Les PME françaises et les cybermenaces

1989 : un ver informatique baptisé « Morris » infecte invisiblement les ordinateurs causant des dommages de plusieurs dizaines de millions de dollars. Il s’agit du premier « ver » distribué via internet. Mars 2011 : le Ministère de l’Économie et des Finances français subit une attaque massive d’espionnage via un « cheval de Troie » inséré dans certaines pièces jointes des emails. Son réseau informatique fut bloqué pendant 10 semaines. Mai 2014 : l’opérateur téléphonique Orange est victime d’un vol de données personnelles concernant 1,3 million de clients et de prospects.

Vingt cinq ans se sont écoulés depuis la distribution du premier ver informatique. Vingt cinq ans durant lesquels les cybermenaces sont passées « de l’ombre à la lumière ». A l’heure où la protection des systèmes d’information représente une préoccupation croissante des institutions et, a fortiori, des PME/PMI, les cybermenaces sont encore étonnamment méconnues alors même qu’elles peuvent affaiblir significativement les institutions qui en sont victimes. Elles interrogent les stratégies, l’organisation et la gestion des institutions dans leurs logiques fondamentales. S’interroger sur les cybermenaces revient donc à s’interroger sur un phénomène à la mode mais qui en vérité a des racines anciennes. Ce qui aujourd’hui se produit et explique que le thème apparaisse quelque peu nouveau, c’est que les chiffres avancés, certes par des institutions qui ont souvent tout intérêt à communiquer sur le sujet, sont édifiants. Le géant mondial des solutions antivirales, McAfee, fixe ainsi à 469.000 le nombre d’échantillons uniques de logiciels malveillants découverts chaque semaine. Les compromissions de données entraineraient une perte annuelle de 1.000 milliards de dollars à travers le monde.

Certaines grandes entreprises ont pris conscience de la nécessité de réagir. Elles recourent de plus en plus à des experts dans ce domaine et/ou créent des services internes dédiés à la sécurité. Elles prennent ainsi des mesures organisationnelles et mettent en place des processus de prévention et d’anticipation des violations des données. Mais la simple mise en pace de dispositifs techniques ne suffit pas à les protéger. Cela passe avant tout par une prise de conscience des dirigeants mais aussi de l’ensemble des acteurs de l’entreprise, seuls en mesure d’élaborer une politique de protection efficace. Ne disposant pas des mêmes ressources (financières, humaines et informatives), les PME/PMI sont loin d’être équipées suffisamment, la plupart n’étant pas dotées de dispositifs de prévention et de détection des risques de cybermenaces. Or, elles sont devenues les cibles privilégiées de prédateurs (pirates isolés, réseaux organisés, salarié(s) de l’entreprise, cellules de renseignement, etc.) désireux de s’introduire dans leur réseau informatique afin, par exemple, de voler des données sensibles à des fins lucratives ou avec une volonté de déstabilisation. Lorsque les entreprises agissent en qualité de sous-traitantes, les attaques peuvent également être un moyen de contourner le système de sécurité de grands groupes et ainsi permettre d’accéder à leurs données. Pour y parvenir, les pirates peuvent pratiquer notamment le « social engineering »[1] ou utiliser des clefs USB équipées de logiciels espions que l’on peut acheter sur internet pour quelques centaines d’euros.

L’une des difficultés rencontrées par les entreprises pour lutter contre les cybermenaces réside dans le fait que la compréhension du monde informatique suppose des connaissances techniques et le recours à un langage souvent abscons pour des personnes non initiées et ne maîtrisant pas forcément la langue anglaise. Cette opération complexe (du fait que le langage numérique porte en lui-même sa signification) nécessiterait pour les entreprises de recourir à des spécialistes à même de former leur personnel. Le problème, là aussi, réside dans les coûts engendrés par une telle action. C’est souvent dans ce contexte que de nombreuses PME/PMI souhaitant se concentrer sur le cœur de leurs activités délèguent en toute confiance à des tiers l’administration de leurs réseaux et ressources informatiques. Plus généralement, une lutte efficace serait une lutte s’inscrivant dans la durée. Elle supposerait une mobilisation de concert de l’ensemble des acteurs des secteurs privé et public. Les Universités, Écoles Supérieures de Commerce et d’Ingénieurs devraient ainsi s’impliquer davantage en sensibilisant, au sein des formations qu’elles dispensent, les futurs professionnels du monde de l’entreprise. La formation continue prendrait par la suite le relais en actualisant les bonnes pratiques. A cet égard, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information rattachée à Matignon) publie déjà de nombreux guides, dont l’un portant sur l’hygiène informatique comprenant 40 règles de base.

La vigilance de l’entreprise face aux cybermenaces se doit d’être d’autant plus forte qu’elle peut à la fois être victime mais aussi auteur d’infractions si elle n’a pas garanti la protection et l’intégrité des données personnelles traitées en son sein. Elle peut alors voir engagées ses responsabilités pénale, administrative ou civile, notamment en cas de détournement des données qu’elle conserve pour ne pas les avoir suffisamment protégées. À titre d’illustration, en Grande Bretagne, à la suite d’une cyber attaque ayant entrainé la communication de données personnelles de plus de 77 millions d’utilisateurs à des tiers, la société SONY, outre les pertes occasionnées par la fermeture momentanée du site Web et les frais engagés pour indemniser ses clients, sécuriser son réseau et restaurer sa notoriété, a été condamnée à payer une amende de 250.000 livres. En France, en 2012, la CNIL a prononcé 13 sanctions contre des entreprises qui ne protégeaient par leurs données, 9 avertissements et 4 amendes dont le montant variait entre 1.000 et 10.000 euros (collecte déloyale de données, défaut de sécurité des données, etc.). Les projets en cours en matière de protection des données, notamment au niveau européen, prévoient des sanctions financières alourdies.

Sur le plan économique, la cyber sécurité pourrait constituer pour toute entreprise un facteur clef de succès (FCS) quel que soit le marché à conquérir. À côté des informations financières, juridiques, marketing/commerciales pourrait figurer dans le Business Plan ou les réponses aux appels d’offres une partie consacrée à la sécurité numérique et à l’identification des éventuelles cybermenaces. D’une part, la confiance auprès des tiers serait renforcée (banques, investisseurs, clients, fournisseurs, etc.) ; d’autre part, cette démarche, en amont de l’activité opérationnelle de l’entreprise, permettrait de fixer des principes forts qui seraient mis en pratique dans le cadre de la stratégie de développement de l’entreprise. Cela permettrait enfin de rassurer ses collaborateurs et de préserver sa réputation. En cas d’attaque, l’entreprise doit s’assurer de maintenir la confiance notamment des clients, des fournisseurs, des actionnaires, et du grand public.

Pour éviter les attaques les moins élaborées, il existe des réponses simples :

Identification et classement par l’entreprise des informations en sa possession. Cet inventaire permet au dirigeant de réaliser une cartographie des risques. Elle lui permet aussi d’identifier si certains fichiers ou données récoltés et stockés nécessitent une déclaration auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL) (voir l'article Cercle K2), conformément à la loi informatique et libertés du 6 janvier 1978. Ce travail lui permet de classifier les informations en fonction de leur sensibilité et ensuite d’appliquer à chaque niveau de sensibilité des mesures adaptées de stockage, diffusion interne, transmission, destruction, etc.

Amélioration des procédures internes et externes. Elle permet d’éviter que les incidents passés ne se reproduisent. Ces procédures redéfinies, l’entreprise peut les faire valider juridiquement et techniquement par un tiers indépendant et compétent (avocat, prestataire spécialisé dans la cyber sécurité, etc.).

Vérification, en aval, du respect des procédures mises en place. Elle permet d’assurer l’intégrité des données et des systèmes d’information. Si les procédures ont été correctement redéfinies, cette étape mobilise peu de temps et de ressources.

Mise en place de dispositifs de surveillance des salariés. Les dispositifs de filtrage permettant de protéger les entreprises et leur responsabilité vis-à-vis de dérives internes, pour être licites, doivent notamment être pertinents, proportionnés et respecter la vie privée des salariés. Ils nécessitent donc, pour leur mise en place, l’intervention d’un professionnel.

Ce n’est qu’à ce stade du déploiement de l’entreprise que pourront être identifiées les bonnes pratiques. Elles porteront principalement sur quatre axes :

1. La sélection minutieuse des fournisseurs de services informatiques. Les entreprises utilisent notamment de plus en plus le Cloud en raison de son faible coût et de sa grande souplesse. Le rapport de l’Autorité de Contrôle Prudentiel de juillet 2013 sur « Les risques associés au Cloud computing » dénonce les risques associés à ce nouveau type de service, notamment la perte de l’intégrité des données, le traitement et la disponibilité et un environnement juridique encore flou. De manière générale, identifier les fournisseurs à risques nécessite davantage une compréhension globale des services proposés (et donc des besoins de l’entreprise) qu’un simple processus d’externalisation.

2. Sensibilisation des salariés aux risques de l’utilisation de terminaux externes au sein de l’entreprise. Le phénomène BYOD (« Bring Your Own Device » ou « apporter votre équipement informatique personnel »)[2] croît de 30 % chaque année et devrait concerner 900 millions de terminaux en 2017. Une étude menée par l’éditeur Trend Micro, en mars 2013, a montré que les différents mobiles connectés au système d’information des entreprises (Smartphones, tablettes, clef USB, etc.) ont induit une hausse de 35 % du nombre d’attaques par internet et de 12 % du piratage par emails sur la période 2007-2012. Ce catalyseur de risque a contraint certaines grandes entreprises à interdire purement et simplement à leurs salariés de connecter leurs terminaux au sein l’entreprise. Le risque pour les PME est d’autant plus grand que leurs salariés ont recourt massivement à ce système pour des questions de coût et de facilité d’utilisation.

3. Sensibilisation des salariés aux connexions wifi en dehors de l’entreprise. Si les bornes wifi gratuites (cafés, restaurants, aéroports, etc.) sont pratiques pour les salariés en déplacement, elles sont aussi et surtout des vecteurs de risques de piratage. Il est relativement aisé « d’aspirer » toutes les informations qui transitent par ces connexions ou d’insérer un mouchard sur l’ordinateur et voler des informations stratégiques à distance et sur la durée. Il est donc important d’être vigilant sur le lieu de connexion er de toujours recourir à une connexion Wifi sécurisée.

4. Sensibilisation des salariés à l’utilisation d’un protocole sécurisé. Les salariés doivent utiliser le protocole sécurisé HTTPS (et non HTTP) lorsqu’ils sont amenés à partager des données sur un site tiers à celui de l’entreprise. Pour s’assurer qu’ils naviguent en « mode sécurisé », ils doivent vérifier qu’apparaît à gauche de la barre d’URL du navigateur un petit cadenas[3]. En cas de doute, il est préférable qu’ils s’abstiennent de se connecter.

---

[1] http://fr.wikipedia.org/wiki/Ing%C3%A9nierie_sociale_(s%C3%A9curit%C3%A9_de_l%27information)

[2] http://fr.wikipedia.org/wiki/Bring_your_own_device

[3] http://fr.wikipedia.org/wiki/Uniform_Resource_Locator