Pierre Poggi, Country Manager France Watchguard
ll est raisonnable de dire que les cyber criminels suivent une ligne de conduite commune, au moins tant que les grandes titres des journaux sont concernés. Qu’il s’agisse de Sony ou de JP Morgan, ils s’intéressent à chaque fois à de grandes multinationales disposant d’un large écosystème et cherchent à exploiter une faille dans leur armure. Des entreprises de taille plus modeste, celles que l’on côtoie tous les jours dans la rue, sont devenus aujourd’hui une cible de choix pour les cyber criminels. Plusieurs études récentes montrent que plus de 40% des PME admettent avoir déjà été la cible d’une cyber attaque.
Ce manque de visibilité est en partie ce qui rend les PME et les collectivités locales intéressantes en tant que cibles.
Beaucoup de petites entreprises et de collectivités locales pensent être trop petites pour intéresser les cyber criminels. Mais d’après Visa, les petites entreprises représentent 90% des attaques dans le secteur de la distribution. Les petites organisations détiennent des données de valeur qui génèrent de gros profits pour les hackers, telles que des numéros de carte de crédit, des fichiers médicaux ou des informations personnelles conservées par des organismes officiels, des comptables ou même le tribunal local. Dans certains cas, la PME n’est pas directement ciblée, mais est tout de même impactée. Les hackers ont perfectionné leur capacité à effectuer des attaques automatisées et opportunistes scannant le web en permanence à la recherche de systèmes non protégés. Donc même su la victime ne détient pas de données de valeur à voler, son réseau peut être piraté et devenir un proxy involontaire à partir duquel de nouvelles attaques peuvent être déclenchées.
La récente étude Global State of Information Security Survey menée par PwC a révélé que les petites entreprises (avec un chiffre d’affaires annuel inférieur à 100 millions de $) ont en fait réduit leurs investissements consacrés à la sécurité de 20% en 2014, alors que les entreprises plus importantes ont augmenté les leurs de 5%. Avec des budgets et un savoir-faire restreints, les PME limitent souvent leur sécurité réseau à un firewall SPI standard et à des antivirus basés sur des signatures, qui ne bloquent que les attaques limitées et qui sont plusieurs jours voire plusieurs semaines en retard par rapport aux nouveaux malwares ‘zero day’.
Les attaques contre les PME ont également des impacts pour les grandes entreprises. Les hackers ont appris que la meilleure façon d’atteindre une grosse cible bien protégée est d’infiltrer le réseau d’un de ses fournisseurs de petite taille afin d’accéder aux systèmes de la cible principale par une porte de derrière.
Plus de 90% des attaques sur Internet exploitent d’anciennes failles de sécurité que les fournisseurs ont déjà traitées mais sans que les utilisateurs en aient tenu compte. Les mises à jour logicielles sont gratuites ou peu onéreuses, n’exigent aucun savoir-faire technique particulier pour leur installation, et constituent l’une des plus importantes mesures de sécurité de base pour une entreprise de toute taille Il faut donc prendre l’habitude d’appliquer les mises à jour des systèmes d’exploitation et autres applications, et d’effectuer les mises à jour de firmware pour les matériels.
Les nouvelles cyber menaces sont bien plus sophistiquées qu’elles ne l’étaient même il y a un an. Des systèmes de sécurité avancés tels que des firewalls de nouvelle génération et des boîtiers UTM sont conçus pour stopper un large éventail des nouvelles attaques évolutives d’aujourd’hui, telles les malwares ‘zero day’.
Politique stricte de mots de passe. Adopter, communiquer et imposer une stricte politique de mots de passe.
Formations à la vigilance. Toutes les défenses du monde ne pourront empêcher un employé de commettre une bêtise. Il est donc nécessaire de former le personnel à la vigilance sur Internet de telle sorte qu’il fasse attention aux attachements et aux liens dans les emails, même s’ils paraissent provenir de personnes de confiance.
Commenter cet article