Cyber attaques

Cyberattaque : comment prévenir du risque et protéger ses données ?

La France a connu 192 cyberattaques en 2020 contre 54 en 2019, soit une multiplication par quatre. Ces chiffres, délivrés par l’Agence nationale de la sécurité des systèmes d'information (ANSSI), n’incarnent pourtant qu’une des raisons pour lesquelles la cybersécurité est un enjeu vital pour les entreprises en 2021.

C-RiskC-Risk

Publié le 18 juin 2021 13:38 (Mise à jour le 1 décembre 2021 14:55)

Les attaques cyber continuent effectivement à se complexifier. Elles s’appuient sur des points d’entrée multiples et se combinent entre elles pour devenir de plus en plus difficiles à prévenir et à atténuer. Mises au défi, les organisations françaises doivent comprendre la nature du cyber-risque pour penser des stratégies de sécurité informatique performantes.

Qu’est-ce qu’une cyber attaque : causes et conséquences


Les attaques informatiques recoupent une variété d’actes de cyberdélinquance et de cybercriminalité. Ceux-ci ont tous pour point commun une volonté de nuire à l'organisation victime. Les conséquences, tant financières que réputationnelles, peuvent être désastreuses.

Cyberattaque : définition

La page du site internet du gouvernement dédiée aux risques cyber définit clairement la cyberattaque. Il s’agit ainsi d’une “atteinte à des systèmes informatiques réalisée dans un but malveillant”.

Le gouvernement précise en outre qu’elle “cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes”.

Cette même page web décline par ailleurs l’existence de 4 catégories de cyberattaques :

  • la cybercriminalité ;
  • l’atteinte à l’image ;
  • l’espionnage ;
  • le sabotage.

Par cette catégorisation, le gouvernement s’intéresse donc principalement aux cyberattaques externes. Celles-ci, toujours “malveillantes”, consistent souvent à voler ou supprimer à distance des données sensibles. Elles peuvent aussi servir à bloquer l’usage d’un site ou d’un service en ligne, comme dans le cas des attaques DDoS, ou “par déni de service”, très fréquentes depuis 2020.

Notons qu'il existe également des cas de cyberattaques internes à l’entreprise. Dans ce cas, un membre du personnel peut choisir de divulguer des données confidentielles ou de les supprimer.

La multiplication des différents types de cyberattaques est d’autant plus problématique que les hackers commencent à les additionner entre elles. Leur identification s’avère donc de plus en plus délicate. Une situation qui entrave gravement le travail de lutte contre le cybercrime des Directions des Systèmes d’Information (DSI).

Quelles sont les raisons qui expliquent une attaque cyber ?

Les buts des cyberattaques varient selon leurs types. Dans le cas des rançongiciels, par exemple, l'objectif consiste à réclamer de l’argent en échange de données sensibles prises en otage. Les attaques par déni de service relèvent de leur côté plus du sabotage. Elles visent le blocage d'un serveur, d’un site ou d’un service en ligne.

Certaines cyberattaques, enfin, ont un but plus politique. On parle dans ce cas de cyberactivisme mené par des “hacktivistes”. Un exemple célèbre de ce genre de cyberattaques est celui de l’Internet Research Agency (IRA). Cette structure russe a créé des centaines de faux comptes sur les réseaux sociaux, visant à discréditer la candidature d’Hillary Clinton au profit de Donald Trump. (Source : Le Monde sur l’agence de propagande russe et l’élection américaine, février 2018).

Si on s’intéresse aux raisons des cyberattaques, il faut aussi souligner le manque d'investissement en cybersécurité des entreprises françaises. Dans son rapport State of the Phish 2020, Proofpoint signale que parmi les ¾ d’entreprises françaises qui ont installé un nouveau modèle de télétravail en 2020, seulement 39% d’entre elles ont formé leurs employés à la sécurité des systèmes informatiques. Les faiblesses d’une entreprise face au cybercrime relèvent pourtant prioritairement de vulnérabilités humaines.

Quelles entreprises concernent les cybermenaces ?

La presse relaie souvent les cas de cyberattaques contre des grands groupes. Si ceux-ci possèdent effectivement des données sensibles qui attirent les convoitises, ils sont aussi plus armés pour y faire face. Les entreprises les plus fragiles face à la cyberdélinquance sont donc en réalité surtout des PME (Petites et Moyennes Entreprises) et des ETI (Entreprises de Taille Intermédiaire).

Il ressort ainsi de l’étude Verizon 2019 que 43 % des entreprises touchées par des cyberattaques seraient des PME. Une statistique qui a logiquement explosé depuis l'installation massive du travail à distance avec la pandémie de COVID-19. L’enquête de la CPME, La cybersécurité des Entreprises, souligne par ailleurs que 41% des TPE ont elles aussi déjà subi ce type de piratages en ligne.

Il arrive, en outre, que certaines TPE et PME fournisseurs de grands groupes servent de porte d’entrée aux hackers pour pirater de plus gros poissons.

Conséquences d’une brèche de sécurité informatique sur l’entreprise

Avant même d’évaluer les retombées dues à une cyberattaque, il faut réussir à l'identifier. L'ANSSI estime ainsi qu’une entreprise met en moyenne 7 mois avant de détecter une violation de données, selon un article La Dépêche sur la sécurité numérique.

Côté conséquences tangibles, le même article avance qu’il faut 75 jours en moyenne pour retrouver une activité normale après le cybercrime. Le coût moyen d’une cyberattaque pour l’entreprise s’élèverait en outre à 1,3 millions d’euros.

Les retombées d’une cyberattaque varient bien sûr selon la catégorie de cyberdélinquance ou de cybercrime vécue :

  • Les attaques DDoS peuvent entraîner un blocage du site internet et donc une perte de trafic naturel, voire une atteinte réputationnelle.
  • Le vol de propriété industrielle et l’extorsion de données confidentielles impactent l’entreprise financièrement, mais nuisent aussi à sa réputation. Ils peuvent également engendrer des sanctions dues à une violation du Règlement Général sur la Protection des Données (RGPD).
  • Les attaques au président et autres abus de messageries comme les Business Email Compromise (BEC) donnent lieu à de lourdes pertes financières.
  • Les infiltrations de systèmes informatiques et autres violations d’accès ralentissent ou stoppent les activités en cours.
  • La gestion de la crise cyber peut réclamer d'importants frais, notamment dus la récupération des données extorquées ou corrompues.
  • L’ensemble de ces conséquences peuvent elles-mêmes entraîner une dévalorisation financière de la société hackée.
  • Les assurances profitent par ailleurs parfois de l’attaque pour augmenter leurs taux.

Une faille de cybersécurité réclame en outre de mettre en place une cellule de crise. Celle-ci va notamment se charger d’installer les prémisses d’un nouveau management et d’actions correctrices. Cette démarche s'installe sur le temps long et mobilise de nombreuses équipes : DSI, relations clients ou utilisateurs, communication, juridique, et bien sûr les membres de la direction générale et du conseil d'administration.

Exemple de conséquences en chaîne d’une cyberattaque

Pour éviter qu’un cybercrime n’adopte des proportions fatales pour l'entreprise, l'installation d’une communication de crise post-attaque est indispensable. L’histoire de l’enseigne de grande distribution américaine Target incarne un triste exemple de cette nécessité vitale.

En 2013, une faille du système de sécurité de la marque permet aux cyberpirates de dérober 40 millions de données bancaires et 70 millions de données personnelles. Des pertes colossales, donc, que le grand public n’apprend pourtant que par la voix d’un blogueur, Brian Krebs. C’est alors seulement que Target décide de communiquer à ce propos, 20 jours après la cyberattaque.

Cette communication trop lente a déprécié la société sur le long terme, décourageant les investissements et la clientèle. L’enseigne a d’ailleurs vu partir son dirigeant, Gregg Steinhafel. Elle a aussi subi une chute de 46% de ses ventes entre 2013 et 2014 (Source : CSO, A data breach really affects your reputation).

D’où l'importance d'anticiper sa communication, et notamment d’être le premier à prendre la parole après l’attaque. Rappelez-vous que les clients sont aussi les victimes des cyberattaques que vous subissez, ils doivent le savoir.

Une brèche de cybersécurité impose une communication de crise

Quels sont les différents types de cyberattaques ?


Les cyberattaques peuvent relever d’une démarche d’espionnage, de sabotage, d'extorsion ou d'atteinte réputationnelle. Ces différents objectifs sont ceux quelques attaques courantes.

Le phishing, ou hameçonnage, incarne une attaque très fréquente. Le hacker mal intentionné, ou “black hat”, se fait passer pour une entreprise fiable par email. Objectif : voler des données sensibles : informations bancaires, mots de passe, noms d'utilisateurs.

Le rançongiciel, ou ransomware, a pris de l’ampleur en 2020. Il s’agit, pour le pirate, d’installer un logiciel malveillant, ou “malware”, lequel va récupérer des données confidentielles et les crypter. L’entreprise devra dès lors payer pour récupérer la clef de chiffrement. La division Orange Business Services a notamment perdu 350 Mo de données en 2020 du fait d’un rançongiciel.

Les attaques DDoS, ou “par déni de service distribué”, fonctionnent par saturation. Elles inondent un site ou un service en ligne de trafic pour épuiser ses ressources et/ou sa bande passante. Le site internet se retrouve dans l'incapacité de répondre à son trafic légitime. Il est inaccessible.

Les cyberattaques se traduisent aussi parfois en attaques d’espionnage dites “attaques par l'homme du milieu'', ou « Man-in-the-Middle » (MitM). Les pirates s'introduisent alors dans le cadre d’une transaction pour détourner le trafic et voler les données personnelles des victimes. Ces attaques surgissent souvent dans le cadre d’une transaction sur Wi-Fi public.

Ces différentes attaques reposent la plupart du temps sur l’utilisation de dits “malwares”, ou programmes malveillants. Il peut s’agir de logiciels, de virus ou encore de vers informatiques. Les hackers les combinent pour inventer des cyberattaques toujours plus complexes, et donc toujours plus difficiles à déjouer.

Les ransomwares par cryptage de données sont fréquentes

Que se passe-t-il concrètement lors d’une cyberattaque ?


Pour comprendre comment atténuer une cyberattaque, il faut connaître les différentes étapes de son fonctionnement. Prenons une entreprise exemple, victime d’une tentative de vol de données :

  1. Dans un premier temps, le hacker trouve une faille dans son système informatique. Il peut par exemple accéder à la boîte email d’un membre du personnel peu précautionneux dans le choix de ses mots de passe. Il peut aussi s’emparer d’un appareil professionnel volé ou de toute autre brèche dans une application, un serveur ou un réseau. Le pirate s’en sert pour infiltrer le système d’information et y installer un logiciel malveillant. Il peut rester ainsi des mois à l’état d’observateur, sans attaquer.
  2. Son malware va explorer le réseau informatique de la victime à la recherche d’autres failles de sécurité informatique exploitables. Il peut se connecter à un botnet, ou réseau de robots pirates, pour étendre son code malveillant et renforcer ses domaines d’action. En ouvrant une multitude de points d’accès, il multiplie ses chances de réussite au cas où l’attaque est décelée.
  3. Le pirate s’infiltre ensuite dans le réseau informatique et s’empare des données confidentielles. Il peut ensuite les crypter s’il veut demander une rançon.
  4. Si pendant tout le déroulé du vol de données, la cyberattaque n’a pas été décelée, le hacker peut rester des mois sans se manifester. Il peut même revenir sur le réseau informatique pour dérober davantage d’informations. Les potentielles retombées négatives pour l’entreprise vont alors croissant.
Un cyberpirate lors d’une cyberattaque

Comment se protéger des cyberattaques ?


Prévenir les cyberattaques, c’est avant tout prévoir un plan d’actions en cas de brèche de cybersécurité avérée. Ce plan permet de réagir suffisamment rapidement pour limiter la casse. Il devient aussi le support d’une communication de crise crédible et rassurante pour les parties prenantes :

  • Faites auditer votre cybersécurité ;
  • Optez pour un antivirus, un pare-feu, un bot manager voire un Security Event Information Management (SIEM, soit une gestion de l'information des événements de sécurité) adaptés aux failles identifiées par l’audit ;
  • Formez les employés et le personnel de direction aux vulnérabilités humaines qui font le lit des cyberpirates. Appuyez-vous pour cela sur une charte informatique ou un guide des bonnes pratiques.
  • Insistez sur l’importance des mots de passe forts à plus de 8 caractères, à actualiser régulièrement.
  • Prévoyez un plan de gestion crise en cas de faille de sécurité.
  • Laissez à la DSI le soin de sécuriser les équipements et les sauvegardes de données sensibles dans une pièce fermée, à l’accès limité.

Faites des sauvegardes régulières de vos données confidentielles de façon à garder une version utilisable en cas de cyberattaque.

Les cyberattaques en 3 questions

Les catégories de cyberattaques vont en se diversifiant, car cette multiplicité donne plusieurs points d’entrée aux pirates. En complexifiant leurs attaques, ils augmentent leurs chances qu’elles nuisent à l'organisation cible. Il existe ainsi des cyberattaques par déni de service distribué (DDoS), du hameçonnage, des attaques par malwares, les “Man In the Middle” attaques, ou encore des attaques au mot de passe.

Une cyberattaque se définit comme une action malveillante envers un système informatique. Elle peut viser des particuliers et des organisations publiques ou privées.

La cybersécurité incarne un ensemble de mesures de protection des systèmes informatiques : serveurs, ordinateurs, équipements, réseaux, fichiers, messageries. On parle aussi de sécurité des systèmes d'information.