Je suis responsable de l’infogérance chez LessonSharing, entreprise qui propose des prestations de formation et d’infogérance. Lorsqu’une entreprise ne souhaite pas avoir de pôle informatique en interne, majoritairement pour des raisons financières, notre rôle est de remplacer ce pôle en tant qu’infogérant.
Dans ce cas précis, l’infogérance a un lien direct avec la cybersécurité car nous proposons aux clients de gérer leur infrastructure dans la sécurité, avec des prestations dédiées à la cybersécurité.
Nicolas Rousse
Responsable département infogérance
Il y a une différence notamment au niveau du RGPD (Règlement Général sur la Protection des Données) car il est davantage appliqué sur des grandes entreprises que sur les petites. En effet, les grandes institutions ont plus de moyens que les PME.
Concernant la structure, il n’y a pas de distinction particulière ; le principe d’une cyberattaque reste le même.
Les hackers n’ont pas toujours une cible précise. Cela va dépendre du type d’attaque et du type d’entreprise. En général, ce sont les institutions réputées pour avoir de l’argent ou détentrices de données qui ont de la valeur qui vont être attaquées.
Toutefois, les cibles majeures de ces dernières années sont les hôpitaux. Dans le cas d’un ransomware, il n’est pas toujours évident qu’une entreprise paye, mais les dispensaires ont la réputation de payer la majorité du temps. Ils deviennent ainsi des cibles prioritaires.
Les hôpitaux ne sont pas des cibles « riches », au contraire ! Ils ont des infrastructures totalement dépassées donc ils sont très faciles à attaquer.
Avec des données critiques qu’ils ne peuvent pas se permettre de perdre, ils sont ainsi condamnés à payer la rançon exigée. Nous vivons une triste époque…
Pour les petites ou moyennes entreprises, je recommanderais la réalisation d’audits de sécurité. En d’autres termes, l’entreprise nous autorise à pirater son service informatique dans le but de révéler des failles de sécurité. En tant qu’infogérant, mon but est de montrer les failles de sécurité et donner des pistes pour pouvoir les régler. Le point faible d’un audit reste généralement son prix, car il a tendance à coûter assez cher et que beaucoup d’entreprises font encore l’autruche face à cette situation. Toutefois, c’est une solution pour les TPE.
Les solutions sont légèrement différentes pour les grandes entreprises. Je préconiserai une révision très régulière des logiciels utilisés ainsi qu’une mise à jour fréquente des mots de passe.
Un des cas les plus courants : c’est que le système d’information soit tellement grand qu’il ne peut pas s’occuper de tout. Il arrive que les salariés se retrouvent avec des services ou des logiciels encore en production qui ne sont plus utilisés et qui potentiellement causent encore des failles de sécurité !
Pour exemple, c’est arrivé à un prestataire de Microsoft il y a quelques années. Les attaquants sont passés par un contribuable pour attaquer la plateforme et ça a marché, car des solutions non fonctionnelles étaient encore présentes. Ce genre d’événement est très courant dans les grands groupes !
Une des failles les plus repérables sur le web sont les mots de passe qui ne sont pas floutés.
Normalement, c’est illégal pour un site de proposer un champ de mot de passe qui n’est pas haché, car cela signifie qu’il est lisible par l’administrateur du site. Un petit indice en cas de doute ; si jamais nous cliquons sur la rubrique « mot de passe oublié » et que le site me renvoie mon mot de passe exact, il y a une grosse faille de sécurité.
Les administrateurs du site peuvent lire mon mot de passe ! Par conséquent, mes données personnelles sont en danger.
Quand une entreprise se fait attaquer en France, elle a 72 heures pour prévenir la CNIL (Commission Nationale de l’informatique et des libertés). Si elle ne le fait pas, et que la CNIL l’apprend, l’entreprise doit verser une amende correspondant à 3% du chiffre annuel mondial. Parfois, il arrive même que la firme paye jusqu’à 30% de son chiffre d’affaire mondial. Une sacrée somme… pour une si petite erreur.
Comme solution minimale, les audits sont tout indiqués !
Cela forme les salariés d’une entreprise : par exemple, une entreprise peut tester ses employés en envoyant un mail phishing jouant sur la peur « il vous reste un jour avant de réactiver votre compte XXX ! Cliquez sur ce lien ». Ce genre de malware joue sur le stress des salariés. Au début, 87% d’entre eux tombent dans le guet-apens. Six mois plus tard, l’entreprise réitère le test avec le même sujet et seulement 10% des gens retombent dans le piège.
Nicolas Rousse
Responsable département infogérance
Envie de faire de la cybersécurité ?
Devenez le cador de la sécurité informatique en intégrant un parcours complet du post-bac au bac+5.
Prenez contact tout au long de l’année pour échanger avec l’un de nos coachs et parler de votre avenir ! 🤝
Je prends contact