Comment la cybercriminalité atteint les TPE/PME

Comment la cybercriminalité atteint les TPE/PME

Octobre est le “cybermoi/s” : un moyen de rappeler que la sécurité informatique est devenue un enjeu majeur pour les entreprises.

Une rançon de 500 euros. Rien de plus. Une broutille au regard de ce qu’avait connu Renault, la même année, en 2017, face à la menace WannaCry, un logiciel rançonneur qui avait fait plus de 200 000 victimes à travers le monde et qui avait contraint l’usine de Douai du constructeur automobile à stopper ses activités. Pour L’O Découpe, entreprise Bonnevilloise spécialisée dans la découpe au jet d’eau à haute pression, la demande de rançon n’était donc que de 500 euros.

Quelques heures pour crypter des données

Une broutille, car dans le monde, 6 % des entreprises attaquées seraient en moyenne rançonnée à hauteur de… 50 000 euros ou plus (les chiffres varient considérablement d’une source à l’autre). « Mais nous n’avions aucune assurance qui prévoyait ce type de risque, explique la gérante de la PME. Je réalisais des factures pour effectuer mon bilan, l’un des mails était piégé. En l’ouvrant, toutes nos données se sont retrouvées cryptées, il a fallu trois jours et trois nuits pour tout décrypter. »

Par chance, le matériel infecté devait être remplacé et les données vitales de l’entreprise avaient déjà été sauvegardées dans de nouveaux appareils. N’empêche, le mal aurait pu être évité : « Le cryptage a commencé à 14 h 30. Il aurait fallu qu’on nous dise de tout débrancher, mais l’entreprise informatique qui travaillait pour nous ne nous a rien dit. » À 22 h 30, les données étaient cryptées. Le pire aurait été de voir la société fermer, comme certaines TPE et PME françaises attaquées.

« Si la technique de défense était efficace, il n’y aurait pas d’attaques abouties », certifie le maréchal des logis Éric Pozzi, référent régional en sécurité économique à la gendarmerie. Aujourd’hui, la menace la plus sérieuse se situe « entre le clavier et la chaise ». Les statistiques sont éloquentes : en France, 53 % des attaques entrent dans le système informatique via un ou des salariés (ou dirigeants) peu avertis.

Comme le couple bonnevillois en a fait la triste expérience, 91 % des attaques se font par le biais de mails et de pièces jointes piégées. « Avec 500 euros, ils peuvent s’estimer heureux, reprend Éric Pozzi. Sur une attaque par rançongiciel classique, la moyenne se situe entre 3 000 et 30 000 euros de butin. »

Adopter les bonnes pratiques

Pour sensibiliser sur les dangers d’une sécurité informatique défaillante voire inexistante, le gendarme enchaîne les conférences (145 à ce jour) : « Je suis dans la vulgarisation, sinon je perds mon auditoire. Il faut savoir que la sécurité, c’est 80 % de bonnes pratiques, 20 % d’achats techniques. » Se défendre contre les attaques, quelles qu’elles soient, ne coûte pas cher à condition de respecter certains principes élémentaires, que décline Sébastien Salito (photo), dirigeant d’Expeinfo, expert en cybersécurité sur les deux Savoie : « Il existe quatre règles d’hygiène de base à respecter, avec en premier lieu, la gestion des mots de passe. À chaque service, son mot de passe. Puis les mises à jour systématiques. »

90 % des ordinateurs utilisés sont sous Windows ; la version 10 contraint désormais l’utilisateur à les effectuer. La troisième règle concerne la gestion des e-mails. Sur ce point, « les hébergeurs de mails ne sont pas tous au même niveau de sécurité », insiste Sébastien Salito. Enfin, les sauvegardes sont essentielles et doivent respecter la règle du 3-2-1 : « Trois copies, deux types de support et une sauvegarde “off line”, déconnectée du système général. »

TPE et PME sont particulièrement ciblées car « elles se croient inattaquables, on a tendance à les oublier ». Pour Vanessa Boissin, gérante de Links Elite à Chambéry, qui accompagne les entreprises dans leur sécurité numérique, il faut des offres adaptées : « Les PME n’ont pas les moyens d’aller vers de grosses sociétés spécialisées, trop chères. Il leur faut des offres adéquates en matière de sensibilisation, de mise en place d’une charte informatique et d’outils appropriés. »

Se défendre contre les attaques, quelles qu’elles soient, ne coûte pas cher à condition de respecter certains principes élémentaires, que décline Sébastien Salito (photo), dirigeant d’Expeinfo, expert en cybersécurité sur les deux Savoie : « Il existe quatre règles d’hygiène de base à respecter, avec en premier lieu, la gestion des mots de passe. À chaque service, son mot de passe. Puis les mises à jour systématiques. »

Potentiellement coûteux

Son travail ? Réaliser une étude de cadrage pour chaque entreprise requérante « afin de faire une photo de son état informatique ». Un rapport d’action est dressé dans la foulée. « Ce sont des propositions que nous faisons de manière ludique, par le biais de quizz, de spectacles humoristiques, de conférences… Parce que sinon, on fait peur. »

Cibles préférentielles des hackers et des pirates en tout genre, les PME et TPE sont 74 % en France à avoir subi au moins une cyberattaque, selon l’Agence nationale de la sécurité des systèmes d’information. Le coût moyen global d’une cyberattaque, en France en 2017, était de 242 000 euros, entre le préjudice, la reconstruction des données, de l’image de l’entreprise et les conséquences générées sur l’activité. De quoi faire réfléchir.

Les bonnes manoeuvres en cas d’attaque

Les moyens de prévenir une attaque existent, les méthodes pour s’en sortir également. EDF a affirmé, en 2016, subir dix millions de cyberattaques par an. Les plus modestes entités, elles, n’en subissent parfois qu’une, mais celle-ci peut être décisive. Ainsi, BMR Mobilier, PME des Deux-Sèvres, avait été attaquée, en juillet 2015, pour un total de 1,6 million d’euros de virements. En mars 2016, sa liquidation a été prononcée.

« Il a fallu moins d’un an pour tuer cette entreprise », rembobine Éric Pozzi, référent régional en sécurité économique à la gendarmerie. Identité de l’entreprise, des clients, numéro de Siret, téléphones… Toutes ces données sont des cibles et sont susceptibles de faire l’objet d’une rançon ou d’une revente.

À quand une aide à l’équipement ?

La Confédération des PME de Haute-Savoie (CPME74) travaille de concert avec lui pour conseiller et sensibiliser, le seul levier à disposition. « Une entreprise hackée, c’est un drame social, souligne Pascal Rey, président de la CPME74. On demande aussi aux députés de mettre en place des subventions d’État pour aider les sociétés à s’équiper. »

Lui-même à la tête d’une société informatique, Solution Logique, il propose des audits gratuits et organise des rencontres avec les chefs d’entreprise pour les familiariser avec la problématique. Une fois que l’attaque a été menée, il existe un certain nombre de précautions à prendre. Un mail frauduleux, un cryptage de données, une attaque au faux président… peuvent engendrer de sérieux dommages, parfois irréversibles.

“IL EST FORTEMENT DÉCONSEILLÉ DE PAYER UNE RANÇON.”

« Néanmoins, il y a des choses élémentaires à faire après l’attaque, à commencer par l’isolement de la machine infectée », insiste Éric Pozzi. « Prévenir son service informatique, copier les données cryptées sur un disque qui ne servira qu’à ça et, comme les sauvegardes doivent être quotidiennes, vérifier que les données vitales de l’entreprise ont bien été copiées », liste le gendarme expert.

Ensuite, il est fortement déconseillé de payer une rançon. « Mieux vaut déposer plainte et alerter son assureur, si un contrat spécifique sur les cyberattaques a été souscrit. » L’Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr) propose aussi des outils de défense : des formations à distance (moocs) et des informations sur chaque type d’attaques.


Par Jérôme Bois

Poster une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

ANNONCES LÉGALES : CONSULTEZ ET PUBLIEZ !

Devis immédiat 24h/24
Attestation parution par mail
Paiement CB sécurisé

PUBLICITÉ

ARTICLES LES PLUS LUS

PUBLICITÉ