Quid de la sécurité informatique
Bien que la cybersécurité soit un enjeu majeur pour les entreprises, nombreuses sont celles qui ne prennent pas ce néologisme suffisamment au sérieux, par manque d’informations, de formation, d’éducation sur le sujet. Elle est absente dans un grand nombre d’institutions en France et en Europe.
Cela s’explique dans un premier temps par le fait que très peu de sensibilisation est faite auprès des salariés ; la plupart ne savent même pas comment la cybersécurité fonctionne et à quoi elle correspond. La majorité de la population ignore les impacts qu’une cyberattaque peut avoir, notamment financiers.
Je suis responsable de l’infogérance chez LessonSharing, entreprise qui propose des prestations de formation et d’infogérance. Lorsqu’une entreprise ne souhaite pas avoir de pôle informatique en interne, majoritairement pour des raisons financières, notre rôle est de remplacer ce pôle en tant qu’infogérant.
Dans ce cas précis, l’infogérance a un lien direct avec la cybersécurité car nous proposons aux clients de gérer leur infrastructure dans la sécurité, avec des prestations dédiées à la cybersécurité.
Nicolas Rousse
Responsable département infogérance
Les principales cibles
Il y a une différence notamment au niveau du RGPD (Règlement Général sur la Protection des Données) car il est davantage appliqué sur des grandes entreprises que sur les petites. En effet, les grandes institutions ont plus de moyens que les PME.
Concernant la structure, il n’y a pas de distinction particulière ; le principe d’une cyberattaque reste le même.
Les hackers n’ont pas toujours une cible précise. Cela va dépendre du type d’attaque et du type d’entreprise. En général, ce sont les institutions réputées pour avoir de l’argent ou détentrices de données qui ont de la valeur qui vont être attaquées.
Toutefois, les cibles majeures de ces dernières années sont les hôpitaux. Dans le cas d’un ransomware, il n’est pas toujours évident qu’une entreprise paye, mais les dispensaires ont la réputation de payer la majorité du temps. Ils deviennent ainsi des cibles prioritaires.
Les hôpitaux ne sont pas des cibles « riches », au contraire ! Ils ont des infrastructures totalement dépassées donc ils sont très faciles à attaquer.
Avec des données critiques qu’ils ne peuvent pas se permettre de perdre, ils sont ainsi condamnés à payer la rançon exigée. Nous vivons une triste époque…
Quelles sont les solutions à envisager ?
Pour les PME ?
Pour les petites ou moyennes entreprises, je recommanderais la réalisation d’audits de sécurité. En d’autres termes, l’entreprise nous autorise à pirater son service informatique dans le but de révéler des failles de sécurité. En tant qu’infogérant, mon but est de montrer les failles de sécurité et donner des pistes pour pouvoir les régler. Le point faible d’un audit reste généralement son prix, car il a tendance à coûter assez cher et que beaucoup d’entreprises font encore l’autruche face à cette situation. Toutefois, c’est une solution pour les TPE.
Pour les GE ?
Les solutions sont légèrement différentes pour les grandes entreprises. Je préconiserai une révision très régulière des logiciels utilisés ainsi qu’une mise à jour fréquente des mots de passe.
Un des cas les plus courants : c’est que le système d’information soit tellement grand qu’il ne peut pas s’occuper de tout. Il arrive que les salariés se retrouvent avec des services ou des logiciels encore en production qui ne sont plus utilisés et qui potentiellement causent encore des failles de sécurité !
Pour exemple, c’est arrivé à un prestataire de Microsoft il y a quelques années. Les attaquants sont passés par un contribuable pour attaquer la plateforme et ça a marché, car des solutions non fonctionnelles étaient encore présentes. Ce genre d’événement est très courant dans les grands groupes !
Les risques du manque de
Malgré les moyens déployés, il n’y a pas encore suffisamment d’actions concrètes. Quand elles se font attaquer, certaines entreprises veulent garder leur réputation de sécurité pour sauver la face, alors que ce n’est plus du tout le cas… Comme Sécurité Orange, LA référence de la cybersécurité en France, et qui s’est fait dérober une multitude de ses données. Il en va de l’avenir de l’entreprise si la nouvelle paraît au grand jour.
De plus, de nombreuses institutions utilisent encore un mot de passe inadapté ou peu sécurisé. Lorsqu’une entreprise s’appelle « Yellow Sun », utiliser le mot de passe « yellowsun1234 » serait complètement inapproprié et insécurisé. Les firmes de petites ou grandes tailles doivent impérativement remédier à cela !
Le coût d’une faille en cybersécurité :
Une des failles les plus repérables sur le web sont les mots de passe qui ne sont pas floutés.
Normalement, c’est illégal pour un site de proposer un champ de mot de passe qui n’est pas haché, car cela signifie qu’il est lisible par l’administrateur du site. Un petit indice en cas de doute ; si jamais nous cliquons sur la rubrique « mot de passe oublié » et que le site me renvoie mon mot de passe exact, il y a une grosse faille de sécurité.
Les administrateurs du site peuvent lire mon mot de passe ! Par conséquent, mes données personnelles sont en danger.
Quand une entreprise se fait attaquer en France, elle a 72 heures pour prévenir la CNIL (Commission Nationale de l’informatique et des libertés). Si elle ne le fait pas, et que la CNIL l’apprend, l’entreprise doit verser une amende correspondant à 3% du chiffre annuel mondial. Parfois, il arrive même que la firme paye jusqu’à 30% de son chiffre d’affaire mondial. Une sacrée somme… pour une si petite erreur.
En quoi l’IPSSI répond aux enjeux des entreprises ?
En tant qu’intervenant, j’essaye de compléter tout ce qui peut manquer aux entreprises pour les étudiants en cybersécurité. J’enseigne le pentest ce qui renvoie à l’ethical hacking. Je leur apprends à attaquer des systèmes informatiques pour qu’ils sachent s’en protéger par la suite. Il y a beaucoup d’établissements qui n’enseignent pas aux apprenants le déroulement d’une attaque. C’est l’enseignement bête et méchant de power point et ça ne fonctionne pas à long terme. Je maximise sur la pratique pour plus de concret afin qu’ils soient capables de comprendre avant d’apprendre !
D’ailleurs, chaque cours est accompagné d’une courte évaluation. Le plus souvent, ils doivent trouver une faille de sécurité et l’exploiter sur une véritable infrastructure.
Comme solution minimale, les audits sont tout indiqués !
Cela forme les salariés d’une entreprise : par exemple, une entreprise peut tester ses employés en envoyant un mail phishing jouant sur la peur « il vous reste un jour avant de réactiver votre compte XXX ! Cliquez sur ce lien ». Ce genre de malware joue sur le stress des salariés. Au début, 87% d’entre eux tombent dans le guet-apens. Six mois plus tard, l’entreprise réitère le test avec le même sujet et seulement 10% des gens retombent dans le piège.
Nicolas Rousse
Responsable département infogérance
Comment devenir un futur
Envie de faire de la cybersécurité ?
Devenez le cador de la sécurité informatique en intégrant un parcours complet du post-bac au bac+5.
IPSSI n’attend plus que vous !
Prenez contact tout au long de l’année pour échanger avec l’un de nos coachs et parler de votre avenir ! 🤝
Je prends contact