Environ 1 000 milliards de dollars, une somme supérieure à 1 % du PIB mondial. Voilà ce qu'auraient coûté les cyberattaques à l'échelle planétaire en 2020, selon une étude menée par McAfee et le Centre d'études stratégiques et internationales. Parmi les victimes, les entreprises payent un lourd tribut. Rien qu'en France, 57 % d'entre elles auraient été concernées, assure le Club des Experts de la Sécurité de l’Information et du Numérique. Il existe pourtant des moyens simples pour réduire les risques et renforcer sa protection, tels que ces sept conseils à appliquer dès la rentrée.
1 - Isoler ce qui peut l'être
Pour éviter qu'une cyberattaque ne se propage au sein des différents services de l'entreprise, il convient d'en cloisonner le réseau. Concrètement, cela implique par exemple de bien configurer son firewall (pare-feu) ou d'appliquer le principe du moindre privilège, en accordant uniquement aux utilisateurs les accès nécessaires à l'accomplissement de leurs tâches. Si la comptabilité est infectée mais qu'elle ne pouvait pas obtenir des informations réservées au dirigeant de la société, les pirates se retrouveront peut-être coincés. «Attention à ne pas oublier les objets connectés, recommande Benoît Grunemwald, expert en cybersécurité chez ESET. Les risques peuvent aussi bien provenir d'un ordinateur que d'une imprimante ou de certains automates ».
2 - Effectuer les mises à jour
Les systèmes d'exploitation (Windows, iOS, Linux) sont mis à jour régulièrement afin d'ajouter de nouvelles fonctionnalités et de corriger des bugs, mais aussi pour colmater des failles qui peuvent permettre aux hackers d'infiltrer l'ordinateur ciblé. C'est par exemple ce qu'il s'est passé avec le ransomware WannaCry, qui a infecté plus de 300 000 ordinateurs en 2017 grâce à une version obsolète de Windows. Il est donc impératif d'installer les dernières mises à jour disponibles, sur tous les supports, même si cela implique une suspension momentanée de la production.
3 - Conserver des sauvegardes
Afin de ne pas perdre des données essentielles pour l'entreprise, il est vivement conseillé de les sauvegarder. Conserver un double des données sur un système cloud n'est souvent pas suffisant, mieux vaut également garder une copie sur un disque dur, placé à l'extérieur des locaux. Le violent incendie qui a récemment ravagé un datacenter d'OVH prouve à quel point cela peut s'avérer utile. Identifier quelles sont les données capitales prend du temps, mais cela libère de la place et évite de faire chauffer des serveurs inutilement. Enfin, comme l'explique Corinne Henin, elle aussi experte en cybersécurité : « après une attaque, avoir une sauvegarde à portée de main permet de redémarrer plus rapidement la production ».
4 - Sensibiliser les employés
« Dans la cybersécurité, on a pour coutume de dire que la première menace se situe entre le clavier et la chaise », reprend cette dernière. Autrement dit, même avec le système informatique le plus protégé de la planète, des pirates pourront arriver à leurs fins s'ils parviennent à provoquer une erreur humaine. Il est recommandé d'effectuer des exercices réguliers concernant le phishing (hameçonnage), mais également de sensibiliser les employés aux dangers qui découlent de la diffusion de données en ligne. Lorsqu'un dirigeant affiche sur les réseaux sociaux des détails de sa vie privée, il sera plus facile pour les cybercriminels de se faire passer pour lui à des fins malveillantes, c'est le principe de l'ingénierie sociale. « En cas de doute face à un mail inhabituel, mieux vaut toujours appeler la personne concernée pour obtenir confirmation », rappelle Benoit Grunemwald.
5 - Bien choisir ses mots de passe
Ce conseil est prodigué depuis des dizaines d'années, mais il apparait toujours important de le répéter : il est nécessaire de choisir un mot de passe unique pour chacun de ses comptes. Une tâche certes difficile à l'ère du numérique, qui nous pousse parfois à en accumuler des centaines. L'une des meilleures solutions pour éviter de les oublier consiste à utiliser un gestionnaire de mots de passe, capable de les centraliser et même d'en créer. A ceux qui voudraient choisir les leurs, l'expert d'ESET recommande d'adopter non pas un mot de passe mais une phrase de passe. En effet, il est bien plus facile de retenir "Le chat joue dans la cour quand il fait beau" que "C8!xe64?K1pM", et la protection est parfois encore plus forte, en tout cas nettement meilleure qu'avec "123456". Enfin, l'ANSSI préconise de changer les mots de passe tous les trois mois environ.
6 - Se faire aider par des professionnels
De nombreuses entreprises considèrent encore la cybersécurité comme une option, peu enclines à faire gonfler les coûts lorsqu'elles ont l'impression que tout fonctionne déjà. « Les technologies sont en apparence très accessibles, mais savoir utiliser un logiciel ne signifie pas qu'on maîtrise sa sécurité », explique Benoit Grunemwald. Certaines sont d'ailleurs persuadées que leur taille modeste n'incitera pas des hackers étrangers à les prendre pour cibles. Une erreur dangereuse, car les pirates jettent de plus en plus souvent leur dévolu sur des petites structures mal protégées, parfois afin d'atteindre de grands groupes par effet de rebond. Les sociétés qui ne possèdent pas de réelle expertise sur le sujet ne doivent pas chercher à se débrouiller seules mais plutôt faire appel à des spécialistes, à même de les amener à se défendre contre les cybercriminels.
7 - Cesser de payer les rançons
Ces derniers mois, les cyberattaques de type ransomware se sont multipliées en France comme à l'étranger, avec des conséquences parfois très lourdes pour de nombreuses entreprises. Complètement paralysées et sous pression, certaines font le choix de payer la rançon que les hackers exigent afin de restaurer leurs données. Une décision compréhensible mais à laquelle il vaut mieux renoncer car rien ne permet d'assurer que les pirates obtempéreront s'ils reçoivent l'argent, et rien ne les empêchera de recommencer. « C'est un peu comme fournir des armes aux terroristes, résume Corinne Henin. Ils utiliseront la rançon pour améliorer leurs systèmes ». Le bon réflexe consiste à contacter immédiatement la plateforme cybermailveillance.gouv ou l'ANSSI afin d'obtenir de l'aide, puis à porter plainte.
