« Mon entreprise est trop petite pour qu’ils s’intéressent à moi », « Je ne fais pas assez de chiffre d’affaires pour qu’on m’attaque », etc. C’EST FAUX ! En 2022, 85.7% des organisations françaises victimes de cyberattaques étaient des TPE/PME. Quels sont les risques concrets, et quelles sont les solutions faciles à mettre en œuvre ?
Le chiffre est impressionnant : 43% des entreprises françaises ont été victimes d’au moins une cyberattaque réussie en 2022 !
Selon le rapport du cabinet Asterès, sur 385 000 attaques réussies, 330 000 touchaient des PME (petites et moyennes entreprises), 37 000 touchaient des organisations publiques, et 17 000 touchaient des ETI et GE (entreprises de taille intermédiaire et grandes entreprises). Mais il existe un chiffre encore plus grave : celui du coût de ces cyberattaques. Le même rapport estime que le coût moyen d’une cyberattaque réussie est de 58 600 € (25 600 € de coût direct + 25 700 € de rançon + 7 300 € de pertes pour interruption d’activité en moyenne).
Voyons ci-dessous quels sont les types d’attaques susceptibles de vous toucher.
Phishing (ou spear phishing)
74% des organisations françaises ayant subi au moins un acte de cybermalveillance ont été victimes d’un phishing réussi. C’est de très loin la méthode la plus employée pour perturber le fonctionnement d’une entreprise. Le phishing le plus courant est l’e-mail se faisant passer pour une entité connue qui vous demande de taper vos identifiants… afin de les voler. Cela peut également prendre la forme d’un SMS ou d’un faux site web, et les données dérobées peuvent être vos comptes clients sur des sites d’achat en ligne, vos identifiants de réseaux sociaux ou de services de stockage dans le cloud, sous oublier vos numéros de carte bancaire. Ces informations pourront être utilisées pour vous voler de l’argent ou pour être revendues sur le marché noir. Le phishing s’adresse généralement à un public très large, dans l’idée de tomber sur une personne qui se sentira concernée parmi les nombreux messages envoyés au hasard. Mais il existe une déclinaison qu’on appelle le spear phishing, et qui cible une personne bien précise au lieu de tenter sa chance au hasard parmi la multitude de messages envoyés.
Pour se prémunir contre le phishing, la meilleure méthode est la vigilance ! Par défaut, et d’une manière générale, il ne faut pas partager ses identifiants. Avec qui que ce soit. C’est aussi simple que ça. Si quelqu’un vous demande vos identifiants, posez-vous des questions. Est-ce que l’entité ou la personne qui me demande ça est vraiment celle qu’elle prétend être ? Quelles sont ses intentions ? Vérifiez l’adresse du site ou de l’e-mail qui vous adresse la demande : une seule lettre ou un seul caractère spécial peut faire la différence entre une demande légitime et une demande frauduleuse. Il n’est pas toujours évident de faire la différence entre les deux, mais le fait de se poser des questions permet souvent d’éviter de se faire prendre. Il faut également savoir garder la tête froide, car les hackers vont parfois chercher à vous faire peur attiser votre peur ou votre curiosité, d’où l’intérêt de prendre du temps pour réfléchir avant de répondre à la demande. Et en cas de doute, ne cliquez pas sur un lien, et n’ouvrez pas la pièce jointe ou l’image qui accompagne l’e-mail.
Exploitation de faille informatique
Quand ce n’est pas l’utilisateur qui est ciblé, c’est le code informatique ! 45% des organismes victimes de cybermalveillance ont subi une exploitation de faille. Il peut s’agir d’un site web, d’un réseau ou d’un logiciel, et le but peut être multiple : bloquer l’accès au service en question, voire même en prendre le contrôle ou y dérober des données sensibles. Ces deux dernières conséquences peuvent être particulièrement graves car elles peuvent se produire sans que vous en ayez conscience !
Pour se prémunir contre ce risque, il faut faire appel à des prestataires de confiance pour mettre en place son site web, son réseau ou ses logiciels professionnels. Des failles peuvent être découvertes à tout moment, donc il ne faut jamais négliger les mises à jour régulières de ces services sont essentielles pour éviter tout problème, même si le risque zéro n’existe pas.
Arnaque au président
41% des organismes visés par une cyberattaques ont été victimes d’une arnaque au président, également appelée fraude au président. Le principe est assez simple : une personne se faisant passer pour le dirigeant d’une entreprise (le président) contacte le service comptable pour lui ordonner d’effectuer un virement urgent et confidentiel vers de nouvelles coordonnées bancaires. L’urgence et la confidence sont des facteurs clés pour cette arnaque, car le but est d’éviter que votre collaborateur ait le temps de réfléchir et de se rendre compte que la demande est frauduleuse. Pour que la demande ait l’air crédible, les personnes mal intentionnées recueillent de nombreuses informations personnelles, souvent sur les réseaux sociaux, afin de se faire passer pour la personne dont elles usurpent l’identité.
Pour éviter ce type de problème, tous les collaborateurs doivent être sensibilisés au sujet des informations qu’ils dévoilent publiquement sur les réseaux sociaux. Et comme pour le phishing, la vigilance doit être de mise lorsqu’une demande très inhabituelle leur est adressée. Comme pour tous les types d’attaques, tout le personnel de l’organisation doit être informé de la possibilité de ce type d’attaque. Aucun employé ne devrait avoir de pouvoir de décision en matière de virement bancaire sans en informer sa hiérarchie pour obtenir une autorisation en bonne et due forme. D’autant plus que si le paiement est effectué, la somme versée risque d’être difficile à récupérer, car les escrocs dispatchent généralement l’argent vers d’autres comptes (souvent offshores) afin qu’il devienne plus difficile à tracer.
Tentatives de connexion (brute force, etc.)
Qu’il s’agisse d’une personne déclarant avoir oublié son mot de passe pour enclencher la procédure permettant de créer un nouveau mot de passe à votre insu, ou d’une méthode automatisée à l’aide d’un logiciel testant un très grand nombre de combinaisons de mots de passe en peu de temps (brute force), les tentatives de connexion ont de grandes chances de réussir si vos mots de passe ne sont pas assez sécurisés. Il existe encore trop d’organisation utilisant des services dont les mots de passe sont « 123456 », « azerty », « 000000 », « password », ou « admin ». Ce sont ces mots de passe qui sont testés en priorité par les personnes malveillantes, et 33% des organismes ayant subi une cyberattaque ont été victimes d’une tentative de connexion réussie.
On ne le répète jamais assez : utilisez des mots de passe forts, c’est à dire longs et complexes (avec des lettres minuscules et majuscules, des chiffres et si possible des symboles spéciaux). Et changez-les régulièrement ! Aucun système n’est parfait, et en théorie il sera toujours possible de trouver un mot de passe. Mais plus le mot de passe est fort, plus il faudra du temps et des moyens pour le faire. Le temps est votre allié, et ce n’est pas anodin à une époque où n’importe quel ordinateur personnel est capable de tester plusieurs centaines de milliers de combinaisons par seconde. Pour information : il faut tester 1,3 x 1016 essais pour tenter de deviner un mot de passe de 9 caractères qui mélange des majuscules, des minuscules et des chiffres, et c’est ce chiffre énorme qui est votre meilleure protection.
Acquisition de noms de domaines illégitimes
Quoi de pire que de voir vos clients ou prospects dirigés vers le mauvais site web lorsqu’ils vous cherchent en ligne ? Certaines fautes de frappe sont très courantes, et des petits malins n’hésitent pas à réserver des noms de domaine avec des fautes de frappe afin de se faire passer pour une entreprise légitime et récupérer les identifiants des internautes n’ayant pas conscience du fait qu’ils ne sont pas sur le bon site. D’autres personnes mal intentionnées s’amusent à acheter les extensions de domaine que les marques n’ont pas pensé à réserver, encore une fois dans le but d’intercepter les clients égarés, ou d’extorquer les marques qui voudraient ensuite racheter ces extensions pour leur propre compte. En tout cas, 28% des organismes touchés par une cyberattaque ont été victimes d’une acquisition de nom de domaine illégitime. Et cela peut également se produire si vous n’avez pas encore de site web et que quelqu’un réserve le nom de domaine avec le nom de votre entreprise (on appelle ça le cybersquatting).
Les très grandes entreprises sont généralement prémunies contre ce type de danger, car elles sont conseillées par des équipes d’experts lorsqu’elles font l’acquisition de leurs noms de domaine. Certaines de ces sociétés mettent en place elles-mêmes une redirection vers leur véritable site web, même lorsque l’internaute tape une mauvaise adresse dans son navigateur. Essayez par exemple de vous rendre sur le site alazon.com, et vous vous verrez que le leader mondial de la vente en ligne a pris ses précautions. Donc même si vous n’êtes pas une grande entreprise, vous devriez faire de même, afin de vous protéger d’escrocs ou de concurrents indélicats. C’est votre image de marque qui est en jeu, il est donc une nouvelle fois important de vous entourer de prestataires de confiance pour éviter tout problème.
Attaque indirecte par rebond via un prestataire
Imaginons que vous ayez pris un maximum de précautions pour protéger votre entreprise des cyberattaques, mais que vous soyez tout de même attaqué à cause de l’un de vos prestataires, fournisseurs ou clients n’ayant pas pris le soin de protéger ses données. C’est le pire cauchemar de tout entrepreneur, et il s’est concrétisé pour 24% des organismes victimes de cybermalveillance.
Il est forcément plus difficile de contrôler la sécurité informatique d’un tiers que d’agir sur la vôtre. Vous pouvez en revanche contrôler les données que vous transmettez à ce tiers, et il peut être opportun de les limiter au strict minimum, ou d’imposer contractuellement à votre tiers de mettre en place un certain nombre de sécurités en interne pour continuer à travailler ensemble. Cela peut compliquer vos relations avec vos partenaires, mais d’un autre côté, qui veut travailler avec un partenaire qui prend la cybermalveillance à la légère ?
Attaque par déni de service
Si une personne ou un organisme malveillant veut empêcher vos clients de faire appel à vos produits ou services, il peut procéder à une attaque par déni de service, généralement appelée DDoS (Distributed Denial of Service). C’est ce qui est arrivé à 23% des organismes victimes d’une cyberattaque. Sans rentrer dans des détails trop techniques, la plupart des attaques par déni de service se font par le biais de virus installés sur de nombreux ordinateurs qui tentent tous d’accéder à un site web au même moment. En conséquence, le site web en question se retrouve complètement surchargé par la demande, et devient donc indisponible pour les clients qui voudraient y accéder.
Il est possible de s’en prémunir grâce à des pare-feux ou des réglages à appliquer sur votre site web, et encore une fois, l’idéal sera de faire appel à un prestataire de confiance qui saura mettre les bonnes solutions en place pour éviter tout problème.
Chiffrement par un ransomware
Imaginez qu’une personne mal intentionnée utilise l’une des méthodes décrites ci-dessus pour accéder à votre système informatique afin de le bloquer complètement. Elle vous demande ensuite de payer une rançon pour que vous puissiez à nouveau travailler. C’est ce qu’ont vécu 22% des organismes touchés par une cyberattaque, et cette pratique est de plus en plus courante. C’est également là que se situe le plus gros risque en termes de coût pour les entreprises, car les rançons demandées sont parfois assez importantes.
Il est généralement déconseillé de payer la rançon car il n’est pas garanti que les cybercriminels fournissent véritablement la clé qui permettra de débloquer les systèmes informatiques, et cela encouragerait ce système frauduleux. Dans tous les cas, prévenez les autorités spécialisées en cybersécurité et portez plainte. Cela vous permettrait également d’être redirigé vers quelqu’un qui saurait peut-être résoudre le problème sans avoir à payer la rançon.
La cybersécurité est un enjeu majeur de notre époque, et les TPE/PME doivent se sentir concernées car elles sont les cibles principales de ces attaques.
Pour plus d’informations sur le sujet, la CCI Vosges organise le lundi 09 octobre 2023 une conférence animée par Clément DOMINGO, hacker éthique et cofondateur de l’ONG Hackers Without Borders. Cet événement est créé en partenariat avec le Conseil Départemental des Vosges et la société INKIVARI, une entreprise vosgienne experte en RGPD.
