types de logiciels malveillants moins courants. Il peut s’agir par exemple de programmes lisant les saisies d’un clavier (et donc des mots de passe) ou d’«attaques par déni de service» («Denial of Service (DoS) attacks»), qui mettent hors d’usage un serveur.
Si une cyberattaque survient, il ne faut jamais verser de rançon. «Il n’y a aucune garantie de régler le problème ainsi, dit Max Klaus. Si la victime paie, les criminels risquent d’augmenter encore leurs exigences financières ou de disparaitre dans la nature sans livrer de solution. En outre, cela finance les réseaux de cybercriminalité.» Pour annoncer un cyberincident, le NCSC dispose d’un formulaire de signalement sur son site. «Enfin, il est toujours indiqué de déposer plainte auprès de l’autorité de police cantonale compétente.»
Pour se prémunir de ces dangers, la sensibilisation des collaborateurs est importante. «Il faut notamment leur rappeler d’être prudents, de ne pas ouvrir tout ce qui leur arrive par e-mail.» Les PME doivent également prendre des mesures techniques, comme la sauvegarde régulière des données, la mise à jour systématique des systèmes informatiques (lire l’interview en encadré) ou l’adoption d’une protection de base: antivirus, pare-feu, etc. «Des logiciels gratuits sont bien souvent suffisants pour une petite entreprise.»
Le Conseil: «La principale mesure de protection consiste à sauvegarder régulièrement ses données, idéalement chaque soir, sur un disque dur externe ou un cloud, qui ne soit pas connecté avec le system informatique de l’entreprise. Il faut aussi vérifier le bon fonctionnement de cette sauvegarde et s’entraîner à y accéder. Cela pourrait faire gagner un temps précieux en cas d’attaque par rançongiciel et ainsi éviter le blocage des activités.»
- Du simple «phishing» à l’ingénierie sociale complexe
Les cybercriminels n’utilisent pas seulement des outils techniques, en installant des logiciels malveillants ou en exploitant les failles de systèmes informatiques. Ils exploitent également les vulnérabilités des individus à l’aide de diverses tromperies. La plus répandue est la technique de l’hameçonnage (ou «phishing» en anglais). «Des messages trafiqués sont expédiés automatiquement à des milliers de personnes, en prenant l’apparence d’une entreprise ou d’une institution connue de tous», explique Max Klaus du Centre national pour la cybersécurité (NCSC).
Des e-mails peuvent par exemple être générés au nom d’une banque. «Le message fait alors état d’un problème avec le compte ou la carte bancaire, et propose de cliquer sur un lien pour régler le problème, poursuit l’expert. Il faut ensuite généralement entrer certaines données (mot de passe, numéro de client, numéro de contrat, etc.) qui seront sauvegardées par le cybercriminel et utilisées pour accéder au compte de e-banking.»
Certaines sociétés ont créé des postes de spécialistes anti-fraudes, notamment pour lutter contre l’utilisation de leurs plateformes et de leur image par des cybercriminels. C’est le cas du groupe Scout24, propriétaire, entre autres, des sites ImmoScout24 et Anibis, qui surveille de près la création de comptes frauduleux ou l’envoi de mails de phishing arborant le logo de ses plateformes. «En croyant accéder à nos services, les personnes livrent leurs données de connexion, explique Jelena Moncilli, spécialiste anti-fraudes du groupe. Ces adresses et mots de passe sont ensuite vendus sur le dark web. Nous avons mis en place un certain nombre de garde-fous pour empêcher l’usurpation de comptes existants ou la création de comptes frauduleux, avec des procédures de double authentification, l’obligation d’avoir un numéro mobile fourni par un opérateur en Suisse, un ‘chat’ intégré qui détecte l’utilisation d’un langage suspect par un arnaqueur, etc. Nous appelons également à la vigilance des utilisateurs et faisons de la prévention» (lire l’encadré sur les fausses ventes).
Le phishing est considéré comme une forme simple d’«ingénierie sociale». Ce concept regroupe toute forme de manipulation psychologique poussant la victime à prendre de mauvaises décisions telles que la divulgation d’informations confidentielles, l’achat d’un produit ou le déblocage de fonds. «Des e-mails proposant des investissements juteux en sont un autre exemple, explique Max Klaus. Ils promettent de gagner beaucoup d’argent, contre un faible investissement de départ. Au départ, les gains sont intéressants. La victime dépose par exemple 100 francs et en gagne 150 francs très rapidement. Le criminel profite de cette phase d’euphonie pour demander davantage d’argent et, une fois les sommes plus importantes virées, le compte est vidé.»
Le Conseil : «De manière générale, il est utile d’organiser des formations au sujet de la cybercriminalité. Le NCSC met beaucoup de documents de prévention à disposition des PME. Il faut rappeler régulièrement aux collaborateurs l’importance de la prudence, notamment à la réception d’un e-mail ou lors du maniement de données confidentielles. Pour que la sensibilisation fonctionne, il vaut mieux en faire pendant 30 minutes chaque mois, qu’une fois par année pendant toute une journée.»
3- L’arnaque au président
«Je suis en déplacement sans accès à mon email professionnel, mais nous avons conclu le rachat, j’ai besoin d’un virement au plus vite pour conclure l’affaire, faute de quoi l’entreprise subirait une perte conséquente.» Ce type d’email peut être le début d’une cyberattaque. Appelée «fraude au président», cette attaque vise à usurper l’identité d’un dirigeant d’entreprise pour obtenir un virement en urgence de la part d’un employé du service comptable ou financier.
«Cette attaque mobilise aussi l’ingénierie sociale, autrement dit la manipulation de l’employé, explique Sergio Alves Domingues, chief technical officer chez SCRT, entreprise vaudoise spécialisée dans la cybersécurité. Il existe deux grands scénarios. Dans le premier, le plus courant, le hacker utilise une adresse externe à l’entreprise. L’email reprend le nom du directeur qui prétend être en déplacement et ne pas avoir accès à son adresse professionnelle. Dans l’autre scénario, qui découlerait d’une autre attaque préalable, il s’est immiscé dans la boite mail du directeur lui-même ou d’un autre employé de l’entreprise et mène alors son attaque directement depuis ce compte.» Après quelques échanges destinés à instaurer la confiance, le fraudeur demande que soit réalisé un virement non planifié, au caractère urgent et confidentiel.
«Cette arnaque ne demande aucun investissement technique ou financier, précise l’expert en cybersécurité. Il suffit de créer une adresse mail et de récolter quelques informations sur l’entreprise par internet ou par les réseaux sociaux pour paraître crédible.» De son expérience, Sergio Alves Domingues constate que des multinationales aux PME, toutes les entreprises peuvent être touchées. «Avec le recul, il parait surprenant que certaines personnes tombent dans le panneau, mais les scénarios sont basés sur la pression hiérarchique, l’urgence et le secret, des facteurs qui rendent difficile de prendre le temps de réfléchir.»
Cette escroquerie trouve également un terrain propice en période de télétravail. «Les adresses et les téléphones privés sont davantage utilisés, ce qui rend les scénarios plus plausibles.» Les sommes exigées peuvent aller jusqu’à des millions de francs. Une fois que le versement est effectué, il est quasiment impossible de retrouver l’argent perdu puisque celui-ci est généralement versé sur des comptes étrangers, protégés, et rapidement vidés.
Le conseil: «Il faut se méfier de tout ce qui dénote des échanges habituels et des emails émanant d’adresses externes à l’entreprise. Il est toujours préférable d’oser appeler sa hiérarchie pour vérifier la véracité de la demande. Les entreprises doivent aussi informer leurs collaborateurs des différents types d’attaques existantes: les employés sont les principales cibles de cyberattaques mais aussi le meilleur rempart s’ils sont bien informés.»
_______
Chiffres clés:
1/4 des PME suisses ont déjà été victimes d’une cyberattaque
1/3 des PME attaquées ont subi un préjudice financier
50% des PME disposent d’un plan d’urgence en cas de cyberattaque
2/3 des PME n’organisent aucune formation des collaborateurs en matière de cybersécurité
11% des CEO seulement jugent élevé le risque de paralysie de leur entreprise suite à une cyberattaque
_______
Un domaine économique en expansion
Face aux enjeux de cybersécurité, plusieurs entreprises en ont fait leur raison d’être. Solutions techniques, conseils et sensibilisation aux bonnes pratiques font partie des offres que ces sociétés délivrent. Portrait d’un acteur du domaine, Kyos.
«Nous anticipions que la sécurité des supports numériques allait devenir un enjeu majeur pour les entreprises.» Fabien Jacquier, cofondateur de Kyos avait pressenti l’essor que prendrait la cybersécurité. L’entreprise a été fondée à Genève en 2002 par deux ingénieurs en informatique, à la fois pour répondre aux besoins du marché et par intérêt personnel. «L’informatique génère des problématiques dans tous les domaines, ce qui est passionnant», relève-t-il.
Après presque vingt ans d’existence, Kyos compte aujourd’hui 50 employés, connaît une croissance de 15 à 20% par an et s’est déployée à Bienne ainsi qu’à Saint-Gall, de manière à pouvoir toucher des clients dans la Suisse entière. Elle propose aux entreprises des dispositifs d’hébergement ou de stockage de données, avec un haut niveau de sécurisation. «Le fait d’être experts d’un domaine si pointu nous permet de proposer à des PME des solutions habituellement utilisées dans de grandes entreprises. En les mutualisant, nous parvenons à proposer aux PME des prix qui leur sont accessibles», explique Fabien Jacquier.
Kyos gère aujourd’hui près de 400 clients, un nombre en croissance constante, au même titre qu’augmente la complexité des demandes ou le niveau de sécurité recherché. «Avant, pour protéger un système informatique, on créait un château fort autour, raconte Fabien Jacquier. Maintenant que les données sont décentralisées, notamment avec l’avènement du télétravail et l’utilisation croissante du cloud, c’est la donnée elle-même qu’il faut protéger, avec des systèmes de chiffrement et d’authentification.» Et la cybercriminalité menace aujourd’hui tous les secteurs économiques. Les entreprises font appel à Kyos pour ses solutions techniques, mais aussi de plus en plus pour des conseils en matière de bonnes pratiques et de sensibilisation des utilisateurs.
Selon le co-fondateur de Kyos, les rançons demandées par les hackers lorsqu’ils attaquent une entreprise ont alimenté tout un marché, qui a pu ainsi grandir. «C’était un moindre mal pour sensibiliser les entreprises aux attaques à venir. Mais la plupart d’entre elles sous-estiment encore les enjeux de la cybercriminalité. Il s’agit d’ailleurs d’un véritable enjeu sociétal.»
_______
«Toujours se demander: que ferais-je si l’on m’abordait ainsi dans la rue?»
En matière de sextorsion comme d’arnaques sur des sites de petites annonces, les victimes font souvent confiance trop facilement. Conseils de spécialistes.
Exploitant la solitude des individus en période d’isolement, les tentatives de sextorsion ont augmenté avec la pandémie, selon Patrick Ghion, chef de la Section forensique de la Police de Genève. Une première variante concerne les «fake sextorsion». Dans ces e-mails, qui peuvent être envoyés sur des boites professionnelles, le criminel exige le versement d’argent, en arguant qu’il est en possession de photos ou de vidéos compromettantes. Le malfaiteur espère ainsi que, parmi les destinataires, se trouvent des personnes qui ont récemment regardé de la pornographie.
Dans sa variante classique, la «sextorsion» touche plutôt les individus via leurs applications privées comme Facebook. Le criminel demande d’être ajouté à une liste d’amis (généralement à l’aide de faux profils de femmes séduisantes) et propose de poursuivre la conversation sur un chat vidéo. La victime se déshabille et le chantage commence alors. «Si l’on est victime de ce type d’arnaque, il faut venir déposer plainte à la police, souligne Patrick Ghion. Mais la meilleure arme reste la prévention. Il convient de toujours se demander: que ferais-je dans la vraie vie? Accepterais-je de me déshabiller devant un inconnu dans la rue? Ces barrières de protection naturelle tombent malheureusement trop souvent dans le monde digital.»
Des tromperies apparaissent également sur les sites de ventes en ligne. «Nous mettons en place de nombreux garde-fous pour contrecarrer les plans des cyberarnaqueurs, relève la spécialiste anti-fraudes pour le site de petites annonces Anibis.ch, Jelena Moncilli. Mais il faut surtout veiller à toute vente ‘trop belle pour être vraie’.» Les prix défiants toute concurrence peuvent par exemple cacher des objets volés, des contrefaçons, des importations illégales, ou tout simplement des objets inexistants. «Il est conseillé de seulement communiquer via le chat de la plateforme, de proposer une rencontre pour voir l’objet ou, si ce n’est vraiment pas possible, de demander des photos avec des preuves (telles qu’un journal suisse du jour placé à côté de l’objet). Il est aussi souhaitable de payer en carte bancaire. En cas de problème, il est ainsi possible de demander rapidement à sa banque de faire opposition.»
_______
Lexique du jargon de la cybersécurité
Adresse IP: version internet de l’adresse personnelle de l’ordinateur qui est identifiée lorsqu’il communique sur un réseau.
Cryptographie: Ensemble des principes, techniques et méthodes de la transformation de données. L’objectif est de préserver le contenu face à des utilisateurs non autorisés.
DDoS: «Distributed Denial of Service», ou «déni de service». Type d’attaque qui vise à surcharger le site internet ou les services en ligne pour les rendre inaccessibles.
Firewall, ou pare-feu: il protège le réseau et les appareils d’une attaque extérieure en filtrant les connexions et les données qui transitent à l’interne comme à l’externe sur internet.
Phishing ou hameçonnage: tentative d’obtenir des informations confidentielles en se faisant passer par une marque commerciale connue.
Malware, ou maliciel: logiciel malveillant conçu pour infiltrer et/ou endommager un système informatique. Les plus courants sont les virus, les chevaux de Troie et les logiciels espions ou publicitaires. Ils peuvent reformater le disque dur de l’ordinateur (supprimant ainsi toutes les données), modifier des données, envoyer des emails à votre nom, prendre le contrôle de l’appareil.
Ransomware, ou rançon logiciel: un rançongiciel crypte toutes les données d’un réseau et les rend inaccessibles. Pour obtenir la clé de déchiffrement et retrouver les données, les pirates demandent une rançon financière à verser le plus souvent en cryptomonnaie.
VPN, ou «virtual private network»: outil qui permet à l’utilisateur de rester anonyme lorsqu’il utilise l’internet en masquant sa localisation et en cryptant le trafic.