Chaque année, de nombreux virus ou processus d’attaques mettent à mal l’infrastructure informatique des entreprises et organismes publics. S’il n’existe pas de recettes miracles pour se prémunir contre toutes les cyberattaques, il est néanmoins possible d’adopter quelques bonnes pratiques pour réduire les risques.
À l’heure où les architectures informatiques sont imbriquées les unes aux autres et où toute l’économie repose sur le numérique, une cyberattaque perpétuée dans le cyberespace peut-elle mettre en péril des pans entiers d’activités voire, des pays ? Installations pétrolières, centrales nucléaires, géants du Net, entreprises industrielles, banques, hôpitaux … aujourd’hui aucun secteur ou État n’est épargné.
D’ailleurs, selon le baromètre 2019 d’Allianz, ces actes auraient coûté quelque 600 milliards de dollars en 2018 contre 445 milliards en 2014. Au niveau mondial, les incidents cyber (37%) deviennent les premiers risques d’entreprise en France. Vol de données, extorsion de fonds… la perte moyenne d’un cyber incident s’élève dorénavant à un peu plus de 2 millions d’euros, contre près de 1,5 million d’euros pour un incendie ou une explosion.
Phishing et ransomware: l’utilisateur est le maillon faible
Si, à juste titre les cyberattaques suscitent des peurs, il est néanmoins possible de prendre des mesures pour les réduire et notamment éviter les premières causes de malveillance : le phishing et ransomware. Pour rappel, le phishing, ou hameçonnage dans la langue de Molière, consiste à envoyer un mail à un internaute habitué à communiquer avec cet interlocuteur et l’incitant à cliquer sur un lien ou sur une pièce jointe pour lui soutirer des informations personnelles ou professionnelles telles que mot de passe, numéro de cartes de crédit, etc.
Le ransomware ou rançongiciel, consiste quant à lui à bloquer l’accès à un ordinateur ou à des fichiers via un logiciel malveillant pouvant être attrapé en ouvrant une pièce jointe infectée, en cliquant sur un lien ou en navigant sur de sites internet piratés. Dans ce cas, l’objectif des pirates est d’obtenir une rançon, en échange de la promesse, pas toujours tenue, de débloquer l’accès à l’ordinateur.
Au regard de ces deux dispositifs, le constat est clair : le maillon faible n’est autre que l’utilisateur. Il est donc crucial de le sensibiliser à de telles arnaques.
Informer pour changer les comportements
La mise en place d’une politique de sensibilisation à la sécurisation informatique dans une entreprise relève non seulement d’une conduite du changement mais aussi d’une action récurrente. En effet, c’est une erreur de croire que cette sensibilisation est une démarche réservée aux personnes considérées comme plus exposées que d’autres aux risques informatiques (service informatique, responsables d’applicatifs métiers, etc.) et de penser qu’elle ne doit être faite que de manière ponctuelle. Non, la culture du risque informatique doit être inculquée à tous, du PDG au stagiaire, et en permanence.
Tous les collaborateurs doivent prendre la mesure des risques informatiques et adopter une attitude responsable. Pour cela, il est important de délivrer une information claire et récurrente sur le sujet. Les messages peuvent être collectifs ou individuels. Une campagne d’affichage, par exemple, peut être faite dans les salles de réunions, les lieux de détente (cafétéria, salle de restaurant, etc.), et des vidéos peuvent être diffusées dans les lieux de passage ou encore via le réseau social d’entreprise. Des messages plus ciblés, par service par exemple, peuvent être délivrés par mail ou par internet dans un groupe de travail.
Les contenus des messages doivent être variés : alerte phishing, importance du bureau propre (aucun papier contenant des informations sensibles, notes, ordinateur protégé par un mot de passe), informations sur les conséquences d’une cyberattaque, analyse des raisons d’un incident, etc. L’objectif de tous ces messages est de sensibiliser tous les collaborateurs mais aussi de les impliquer en leur faisant comprendre que la sécurité c’est à chaque instant l’affaire de tous, et qu’un incident peut avoir d’importantes nuisances pour l’entreprise.
Opter pour la bonne pédagogie
Aborder le sujet des risques informatiques par une approche ludique est toujours plus constructif. Ainsi, il est intéressant d’évaluer le comportement de tous les collaborateurs face à un test de phishing en procédant régulièrement à l’envoi d’un mail malveillant. À l’issue de ce test, le service informatique peut, sans nommer les collaborateurs qui ont failli, révéler à toute l’entreprise le résultat de cette opération et faire un jeu en renouvelant l’expérience quelques semaines plus tard. Par ailleurs, des formations d’un quart d’heure sur les différents risques, sur les attitudes à adopter et celles à proscrire, conclues par un quizz, sont très efficaces.
Enfin, il est vivement conseillé au service informatique de prendre le temps de répondre aux interrogations des utilisateurs. Il est préférable d’éviter à un collaborateur de cliquer sur un mail, un document ou un site douteux, plutôt que de devoir réparer les dégâts de la malveillance. N’oublions pas que ces attaques peuvent se chiffrer en milliers voire millions d’euros ou de dollars, à l’instar des 13,5 millions de dollars perdus par la banque indienne Cosmos Bank, infestée par un logiciel malveillant.
___________________
Par Cédric Cailleaux, Technical Manager CyberSecurity and Networks, Axians