Entreprises, PME, tout savoir sur votre cybersécurité

David

21 novembre 2019
responsable cybersécurité PME

L’actualité parle souvent de cyber-incidents impliquant de grandes entreprises, avec parfois des vols de millions de données clients. On entend beaucoup moins souvent parler d’attaques de TPE et PME. Pourtant, elles sont tout autant attaquées que les grandes entreprises, mais peu de dirigeants le savent. Alors revenons sur les quelques fondamentaux que toute entreprise et PME doit savoir sur sa cybersécurité.

Pourquoi un criminel cible-t-il aussi les TPE et PME ?

Une TPE/PME a moins d’argent, moins de données, moins de secrets, qu’une grande entreprise. Alors, les hackers seraient-ils idiots ? En fait, ce n’est pas si simple. Avec les petites et moyennes entreprises, les hackers sont…

dans leur zone de confort : d’une part les gains sont plus élevés qu’en attaquant les particuliers, et d’autre part l’attaque est bien plus facile à mener que contre les grandes entreprises, puisque les PME se protègent beaucoup moins ;

…. assis sur un immense portefeuille : les gains unitaires ne sont pas très élevés, mais le réservoir est infini. Par ailleurs, les PME payent les rançons plus facilement parce qu’elles jouent souvent leur survie ;

dans l’antichambre des grandes entreprises bien protégées : une attaque directe étant difficile, il devient plus simple de cibler leurs fournisseurs, souvent des TPE et PME. C’est ce que des cybercriminels ont ainsi entrepris avec succès pour voler des secrets d’Airbus, en compromettant certains de ses sous-traitants.

Les différents types d’attaques des PME

Les techniques des cyber-attaquants évoluent sans cesse, mais quelques grands types d’attaques peuvent être soulignés ci-dessous (liste non exhaustive).

  • Logiciel malveillant (malware) : tout programme développé dans le but de nuire, par le biais d’un système informatique ou d’un réseau (les ransomwares et chevaux de Troie sont des malwares, voir ci-dessous).
  • Phishing : cyber-attaque la plus commune, qui vise à récupérer des informations sensibles via un site web frauduleux se faisant passer pour vrai et auquel on accède par un email anodin.
  • DDoS ou Déni de service : saturation d’un serveur par un nombre très élevé de requêtes externes, qui rend hors service le site web de la PME ou son système d’information.
  • Cheval de Troie : programme d’apparence légitime qui permet de s’introduire sur les machines des utilisateurs et d’en prendre leur contrôle sans qu’ils ne s’en aperçoivent.
  • Ransomware : programme malveillant chiffrant les données, dont le but est d’obtenir de la victime le paiement d’une rançon.
  • Attaque Zero Day et exploitation de vulnérabilités : les cybercriminels profitent des failles des logiciels pour mener leur attaque, profitant du retard des PME dans les mises à jour de leurs outils.
  • Attaque interne : un collaborateur de la PME avec des accès privilégiés, ou un ancien salarié parti en mauvais termes, peut attaquer de l’intérieur le système informatique.
  • Ingénierie sociale : manipulation psychologique d’une personne de l’entreprise pour obtenir un virement financier ou une information (fraudes au président, au fournisseur, au technicien).
  • Menace APT : attaque prolongée et ciblée par laquelle une personne non autorisée accède au réseau et passe inaperçue pendant une longue période (pour surveiller ou voler des données).
  • Attaque des mots de passe : le criminel essaye les mots de passe les plus courants, en automatisant son attaque avec un logiciel dédié ou en réutilisant des données exposées par un tiers (Equifax, Yahoo!…).

Les solutions de sécurité pour les PME

  • Antivirus : indispensable, il arrêtera la plupart des logiciels malveillants.
  • Firewall : il empêche un utilisateur d’accéder sans autorisation au système informatique.
  • Sauvegardes : pour récupérer vos données après une cyberattaque, il est indispensable de les sauvegarder au préalable.
  • Chiffrement : un logiciel de chiffrement cryptera les données les plus sensibles.
  • Authentification : pour accéder aux outils et logiciels, une double-authentification est de plus en plus indispensable pour déjouer les déchiffrements de mots de passe.
  • Cyber-assurance : elle sert à percevoir des dédommagements pour les pertes financières en cas de cyberattaque ; elle permet également de mieux gérer la crise grâce à l’aide apportée par l’assureur.

Pour chaque solution, Oppens.fr propose sa sélection de produits adaptés aux PME, pour que les dirigeants ne perdent pas de temps à les comparer.

Mais les outils ne sont rien si des bonnes pratiques ne sont pas adoptées par l’ensemble de l’entreprise :

Les bonnes pratiques de cybersécurité à adopter

  • Tester régulièrement sa sécurité sur Oppens.fr et suivre les recommandations du site en installant les solutions préconisées. Également s’abonner à la newsletter Oppens pour rester au courant des cyber-menaces.
  • Sensibiliser à la cybersécurité les salariés de l’entreprise. La principale menace des entreprises se situe en effet « entre la chaise et l’ordinateur » : un collaborateur non-averti n’a pas les bons réflexes pour contrer une cyberattaque ou en limiter les conséquences. Oppens.fr propose plusieurs solutions de formation, en ligne ou en présentiel, pour tous les budgets.
  • Maintenir à jour les logiciels. Les mises à jour servent, le plus souvent, à corriger des failles. Les criminels scannent en effet le web en permanence à la recherche de systèmes informatiques mal protégés.
  • Adopter une politique de sécurité. Il faut repérer ses données et matériels sensibles, pour mieux les protéger. Il convient aussi de nommer un référent cybersécurité, quelle que soit la taille de l’entreprise. Créer une culture de la sécurité est également un bon moyen de se défendre.
  • Anticiper la crise. En se préparant à une cyberattaque, l’entreprise prépare sa résilience… et améliore sa sécurité. C’est par exemple en faisant des exercices de récupération de données que l’on découvre si ces données sont bien sauvegardées.

Cela vous paraît trop compliqué à mettre en place dans une PME ?

Pas d’inquiétude ! Pour une entreprise, une PME, tout savoir de sa cybersécurité est une gageure. Mais Oppens.fr, le coach cybersécurité, l’aide à se protéger pas à pas, simplement et gratuitement. Le site Oppens.fr a été conçu pour tous les chefs d’entreprise qui savent qu’il faut sécuriser l’activité mais qui sont perdus quand il s’agit de le faire concrètement. En commençant par faire appliquer de bonnes pratiques, gratuites, l’entreprise fait un premier pas essentiel. Oppens.fr l’accompagne ensuite dans une sécurisation plus poussée. Oppens est là tout au long du développement de l’entreprise mais aussi à chaque nouvelle menace. Ainsi, Oppens.fr est le compagnon indispensable du dirigeant concerné par la sécurité.

La Société Générale a créé Oppens, la solution de sécurité informatique pour les entreprises : formation, entraînement au phishing, audit …

Entraînement continu pour un suivi régulier

Oppens a créé une solution unique d'entraînement des salariés pour une vigilance de haut niveau, qui fait rentrer la cybersécurité dans votre culture d'entreprise.

Simulation de phishing

L'erreur est humaine ... et coûte chère ? Choisissez les simulations de phishing Oppens pour mieux évaluer et sensibiliser vos collaborateurs.