naar top
Menu
Logo Print
13/06/2019 - SAMMY SOETAERT

PROTEGEZ-VOUS SANS PLUS ATTENDRE DES CYBERATTAQUES!

Feuille de route pour garantir la sécurité des données de votre entreprise

Dans une édition précédente de notre magazine, nous avions déjà souligné dans cette rubrique l'urgence d'une prise de conscience et d'une sensibilisation accrue à la cybercriminalité. Certains incidents récents prouvent qu'il ne s'agit pas de paroles en l'air. Ces attaques peuvent représenter des pertes potentielles de plusieurs millions!

LES PETITES ENTREPRISES SONT EGALEMENT CONCERNEES

Extrait de De Standaard online, 22/01/’19:
L'entreprise spécialiste du zinc Nyrstar a subi une cyberattaque mardi. Certains systèmes, tels que le courrier électronique, sont indisponibles au siège de Zurich ainsi que dans les filiales du monde entier en charge de la transformation des métaux et des opérations minières. Les activités de traitement des métaux et d'exploitation minière de Nyrstar ne sont pas affectées sur le plan opérationnel par l’attaque. Le problème est maîtrisé et l'entreprise belge de traitement du zinc, cotée à Bruxelles, étudie avec des partenaires informatiques et des agences de cyber­sécurité la mise en place d'un 'plan de relance technique'.

En résumé: impossibilité temporaire d'accéder au courrier électronique, sans autres conséquences. A l'exception du travail supplémentaire nécessaire à la mise en place du plan de relance technique et des inconvénients liés à l'absence de courrier électronique, cette entreprise semble avoir bien résisté à la tempête. Mais ici, il s'agit d'un géant coté en Bourse actif dans le monde entier. Les grands acteurs sont les plus exposés, et donc les plus 'susceptibles' de subir une attaque. Les petites entreprises, sans parler des PME, sont moins intéressantes aux yeux des pirates informatiques. Vous en êtes sûr?

cybersécurité
L'IoT et la nécessité d'y connecter tous nos appareils représentent un risque pour la sécurité des données

LES ENTREPRISES PLUS PETITES AUSSI DANS LA LIGNE DE MIRE

La cybercriminalité a dépassé le stade du ciblage des grandes entreprises et des banques. Les criminels qui opèrent dans le monde entier, recherchent les victimes presque 'au hasard'. Les chiffres d'une enquête de Microsoft & Marsh montrent que 17% des entreprises ont été victimes d'une cyberattaque l'année dernière, sans différence significative entre les petites et les grandes entreprises. N'importe qui peut donc être pris pour cible.

Paradoxalement, près de 80% des entreprises n'ont aucun plan. Les conséquences peuvent être lourdes et se traduisent de différentes manières: dommages à l'image, aux logiciels, perte de données et éventuels problèmes liés à la protection de la vie privée. Pensez à ce dernier point et à ce que cela signifierait si toutes vos données confidentielles sur vos clients se retrouvaient dans la rue. Outre les problèmes mentionnés ci-dessus, il y a une autre conséquence majeure des cyber­attaques: l'arrêt de l'entreprise.

Une entreprise sidérurgique allemande, p.ex., a arrêté sa production il y a quelques années, parce que des pirates informatiques avaient réussi à accéder au processus de production. Inutile d'aller aussi loin, cela se passe aussi chez nous. Le modus operandi est similaire: les pirates recherchent une faille dans la sécurité, trouvent l'accès aux serveurs et les rendent inaccessibles, sans aucune sauvegarde. Vient ensuite la demande de rançon. Laisser votre entreprise à l'arrêt ou payer? Un choix difficile, comme le montre l'histoire suivante:

Extrait de Het Laatste Nieuws, 14/01/2019:
Le spécialiste en boulangerie Ranson est contraint de céder aux hackers qui paralysent l'entreprise: “Nous avons payé pour pouvoir recommencer à travailler au plus vite.“ Le spécialiste en boulangerie Ranson de Stasegem a réussi à redémarrer très rapidement après que les hackers ont fermé tous les serveurs de la société vendredi. Mais non sans en payer le prix. “Nous ne pouvons pas dire que nous étions très heureux de devoir payer, mais nous n'avions pas d'autre option. Nous ne pouvons pas nous permettre un long arrêt“, a expliqué Bruno Ranson, directeur général.

Les faits sont clairs. Un matin, des employés se sont rendu compte qu'ils ne trouvaient plus aucun serveur de l'entreprise. Les conséquences ne se sont pas fait attendre: l'entreprise s'est retrouvée à l'arrêt et 325 employés au chômage technique, y compris les em­ployés des autres succursales nationales et étrangères. Les auteurs ont trouvé un port ouvert et ont pu supprimer les 52 serveurs, tandis que la sauvegarde était cryptée. L'étape suivante consistait à demander une rançon, payable en bitcoins.

“Nous avons tout de suite su qu'il fallait payer une assez grande quantité de bitcoins. Comme nous n'avons pas d'expérience avec ce genre de situation, nous avons engagé un partenaire externe spécialisé dans la sécurité. Nous avons négocié longtemps et sommes parvenus à un accord samedi après-midi. Je préfère ne pas dévoiler le montant exact que nous avons payé, mais il s'agit de quelques dizaines de milliers d'euros. Peu de temps après avoir payé la somme demandée, nous avons reçu les mots de passe de la part des pirates avec lesquels nous avons pu décrypter la copie de la sauvegarde.“

cybersécurité
Ransomware: tous vos fichiers sont inaccessibles tant que vous n'avez pas payé la somme exigée

LE PRIX VA BIEN AU-DELA DE LA RANÇON

Les conséquences pour Ranson vont bien au-delà du montant payé pour la rançon. Les clients ne pouvaient pas être livrés en un jour, donc il y a une perte en termes de chiffre d'affaires. Il y a les dommages causés à l'image des clients, les coûts de réparation et d'adaptation du système informatique et le coût du chômage technique de 325 employés. Cela aurait-il pu être évité? Sans doute. Une porte du pare-feu était ouverte à cause d'une erreur humaine. Cela nous amène à la cause numéro un des failles du système: l'être humain. Il s'agit de la première étape de notre 'Feuille de route pour la cybersécurité'.

FEUILLE DE ROUTE POUR LA CYBERSECURITE

1. Impliquez tout le monde

Une chaîne n'est pas plus forte que son maillon le plus faible. C'est un cliché bien connu, mais dans ce contexte, il se vérifie à 100%. Cela peut mal tourner à plusieurs niveaux, même dans les départements où l'on ne s'y attend pas du tout. Pour nous, l'image cliché de l'employé négligeant qui, sans réfléchir, clique sur toutes sortes de liens étranges dans sa boîte de courrier informatique, n'est pas de mise.

Au niveau de la direction, il y a peu d'enthousiasme. La mentalité du 'ça ne nous arrivera jamais' est souvent à la base du problème. C'est un sujet qui exige un certain investissement en ressources et en personnel, et dont le rendement n'apparaît pas clairement. Une liste des conséquences commerciales et juridiques des cyberattaques, des fuites de données et des pannes de réseau suffit souvent à ouvrir les yeux de la direction. Le service informatique lui-même a aussi parfois des difficultés. La charge de travail est déjà très élevée. Les nombreuses cybermenaces ne sont pas traitées de manière adéquate. Les intervenants externes qui sont censées aider, sont perçus comme fauteurs de troubles et non comme une opportunité.

Afin d'élaborer un plan efficace, il faut commencer par faire prendre con­science à chacun de son rôle dans l'ensemble. Il s'agit d'un processus continu. Plusieurs actions peuvent être menées à cet égard: audits périodiques, formations, tests surprises, mise en place d'un code de conduite et de procédures, définition des attentes dans ce domaine pour chaque fonction, mais aussi la prise en compte des résultats des audits et l'organisation de formation en entretiens de performance, des investissements ciblés, des incentives, etc.

Un conseil supplémentaire: optez pour la protection de l'information en général, y compris la protection physique. Demandez-vous s'il est préférable de garder la trace des informations sensibles physiquement plutôt qu'en ligne, assurez-vous que les documents laissés sur les imprimantes sont détruits et restreignez l'accès physique à vos bâtiments. Voyez les choses au-delà de votre propre entreprise: mettez en place des procédures pour les entrepreneurs externes et les visiteurs, tant pour l'accès au bâtiment que pour l'accès au réseau. Trop souvent, des personnes externes peuvent brancher, p.ex., une clé USB avec une présentation sur le réseau de l'entreprise et tout le monde peut accéder au réseau wi-fi. Un réseau wi-fi complètement séparé pour les clients n'a donc rien d'un luxe superflu. Limitez l'accès à distance au réseau de l'entreprise pour le personnel qui en a vraiment l'utilité.

cybersécurité
Une politique claire d'accès aux différents systèmes et réglages est une nécessité absolue

2. Développez un plan IT

La croissance exponentielle des réseaux et des appareils a de quoi donner des cheveux blancs à toute personne directement impliquée dans la cyberprotection de l'entreprise. Une première étape pour une sécurité informatique solide consiste à répertorier et cartographier tous les réseaux et interconnexions. Encore une fois, il s'agit d'un processus à actualiser en continu. Aujourd'hui en particulier, les réseaux ne sont plus des entités fixes, mais sont constamment soumis à des ajouts et des modifications. Vient ensuite l'élaboration d'une procédure décrivant comment ajouter ou retirer un dispositif: qui peut le faire, comment le faire et quels contrôles doivent être effectués. Contrôlez la redondance. Au moins deux personnes devraient être autorisées à effectuer cette tâche, faute de quoi l'absence de la per­sonne responsable risque de pousser d'autres personnes à effectuer cette tâche elles-mêmes. Il existe un logiciel de gestion de configuration qui rationalise cette tâche. Il en résulte un niveau de sécurité uniforme dans l'ensemble de vos réseaux, mais il faut procéder à des audits réguliers des configurations avec les serveurs, les pare-feu et les composants réseau.

cybersécurité
Une sécurité efficace repose sur plusieurs couches. Un pare-feu et une détection de virus ne suffisent PAS

Une deuxième étape consiste à lister tous les logiciels et applications utilisés. Cela devrait être un processus continu. Vérifiez si le logiciel fonctionne sur la version la plus récente et assurez-vous que tous les correctifs sont entrés à chaque fois et partout. N'utilisez que les logiciels qui sont toujours pris en charge par le fournisseur – p.ex., Windows Vista n'est plus pris en charge. Des choses comme la mise à jour des navigateurs sont parfois négligées. Un cas typique est une an­cienne application qui tourne encore quelque part sur un vieux PC. Cela se passe bien depuis des années, donc personne ne voit la nécessité de changer la situation. Jusqu'à ce qu'on décide d'intégrer cette application dans le système ci-dessus. Si les précautions nécessaires n'ont pas été prises, c'est la porte ouverte aux actions malveillantes.

Une troisième mesure consiste à utiliser une protection via un logiciel antivirus. Veillez à ce que les appareils disposent d'une telle protection, y compris les appareils nouvellement ajoutés et les appareils mobiles. Analysez les problèmes détectés: la nature, les conséquences pos­sibles, et étudiez les mesures qui pourraient encore renforcer la protection de l'entreprise contre ce type de contamination. Assurez-vous également que le logiciel antivirus de tous les périphériques est régulièrement mis à jour.

3. Sauvegarde, sauvegarde et sauvegarde

Faire des sauvegardes peut sembler logique, mais c'est souvent là que le bât blesse: cela prend trop de temps ou le stockage de la sauvegarde elle-même n'est pas assez sûr. La fréquence idéale de sauvegarde dépend de vos propres opérations, de la quantité de don­nées associées et de l'importance de ces données. Dans de nombreux cas, on considère qu'il faut le faire une fois par jour, mais il vous appartient de faire comme bon vous semble. Les entreprises choisissent souvent de stocker leurs sauvegardes hors ligne. Une évolution dont il faut se féliciter, mais tout en veillant à ce que l'emplacement hors ligne lui-même soit assez sécurisé. Il est recommandé de crypter les données de la sauvegarde. Enfin, nous pouvons également vous recommander de tester régulièrement la sauvegarde vous-même. Simulez un démarrage à partir de la sauvegarde pour déterminer si elle fonctionne correctement après un problème.

cybersécurité
Dans le cas du Social Engineering, les pirates tentent de retrouver les données d'accès de différentes manières

4. Gestion de l'installation de A à Z

Nous avons parlé tout à l'heure de l'homme comme étant la faille des systèmes de protection. L'ignorance est souvent en cause, mais le laxisme est aussi un problème majeur. C'est ce que nous constatons souvent, lorsque nous traitons des mots de passe. Erreurs typiques: laisser les mots de passe par défaut inchangés lors du démarrage de nouvelles applications, choisir des mots de passe trop simples et ne pas les renouveler régulièrement. Une erreur dont on ne parle pas souvent, c'est de laisser les employés choisir leurs mots de passe, souvent les mêmes que ceux qu'ils utilisent aussi dans un cadre privé, pour plus de facilité. Ces dernières années, cependant, des dizaines de sites bien connus ont été piratés, ce qui signifie qu'il y a toujours un risque que les mots de passe aient pu être corrompus. Le gestionnaire peut également prendre certaines mesures à cet égard. L'authentification multifactorielle offre déjà beaucoup plus de sécurité qu'un simple mot de passe. Fermez les autres comptes non utilisés, limitez les comptes et le nombre de personnes ayant des droits d'administrateur et excluez la fonction d'exécution automatique pour les médias externes. Suivez également où et quand des tentatives d'accès non autorisées ont été faites, en ligne et physiquement. Le cas du piratage des terminaux à conteneurs d'Anvers, où les criminels ont eu accès au trafic de conteneurs grâce à une combinaison de méthodes de piratage et de cambriolage, est un exemple parlant. Il convient également de souligner que les appareils mobiles ne doivent jamais être laissés sans surveillance. Activez aussi leur fonction d'arrêt automatique.

5. Le cœur de l'installation: les serveurs

La protection des serveurs commence déjà par la modification des mots de passe par défaut, ce qui, même en 2019, est encore souvent oublié. Il faut limiter l'accès. Fermez les ser­vices et les accès inutilisés et limitez l'accès à distance. Tenez un journal de bord propre à la sécurité: vous pourriez en apprendre beaucoup sur les tâches possibles. Des systèmes comme SIEM (Security information and event management) analysent ces logs, tandis qu'un IDS/IPS contrôle toutes les communications et empêche les tentatives d'accès indésirables. Nous insistons également sur la composante physique: veillez à ce que le local des serveurs soit bien fermé, limitez le nombre de personnes ayant des droits d'accès et mettez en place un système d'enregistrement.

cybersécurité
Malheureusement, c'est rarement une blague: les mots de passe trop simples et le laxisme sont en cause

6. Prévoyez un plan d'urgence

Et si les choses tournent mal? Il y a de fortes chances que l'entreprise connaisse un mouvement de panique s'il s'agit d'une attaque au cours de laquelle une rançon est demandée et qui implique l'arrêt de la production. Il est difficile de se préparer à une telle attaque – à l'exception des mesures préventives – mais si l'on regarde la sécurité physique, on s'aperçoit que la redondance est très importante: en cas de défaillance du système de sécurité A, y a-t-il une sauvegarde via le système B, ou la machine s'arrête-t-elle de manière préventive? Nous pouvons appliquer ce concept à un cyberincident. Assurer la redondance, tant sur le plan de la communication que sur le plan opérationnel. Si le courrier électronique et les postes IP ne fonctionnent plus lors d'une attaque, comment allez-vous informer les em­ployés des filiales internationales? Vous pou­vez peut-être utiliser WhatsApp, comme Radson l'a fait. Mais que faire si les numéros privés de votre personnel sont uniquement sur les serveurs bloqués? Il y a tant de choses à prendre en compte dans le monde connecté d'aujourd'hui. Cela s'applique aussi au fonctionnement opérationnel. Essayez d'estimer ce qui se passe si les serveurs refusent soudainement de fonctionner. Si nécessaire, faites une simulation dans un cadre réel; elle vous permettra de mettre le doigt sur certains points qui ne vous auraient jamais traversé l'esprit. Faites également une liste avec toutes les instances qui doivent être notifiées.

Et comme toujours, le sempiternel adage est de mise: mieux vaut prévenir que guérir.