La 17 mars dernier, Major Corp, spécialisée en intelligence économique et protection des affaires, organisait une table ronde sur les thèmes de la sécurité économique et de la cybersécurité.
A travers des cas réels, les experts présents ont mis en lumière les principales menaces auxquelles les entreprises doivent faire face dans un monde de plus en plus digitalisé. Quelle hygiène numérique mettre en place ? Comment analyser les risques liés à la sécurité de son entreprise? Synthèse de ce premier événement auvergnat et replay en fin d’article.
Sécurité économique et patrimoine informationnel des entreprises
Nous sommes tous susceptibles, un jour ou l’autre d’être victime d’une attaque cyber, que l’on soit une TPE ou une entreprise du CAC40. C’est l’enseignement que l’on peut tirer des attaques perpétrées ces dernières années. Les techniques sont nombreuses et les cybercriminels de plus en plus performants.
“On peut faire de l’espionnage économique en mettant en place une fausse tentative de rachat d’entreprise. À travers les audits qui seront réalisés dans le cadre des pourparlers, un concurrent mal intentionné pourra obtenir des données stratégiques.
Nous avons déjà eu affaire à des fausses agences de recrutement qui vont ouvrir des postes de recherche en aéronautique par exemple. Elles vont rencontrer des ingénieurs en poste et vont pouvoir récupérer des informations qu’elles enverront ensuite à des puissances asiatiques notamment.
Plus localement, les laboratoires Théa ont été également touchés il y a quelques années. Grâce à un nouveau collyre particulièrement efficace, ils ont gagné des parts de marché significatives. Quelques mois après la sortie du produit, ils se sont aperçus qu’un faux rapport scientifique circulait pointant du doigt des failles dans le collyre. Après enquête, il s’est avéré que c’est un laboratoire concurrent qui avait monté le dossier. Il a été pris à son propre piège puisque finalement, les laboratoires Théa ont fini par racheter ce concurrent.”, indique Olivier de Maison Rouge, avocat d’affaires et spécialiste du droit de l’intelligence économique.
La fraude au président, une technique en fort développement
La fraude au président est ce que l’on appelle de l’ingénierie sociale. “On va se renseigner sur sa cible, sur ses habitudes et son mode de fonctionnement. Un pirate envoie un e-mail à la plus proche collaboratrice du dirigeant avec une adresse mail personnel. Bien entendu, le chef d’entreprise est absent à ce moment-là. Il utilise les formules habituelles comme “Ma chère Chantal”. Ensuite, il va faire rentrer la personne dans un tunnel cognitif : je suis en Roumanie, j’ai un plan secret de rachat d’une entreprise. Je vous mets dans la confidence. Dans ce cas-la la collaboratrice se sent valorisée. ‘[..] Je vais signer un protocole et, pour ce faire, il faut que je fasse un acompte. N’en parlez à personne. Voici un RIB”
La collaboratrice s’exécute, et va virer 300 000 euros. La banque n’y voit pas d’inconvénient puisque ce sont des montants normaux pour la PME. Pour parfaire la fraude, l’émail se conclut avec une information très personnelle “[…] : ma chère Chantal, n’oubliez pas l’anniversaire de ma femme, pensez à lui faire livrer des fleurs. Surtout, ne m’appelez pas, ma messagerie n’est pas sécurisée”, illustre encore Olivier de Maison Rouge.
La cybercriminalité n’a pas besoin d’être compliquée pour être destructrice.
Quand on pense cybercriminalité, on imagine des hackers qui s’infiltrent dans vos boîtes mails ou vos systèmes d’informations, pourtant, ce n’est qu’une partie des attaques cyber. Une campagne de faux avis sur Internet peut avoir un effet dévastateur pour un commerçant.
“En 2021, un faux communiqué de presse qui annonçait des résultats catastrophiques pour Vincu a été repris par Bloomberg. Cette information a fait chuter l’action de Vinci de 20% sur une journée avant un rectificatif. Ceci a permis une belle opération boursière pour les cybercriminels.” , précise Julien Lopizzo, P-DG de Major Corp.
Les progrès technologiques sont de plus en plus rapides et également de plus en plus accessibles. Aujourd’hui, il est possible de faire un Deepfake en téléchargeant en deux clics une application sur votre smartphone. On peut faire dire à un dirigeant des propos qui pourraient nuire à sa réputation et par ricochet à celle de l’entreprise.
Une hygiène informatique de base à mettre en place dans toutes les entreprises
Il y a des règles de base pour assurer un minimum de sécurité dans son entreprise. Pourtant, 85 % des entreprises dans lesquelles Florian Roussillon, DSI à temps partagé, intervient, ne respectent pas ces principes élémentaires.
“Les TPE vont agir à partir du moment où elles ont été victimes d’une attaque ou connaissent personnellement une entreprise également touchée” ajoute Laëtitia Thomazet, chargée de mission digitalisation des TPE-CCI Puy de Dôme.
Il existe des actions efficaces et peu coûteuses à implémenter dans les entreprises.
Tout d’abord, le changement régulier des mots de passe, la mise à jour des logiciels, les sauvegardes et les paramètres de confidentialité sur les réseaux.
Florian Roussillon insiste. « La mise à jour hardware et software est un vrai problème dans l’industrie. Les machines sont fournies avec des systèmes qui ne sont pas mis à jour et qui fonctionnent ensuite avec des versions obsolètes. Le remplacement de ces machines va coûter extrêmement cher. La capacité à mettre à jour facilement devrait d’ailleurs être un critère primordial lorsque l’on choisit une machine ».
Ensuite, il faut investir dans un antivirus, français ou européen. Ils sont de plus en plus efficaces et proposent de l’analyse comportementale. Quand ils détectent un comportement inhabituel, ils vont faire remonter une alerte.
Les boîtes de messagerie doivent également être protégées à minima avec un anti-spam. La MFA, multi-factor authentification, est devenue obligatoire pour les banques, mais on peut aussi l’installer dans les entreprises. Pour effectuer une action ou une transaction, on doit nécessairement se connecter avec deux moyens d’authentification.
Enfin, la partie sauvegarde de vos données ne doit pas être négligée. Une sauvegarde non testée, n’est pas une sauvegarde effective. Si vous subissez une attaque, vous devez être sûr que l’outil fonctionne.
Vos collaborateurs sont les principales failles dans votre système.
L’hygiène numérique des collaborateurs est indispensable pour assurer la sécurité de l’entreprise. Il faut pouvoir mener des actions de sensibilisation. Pour Florian Roussillon, le test phishing est particulièrement efficace pour faire prendre conscience des enjeux.
“Nous en sommes à notre deuxième test dans une entreprise que nous accompagnons. A chaque fois, nous avons 10 % de clics et d’ouverture de mail. C’est très facile à mettre en œuvre. L’attaquant, dans ce cas-là c’est nous qui avons ce rôle, se fait passer pour le DAF, il envoie un mail “Urgent, inscrivez-vous vite pour vous tenir informés des impacts de la guerre en Ukraine sur notre entreprise”.
Nous avons constaté qu’une partie des collaborateurs va avoir de très bons réflexes, environ 15%, une autre partie va trouver ça bizarre, mais ne va pas prévenir ses responsables. Ensuite, nous avons les cliqueurs fous qui vous donnent toutes les informations que vous leur demandez”.
C’est la vulnérabilité qui fait la victime
Il existe en France des secteurs stratégiques sensibles comme la santé, la finance, la mobilité ou la défense. Toutes ces activités ont mis en place des mesures strictes pour se protéger des attaques. Néanmoins, ce sont toutes les entreprises qui sont concernées en raison de leurs données stratégiques. Elles possèdent toutes un avantage concurrentiel dont certains criminels pourraient s’emparer.
“La cybercriminalité est devenue un marché comme un autre. En 2021, en France, il a atteint 6 milliards d’euros. Le ransomware représente environ 15 % de ce montant, et 70% des flux du ransomware vont en Russie. C’est un secteur très rentable avec des groupes de hackers comme Evil Corp qui sont bien loin de l’activisme cyber et du militantisme. Aujourd’hui, la cybercriminalité est économique et également étatique. Ces groupes sont soutenus par des Etats.” , conclut Florian Roussillon.
La cybersécurité est une stratégie qui se structure dans le temps.
“On pense à tort que pour se protéger efficacement, il faut investir des millions d’euros. C’est faux. D’ailleurs, aujourd’hui de plus en plus de systèmes d’informations sont sécurisés dès le départ.
Ensuite, il n’est pas forcément stratégique d’investir dans une assurance cyber coûteuse et peu efficace. Si vous regardez les petites lignes, vous constaterez qu’elles ne prennent pas en compte un grand nombre de situations. De plus, elles vous demandent en amont d’investir dans des outils de cybersécurité avant d’accepter de vous assurer”, affirme Florian Roussillon
Pour le P-DG de Major Corp, “L’entreprise doit faire sa propre analyse de risques, qu’elle identifie les actifs stratégiques qu’elle doit protéger en priorité.
Cette approche peut être une vraie opportunité. Cartographier son écosystème pour mesurer son risque concurrentiel est en soi un exercice intéressant. Analyser sa stratégie et ses points de faiblesse permet de mettre en œuvre des plans d’actions pour se renforcer. Le dirigeant doit prendre le temps d’analyser et de diagnostiquer. Il n’a pas besoin de le faire seul, il peut se faire accompagner. Il existe aujourd’hui des professionnels dédiés à ces sujets.”