Depuis quelques temps, ce sont les petites et moyennes entreprises que les cybercriminels ciblent en priorité. En France, les attaques contre les structures employant moins de 250 salariés ont été multipliées par trois depuis 2011. Selon Laurent Heslault, du cabinet Symantec, ce n'est pas un hasard :
« Très souvent, elles sont moins bien protégées que les grandes entreprises pour des raisons de sensibilisation, de moyens, de personnel. Dans une PME, c'est déjà difficile d'avoir quelqu'un qui s'occupe à temps plein de l'informatique. Alors, s'il faut rajouter quelqu'un qui s'occupe de la sécurité, c'est encore plus compliqué... Ce sont donc des cibles plus faciles. Ensuite, les PME sont des partenaires de grands groupes dont elles sont les fournisseurs ou les sous-traitants. De ce fait, en attaquant le « petit Poucet », on finit par atteindre par ricochet la grande entreprise aussi... »
→ A (RE)LIRE : Les Français imprudents face aux cybermenaces
Qu'il s'agisse d'une PME ou d'une entreprise de plus grande taille, de nombreuses sociétés n'ont tout simplement pas pris la mesure du danger. On peine à le croire mais elles en sont restées à la bonne vieille solution classique du simple antivirus ! En revanche, peut-être parce qu'ils ont déjà fait l'objet d'attaques pernicieuses ou parce qu'ils veulent les éviter à tout prix, les plus grands groupes font des efforts.
Selon Yves Le Borgne de Sourcefire, « il y a de plus en plus de grosses entreprises qui se bougent, mais il manque encore une véritable analyse des risques dans la plupart des cas. On note par exemple peu de recrutement d'ingénieurs en sécurité. »
Pour Emmanuel Besson de 6cure, « l'analyse du risque et la veille sont fondamentales aujourd'hui. Surtout quand on voit la vitesse à laquelle les cybermenaces évoluent ! Certains s'imaginent qu'ils peuvent tout faire tout seuls, en interne, mais c'est illusoire. Il faut aussi savoir s'appuyer sur l'expérience de professionnels extérieurs. »
Cartographier les risques
La première chose à faire pour l'entreprise, c'est sans doute de définir ce qu'elle veut protéger des intrus. Tout protéger serait utopique, ne rien protéger serait suicidaire. Il y a donc nécessité d'établir une véritable cartographie des risques - comme on établit une cartographie des risques industriels - pour déterminer les secrets de fabrication, les informations confidentielles, les parties de l'organigramme à rendre publiques ou non.
Cette étape est d'autant plus cruciale que les pirates misent beaucoup aujourd'hui sur le travail de reconnaissance dans les attaques ciblées par exemple, comme les « fraudes au président ». Ces arnaques qui consistent à envoyer un ou deux mails très personnalisés à des personnes clés ne peuvent atteindre leur but (obtenir le déblocage d'une somme importante) que si elles s'appuient sur des informations extrêmement pertinentes et convaincantes aux yeux des destinataires.
→ A (RE)LIRE : Cybermenaces, des modes opératoires très opportunistes
Autre précaution utile, édicter des règles de conduite à l'usage des salariés : leur expliquer l'importance du mot de passe de leur ordinateur, qu'il faut en changer souvent et pourquoi, qu'il ne faut pas le partager. Il peut être utile de faire adopter une charte interne concernant l'usage des réseaux sociaux et d'Internet, d'expliquer aux employés sous quelles conditions ils peuvent se servir des ordinateurs portables de l'entreprise.
C'est d'autant plus essentiel que 29% des Français les utilisent à la fois pour leur travail et pour leurs loisirs, exposant leur entreprise à toutes les intrusions possibles. Quand ils ne les prêtent pas à leurs enfants (34% des Français le font).
Face à une attaque, les services informatiques sont aussitôt tous mobilisés et essaient de réagir au mieux. Pourtant, ils se heurtent souvent à des difficultés qu'on imagine peu. D'abord, les matériels ont tous été achetés à des fournisseurs différents et à des époques diférentes. Ils ne vont donc pas forcément réagir de la même façon et communiquer facilement entre eux !
Ne pas avoir peur de demander de l'aide
Ensuite, dans la plupart des entreprises, la gestion des outils est répartie entre plusieurs services et plusieurs responsables, ce qui grippe très vite la machine en cas d'urgence. « Face à des menaces multiformes se pose la problématique de mobiliser un maximum de ressources en un minimum de temps. Or, il y a ceux qui s'occupent des pare-feux, ceux qui s'occupent des maliciels... Au final, c'est pénalisant pour tout le monde », note Emmanuel Besson de 6cure.
Un autre problème, typiquement français, c'est le mal du secret : comme les particuliers, les entreprises n'aiment pas faire savoir qu'elles viennent de se faire arnaquer. Elles rechignent à s'adresser à des professionnels qui pourraient les aider, à alerter les autorités, à porter plainte. « Nous sommes appelés toujours trop tard ! » se plaignent tous les spécialistes rencontrés.