Aujourd’hui, on détecte de 400 000 à 500 000 malwares par jour contre seulement quelques-uns il y a une vingtaine d’années. La cybercriminalité coûterait de 80 à 100 millions d’euros par an aux entreprises françaises. Mais sur ce sujet, l’omerta règne et ses conséquences seraient sous-estimées avec un coût réel qui pourrait frôler le milliard d’euros. Le point sur la question avec Benoit Grunemwald de la société ESET, expert en cybersécurité.
A quelles cybermenaces sont confrontées les entreprises ?
Les menaces sont en constante évolution, les cybercriminels apportant tous les jours la preuve de leur capacité d’adaptation aux usages qui sont les nôtres. Nous avons pu le constater lors de la vague de pandémie où ils ont fait preuve d’agilité pour commettre leurs forfaits. L’une des attaques les plus courantes est, ce qu’on appelle, le « rançongiciel ». Cette attaque va venir chiffrer le patrimoine numérique – ordinateurs, accès aux logiciels, comptabilité, R&D…- des entreprises. De quoi donc perdre des années de travail, se retrouver dans l’incapacité de facturer ou de faire marcher l’outil de production, payer une rançon au cybercriminel n’étant pas une solution. Dans certains cas, cela peut tout simplement conduire l’entreprise qui en est la victime, à cesser ses activités. Ces menaces touchent l’intégralité des entreprises avec des niveaux d’incidence qui varient selon le niveau de préparation des entreprises à de telles attaques.
Comment s’y préparer efficacement ?
Elles doivent d’abord prendre conscience que leur existence même sur Internet est une porte ouverte dont peuvent se servir les cybercriminels, qui sont désormais très bien organisés. C’est pourquoi il est nécessaire d’effectuer un audit qui va servir de point de départ pour catégoriser les différents points d’entrée que pourrait emprunter un pirate afin de pénétrer le SI de l’entreprise, permettant de définir priorités d’actions et budgets. Exemple : pendant la pandémie, le télétravail est devenu la norme. Mais pour qu’il puisse fonctionner, les entreprises ont rendu accessible depuis l’extérieur, des outils qui, habituellement, ne sont fonctionnels que sur le lieu de travail. Si cela est mis en place sans prendre de précaution en matière de cybersécurité, cela peut se transformer en aubaine pour le cybercriminel qui voit ainsi les portes d’entrée se multiplier. De manière générale, la mobilité peut se transformer en fragilité pour l’entreprise si ces questions ne sont pas correctement traitées.
L’un des volets de la cybercriminalité est le cyberespionnage. Quels types de structures cela concerne-t-il le plus souvent ?
La majorité des cas de cyberespionnage va concerner les grandes entreprises. Chez ESET, nous avons documenté des exemples d’attaques d’entreprises liées à l’aérospatiale et au domaine militaire. Ces attaques utilisaient les réseaux sociaux afin d’identifier qui travaille dans la R&D ou bien est en relation avec les fournisseurs. Une fois ce repérage effectué, le cybercriminel va pouvoir prendre contact avec ces personnes en jouant sur des leviers qui sont toujours les mêmes (appât du gain, luxure…) pour les attirer et recevoir ainsi des informations et/ou des accès à l’entreprise. Pour lutter contre ces pratiques, la première des recommandations est la sensibilisation des employés selon leur degré d‘accès aux informations sensibles. J’ajouterai que cela concerne également les salariés des PME, notamment parce qu’elles jouent souvent un rôle de sous-traitant pour les grands groupes et possèdent dans tel ou tel domaine un savoir spécifique qui peut intéresser des cyber espions.
Existe-t-il une solution qui permettrait de sensibiliser en première intention les entreprises dans ce domaine ?
Via notre blog, ESET met à la disposition de tous les publics, un large éventail de supports et documents. De plus, en France, nous disposons de deux organismes qui sont très actifs et compétents. Il s’agit de l’ANSSI (Agence nationale pour la sécurité des systèmes d’information) et de Cybermalveillance.gouv.fr, un portail qui s’adresse tant aux particuliers qu’aux entreprises de taille intermédiaire.
Quand on travaille depuis son domicile, on peut avoir tendance à « confondre » comptes personnels et professionnels. Quelle serait la bonne « hygiène cyber » à adopter, notamment lorsque l’on est un manager ?
Il faut dissocier au maximum vie professionnelle et vie personnelle. Par exemple, ne travailler qu’avec son ordinateur pro que l’on éteint et verrouille lorsque l’on a terminé, ceci afin d’éviter tout accès extérieur, et se servir de son ordinateur perso pour ses loisirs. Il est aussi primordial d‘utiliser des mots de passe complexes et uniques pour chacun de ses comptes. Il faut également être précautionneux, particulièrement avec les objets connectés afin qu’ils ne soient pas la source de cybermenaces. Pour cela, nous avons un logiciel gratuit qui s’appelle Mobile Security. Il va analyser le réseau domestique pour vérifier s’il n’y a pas un appareil qui aurait, par exemple, été corrompu. Dans la catégorie des objets connectés, nombreux sont les assistants personnels, ils enregistrent tout. On peut lui parler pour interagir avec la commande des volets, mais quand vous êtes en conférence professionnelle cet assistant peut vous écouter. Si vous abordez des sujets sensibles, ceux-ci peuvent se retrouver dans le Cloud du prestataire d’objets connectés. A ce moment-là, vous n’êtes plus garant de la sécurité et de la confidentialité des informations que vous traitez chez vous.
L’intelligence artificielle est-elle une aide précieuse contre la cybercriminalité ?
C’est bien le cas. Actuellement, nos laboratoires traitent un million de menaces par jour. Ce qui, humainement, est impossible sans intelligence artificielle. Cette dernière, via différents modèles, va permettre, très rapidement et avec un maximum d’efficacité, de classer 99% des menaces. Le pourcent restant va être transmis à nos chercheurs qui vont faire le nécessaire pour les caractériser.
