Cet article a été rédigé d'après des sources de https://www.cybermalveillance.gouv.fr/
Le risque cyber est omniprésent et touche aujourd’hui tout type de structure. Entreprises, associations, collectivités ou administrations, quelle qu’en soit leur taille, elles peuvent être la cible d’une cyberattaque. Une situation qui peut avoir de graves conséquences pour l’organisation qui en est victime : techniques, financières, réputationnelles, juridiques ou encore humaines.
Les principales cyberattaques en 2022
L’hameçonnage (ou phishing) n’est pas une attaque à proprement parler mais un vecteur pour une attaque ultérieure. Comme son nom l’indique, cette technique consiste à « appâter » une victime en l’incitant à fournir des informations confidentielles ou en mettant à sa portée des codes malveillants et en attendant qu’elle les active à son insu en ouvrant une pièce jointe ou en cliquant sur un lien hypertexte. Une fois activés, ces codes malveillants serviront de base pour un piratage de compte qui permettra à son tour une intrusion dans un système d’information, une fraude au faux ordre de virement, une usurpation d’identité voire une attaque par rançongiciel quand il s’agit d’une récupération d’identifiants d’un compte permettant un accès distant au réseau de l’entreprise.
Le piratage de compte désigne la prise de contrôle par un individu malveillant d’un compte au détriment de son propriétaire légitime. Il peut s’agir de comptes de messagerie, de comptes administrateurs, de réseaux sociaux, de sites, de plateformes, etc. Pour prendre possession de votre compte, les cybercriminels peuvent forcer votre mot de passe s’il est trop simple, installer des logiciels espions enregistreurs de frappe, utiliser des techniques d’hameçonnage, attaquer un site qui détient votre mot de passe si vous l’utilisez sur plusieurs sites.
Un rançongiciel (ou ransomware) est un logiciel malveillant qui chiffre les données d’un appareil, ce qui les rend inaccessibles. Une rançon est réclamée, le plus souvent en cryptomonnaies, avec la promesse de restaurer l’accès aux données. Ce type d’attaque vise à créer le sentiment de panique chez la victime en menaçant de divulguer publiquement les données ou de les supprimer, en imposant un ultimatum pour le paiement de la rançon et en faisant augmenter le montant de la rançon au fil du temps.
Des individus malveillants s’introduisent dans le système d’information de l’entreprise et en altèrent le fonctionnement ou dérobent des données. L’infection peut provenir de l’ouverture d’une pièce jointe, d’un lien hypertexte, d’une navigation sur des sites Internet compromis, d’un réseau public non sécurisé, d’une intrusion directe dans le système en exploitant une faille de sécurité, d’une clé USB contenant un logiciel malveillant, d’un collaborateur mal intentionné, ou encore du système d’information d’un client ou d’un fournisseur compromis. Par la suite, le cybercriminel peut chercher à s’introduire dans les autres équipements du réseau attaqué.
L’usurpation d’identité consiste à prendre l’identité d’une personne dans le but de réaliser des actions frauduleuses. Cependant, de plus en plus de cybercriminels usurpent l’identité d’entreprises afin de passer des commandes de biens et de services dans des quantités importantes ou de contracter des emprunts en leur nom. Les fraudeurs sont très organisés, ils ouvrent de fausses lignes téléphoniques, créent des adresses électroniques similaires à celles de l’entreprise cible, falsifient des bons de commandes voire procèdent à des enregistrements auprès du registre du commerce. L’identité numérique peut aussi être usurpée avec la mise en ligne d’un site miroir, en tout point identique à celui de l’entreprise qui sera utilisé pour escroquer ses clients.
Une attaque en déni de service ou en déni de service distribué (DDoS pour Distributed Denial of Service) consiste à rendre inaccessible un site ou un service en ligne en saturant le serveur de requêtes. Cette sur-sollicitation du serveur provoque une panne ou un fonctionnement fortement dégradé du service. Le déni de service a des conséquences particulièrement graves lorsqu’il porte sur un site marchant car il engendre une interruption immédiate des ventes. Il arrive même que ce type d’attaque ne constitue qu’une diversion pour mener une attaque visant à voler des données sensibles.
Le changement de RIB consiste pour les cybercriminels à contacter un employé du service de comptabilité ou de trésorerie de l’entreprise en se faisant passer pour un fournisseur ou un client et en prétextant un changement de relevé d’identité bancaire. Il arrive même que les cybercriminels se fassent passer pour les salariés de l’entreprise pour percevoir leur salaire à leur place par exemple. Les nouveaux comptes bancaires sont en réalité ceux des fraudeurs qui sollicitent ensuite des virements en urgence pour des factures impayées et récupèrent d’importantes sommes d’argent avant que l’entreprise victime ne prenne conscience de la supercherie.
Le changement de RIB est, avec la fraude au président, l’un des deux types de fraude aux faux ordres de virement « FOVI ». Il s’agit d’une escroquerie très répandue où les cybercriminels privilégient l’envoi d’e-mails et les appels téléphoniques pour mener une arnaque basée sur l’abus de confiance. Il peut s’écouler plusieurs mois entre le changement de RIB et la demande de paiement frauduleuse.
La défiguration est une attaque informatique qui consiste à modifier l’apparence ou le contenu du site Internet de l’entreprise cible. Cette attaque peut rendre le site Internet inutilisable entraînant ainsi une interruption d’activité et porte aussi atteinte à l’image et à la crédibilité de l’entreprise. Les cybercriminels agissent pour des motivations politiques, idéologiques, par goût du challenge, chantage, vengeance, ou pour des raisons économiques (concurrence par exemple).
Le règles simples et efficaces pour se prémunir d’une cyberattaque
Avec l’appui de votre comité de direction, vous pouvez établir un code de bonne conduite qui pourra prendre la forme d’une charte informatique à faire signer lors de la remise de matériel et mener des actions de sensibilisation : diffusion des bonnes pratiques, de documentation, campagnes de prévention, etc.
Faites de vos collaborateurs les acteurs de votre cyberdéfence en désignant l’un d’eux comme ambassadeur des bonnes pratiques au sein de votre entreprise et en proposant à tous des formations dédiées.
Pour être efficace, un mot de passe doit être long et complexe. On évitera ceux qui peuvent être devinés facilement (« azerty », « mot de passe », etc.). Privilégiez les « pass phrases », en prenant les initiales des mots d’une phrase.
Un mot de passe doit être individuel et rester confidentiel. Aucun interlocuteur de confiance ne vous demandera jamais de lui communiquer votre mot de passe par quelque moyen que ce soit même pour une maintenance, un dépannage informatique ou une vérification de sécurité.
Un mot de passe différent doit être créé pour chaque usage. Ainsi en cas de perte ou de vol d’un de vos mots de passe, seul le service concerné sera vulnérable. Dans le cas contraire, tous les services pour lesquels vous utilisez le même mot de passe compromis seraient impactés.
Utilisez des gestionnaires ou coffres-forts de mots de passe qui vous aideront à les stocker de manière sécurisée.
Un mot de passe doit être changé régulièrement, tous les 3 mois. En moyenne pour les services les plus critiques, un renouvellement plus fréquent est à privilégier. Celui-ci peut généralement être imposé automatiquement par certains systèmes (système d’exploitation par exemple).
Les dernières versions de système d’exploitation et de logiciel sont toujours les plus avancées en termes de sécurité. Il est donc primordial de vérifier régulièrement que vos appareils et logiciels ont été mis à jour. Lorsque votre système d’exploitation est à jour, activez les mises à jour automatiques si votre éditeur le permet. Et surtout, installez uniquement les mises à jour proposées par votre éditeur ou fournisseur, provenant d’une source officielle fiable.
Aussi, il est préférable de privilégier deux éditeurs d’antivirus différents : un pour vos serveurs et un autre pour vos postes de travail.
Pour vous aider dans cette action, cartographiez l’ensemble de vos appareils et de vos logiciels ainsi que leur version dans un registre. Des applications d’inventaire existent.
Beaucoup d’attaquants comptent sur la curiosité et la naïveté de leurs victimes. Ainsi n’ouvrez jamais une pièce jointe suspecte ou provenant d’un expéditeur inconnu. Ne connectez jamais une clé USB en apparence abandonnée que vous auriez trouvée dans le parking ou devant l’entrée de l’entreprise car il y a fort à parier qu’elle a été laissée là intentionnellement, bien en évidence, dans l’attente qu’une future victime s’en saisisse.
Avant de cliquer sur un lien, passez votre souris dessus pour apercevoir le nom de domaine. Ne vous aventurez pas sur des sites douteux.
Lorsque vous êtes en déplacement, ne vous connectez jamais à un réseau public (cafés, hôtels, aéroports, etc.).
Et séparez toujours les usages personnels et les usages professionnels. Voir notre article
En cas de vol, de panne, de piratage ou de destruction de vos appareils électroniques, vous perdrez les données enregistrées sur ces supports. Ayez le réflexe de réaliser régulièrement une sauvegarde de vos données. Identifiez les appareils et supports qui contiennent des données puis déterminez celles qui doivent être sauvegardées. Pensez également à sauvegarder les logiciels nécessaires à l’exploitation de vos données.
Pour cela, choisissez une solution de sauvegarde adaptée à vos besoins. Déterminez quelles sont les fonctionnalités nécessaires (chiffrement par exemple), l’espace de stockage requis et la facilité d’utilisation de la solution. Sachez qu’il est également possible de réaliser une sauvegarde manuelle de vos fichiers en les copiant sur un disque dur externe en veillant à les chiffrer et à les protéger par un mot de passe.
La plupart des solutions de sauvegarde intègrent une fonctionnalité permettant de planifier la sauvegarde à échéance régulière. Lorsque vous l’activez, elle vous permettra de restaurer vos fichiers dans leur version la plus récente.
Déconnectez votre support de sauvegarde de votre système d’information. S’il est corrompu, cela évitera que l’infection ne se propage à votre espace de sauvegarde. Avant de restaurer vos données il faudra vous assurer que le système d’information est désinfecté de tout logiciel malveillant.
Il est recommandé de conserver vos sauvegardes sur des sites différents de celui qui héberge vos données à sécuriser.
Et bien sûr, assurez-vous régulièrement que vos sauvegardes sont conformes et exploitables en faisant des tests de restauration. Voir notre article
Pour limiter les risques d’attaque, il est conseillé de restreindre les accès Internet uniquement aux sites nécessaires à vos collaborateurs.
Une politique de gestion des droits d’accès (accès informatiques mais aussi accès physiques à vos locaux en particulier pour les entrées et sorties du personnel) peut être mise en place. Il faut également prévoir une politique de mise à jour et de re-certification de ces droits.
Les accès wifi doivent être sécurisés et lors des déplacement, l’utilisation d’un VPN pour se connecter à distance reste le plus sûr.
En bloquant les ports USB des appareils, cela évitera à la fois d’exposer vos systèmes à une clé infectée et le vol massif de vos données par un collaborateur mal intentionné.
La mise en place d’une authentification forte multi-facteurs (confirmation d’un code reçu par SMS ou par e-mail par exemple) pour accéder à des applications peut être un moyen supplémentaire de les sécuriser.
Quels sont les premiers réflexes à avoir en cas de cyberattaques ?
Une cyberattaque peut se produire à tout moment et, parfois, ce sont les collaborateurs de l’organisation visée qui en sont les premiers témoins : fichiers chiffrés, difficultés ou impossibilité d’accès aux logiciels ou systèmes informatiques, etc.
Il est donc essentiel de sensibiliser tous les collaborateurs aux consignes d’urgence à appliquer pour réagir en cas de cyberattaque et ainsi aider l’organisation à répondre au plus vite à l’incident pour améliorer ses chances d’y faire face.
Débranchez le câble réseau et désactivez la connexion Wi-Fi ou les connexions de données pour les appareils mobiles.
Certains éléments de preuve contenus dans la mémoire de l’équipement et nécessaires aux investigations seront effacés s’il est éteint.
Votre support pourra prendre les mesures nécessaires pour contenir, voire réduire, les conséquences de la cyberattaque.
Ne touchez plus à l’appareil pour éviter de supprimer des traces de l’attaque utiles pour les investigations à venir.
Une mauvaise manipulation de la part d’un autre collaborateur pourrait aggraver la situation.