Reading time: 5 Minutes
« La question n’est plus tellement de savoir si vous allez être victime d’un piratage, mais plutôt quand. » Tels sont les propos du PDG de Verizon, Lowell C Macadam, qui sait effectivement très bien de quoi il parle. Tout juste quatre mois après l’acquisition de Yahoo! par sa société, il est apparu que trois milliards de comptes utilisateur avaient été piratés au cours d’une seule attaque en 2013.
Malgré la multiplication de telles déconvenues, des études démontrent que de nombreuses entreprises restent terriblement vulnérables aux cyberattaques. Une enquête du gouvernement britannique a révélé que 68 % des conseils d’administration n’avaient pas reçu la moindre formation sur la façon de gérer une faille de sécurité.
Le problème pourrait être que les dirigeants ne sont pas disposés à investir dans des technologies coûteuses sans être certains qu’elles offriront une défense efficace. En effet, si des géants de la technologie tels que Yahoo! ne parviennent pas à maintenir les pirates hors de portée, quelles sont les chances d’une société ordinaire ?
Il est vrai que certaines solutions ne sont pas bon marché. Le prix de départ d’un abonnement annuel aux systèmes de surveillance sophistiqués tels que ProtectWise (permettant d’enregistrer tout votre trafic réseau et de revenir en arrière pour le revisionner et effectuer des analyses de sécurité, à l’instar d’un système de vidéosurveillance virtuel) peut avoisiner une dizaine de milliers d’euros.
Cela dit, la bonne nouvelle est que la mise en place de mesures simples permet facilement d’éviter de nombreuses cyberattaques. Pas plus tard que cette année, l’attaque prolifique du rançongiciel WannaCry exploitait une faiblesse d’un ancien logiciel Microsoft pour lequel la société avait déjà mis à disposition un correctif de sécurité.
Il existe une quantité d’autres solutions bon marché. En voici cinq que chaque entreprise devrait envisager :
1. Logiciel anti-virus
Les logiciels de détection et de gestion des menaces peuvent effectivement être coûteux, mais il existe de nombreuses solutions pour les plus petites entreprises avec moins de ressources. Des sociétés réputées telles que Kaspersky, McAfee et Symantec fournissent des solutions aux petites entreprises pour protéger 20 à 25 appareils pour un forfait d’abonnement annuel à partir de 130 €. Les services proposés incluent des sauvegardes automatisées, une solution de prévention de perte de données, un anti-virus et un logiciel anti-espion, un pare-feu ainsi qu’une protection des données confidentielles.
Vous en aurez toujours pour votre argent, veillez donc à tenir compte du coût de votre défense par rapport au coût potentiel d’une attaque. Par exemple, la solution de protection avancée des nœuds d’extrémité basée sur le Cloud de Kaspersky coûte environ 850 € par an pour 10 utilisateurs. Sachant que, selon les résultats d’une récente enquête du ministère britannique du numérique, de la culture, des médias et des sports, le coût moyen d’une cyber-attaque se chiffre à 1 770 € pour une société classique et peut atteindre 22 000 € pour une grande entreprise, un investissement de 850 € ne semble pas exagéré.
2. Formation du personnel et services de renseignements gratuits
Avant même d’envisager d’investir dans un logiciel de détection des menaces, gardez à l’esprit que la plupart des risques de sécurité n’émanent pas d’organisations criminelles ni de gouvernements étrangers hostiles, mais bien de l’intérieur. Les négligences d’employés (oubliant leur ordinateur portable dans le train) ou des actes malveillants de la part de membres du personnel représentaient deux-tiers des violations de sécurité, selon les données analysées cette année par Willis Towers Watson. Seules 18 % des violations provenaient directement d’une menace externe, et les extorsions ne représentaient que 2 % des cas.
StaySafeOnline.org est un site de ressources gratuites contenant une mine de conseils sur la façon dont les sociétés peuvent se protéger, ainsi que des suggestions de techniques de formation du personnel. Social-Engineer.com fournit également des conseils gratuits aux managers, souvent par le biais de podcasts ou de débats avec des experts de la sécurité. Le site vend aussi des modules sophistiqués de formation du personnel qui simulent les attaques de la vie réelle.
3. Services de sécurité et performances Web
Toute entreprise disposant d’un site Web et n’ayant pas encore installé un optimiseur de performances tel que Cloudflare ou Incapsula devrait l’envisager sans plus tarder. Ces services « freemium » (gratuits à l’installation avec possibilité de services plus complets moyennant des mises à jour payantes) résident en amont de votre site Web et bloquent les attaques risquant d’occasionner un piratage de votre contenu ou la fermeture de votre site Web.
Cloudflare propose trois niveaux supplémentaires en plus de la version gratuite : niveau professionnel, commercial et entreprise. Commencer par installer la version gratuite ne constitue pas un mauvais point de départ, d’autant que la société a célébré son septième anniversaire le mois dernier en offrant une protection gratuite contre les attaques de déni de service distribué (dites DDoS), qui consistent à faire planter les sites Web en les inondant de trafic.
D’autres fonctions proposées par ces services consistent à permettre aux utilisateurs de bloquer certaines adresses IP ou des robots malveillants en soumettant aux visiteurs un CAPTCHA (invite à saisir les lettres figurant sur une image déformée impossible à déchiffrer par des machines), avant de pouvoir accéder à un site Web.
4. Services de protection contre l’usurpation d’identité
Une personne mal intentionnée se fait passer pour un haut responsable de l’entreprise et envoie un e-mail à un subalterne lui demandant d’effectuer un dépôt d’argent sur son compte. Cette pratique (officiellement appelée attaque de la messagerie d’entreprise) augmente à un rythme inquiétant. D’après le FBI, les pertes occasionnées par ces escroqueries ont augmenté de 1 300 % entre 2015 et 2017.
Par ailleurs, les attaques deviennent de plus en plus sophistiquées, dans la mesure où les escrocs ne se contentent pas de créer de faux comptes, mais piratent en réalité les réseaux de messagerie de l’entreprise. Une méthode bon marché pour lutter contre le problème consiste à introduire des protocoles de messagerie stricts ; par exemple, obliger le personnel à répondre au PDG dans un nouvel e-mail, au lieu de simplement cliquer sur Répondre.
Toutefois, pour les entreprises qui souhaitent des moyens de défense plus rigoureux, des sociétés telles que Experian et Lifelock offrent des services d’alerte et de surveillance du crédit (pour un coût moyen avoisinant 130 € par an) ainsi que des plans de réponse d’urgence en cas de vol de données.
5. Applications intelligentes bon marché pour smartphone
Sachant combien il est facile de voler ou d’égarer nos appareils mobiles alors que ceux-ci contiennent une telle quantité de données sensibles, il est indispensable de préserver leur sécurité. Heureusement, l’univers des applications foisonne de solutions novatrices.
Les gestionnaires de mots de passe comme 1Password peuvent considérablement améliorer la sécurité en mémorisant pour vous des mots de passe impossibles à deviner (évitant ainsi tout risque de créer une chaîne de failles de sécurité en réutilisant les mêmes mots de passe pour plusieurs comptes). Ils peuvent également générer des mots de passe pour vous.
Citons ensuite les applications telles que Signal qui permettent de chiffrer gratuitement de bout-en-bout toutes les communications, afin de pouvoir conserver les conversations sensibles à l’abri des oreilles et des regards indiscrets.
La dernière application que nous aimerions mentionner (et ce n’est d’ailleurs pas la moindre) est Keeply. Elle permet aux travailleurs de conserver les informations sensibles, comme les mots de passe et les photos, dans un endroit séparé de leur téléphone. Elle offre même une fonction « face lock-down » qui ferme l’application lorsqu’un téléphone est positionné face vers le bas, et fait mine de demander un code PIN dissuadant ainsi les utilisateurs indésirables.
