Cybersécurité en entreprise et logiciels malveillants

En mai 2024, 43 millions de personnes figurant sur les fichiers de France Travail ont vu leurs données hackées lors d’une cyberattaque d’une ampleur marquante dans l’histoire de la cybersécurité française.

La cause ? Un piratage des mots de passe de collaborateurs…

Alors comment se prémunir de manière optimale d’une cyberattaque ? En prenant connaissance des dangers, failles et risques, et en adoptant les bonnes pratiques pour renforcer la sécurité de votre entreprise, grand groupe ou TPE.

Il existe quinze types de cyberattaques majeures auxquels les entreprises sont exposées aujourd'hui. Chaque type d'attaque présente des défis uniques en matière de détection, de prévention et de réponse, soulignant l'importance d'une approche globale de la cybersécurité.

Les rançongiciels (ou ransomware)

Les rançongiciels sont des logiciels malveillants qui cryptent les fichiers d'une victime, rendant les données inaccessibles. Les attaquants exigent une rançon pour fournir la clé de déchiffrement. Des rançongiciels célèbres – WannaCry, NotPetya, et GandCrab – ont marqué l’Histoire de la cybersécurité.

Comment marchent les rançongiciels ?

Par le biais “d’infection”, souvent via des pièces jointes malveillantes ou des liens piégés dans des emails de phishing. Les fichiers de l'utilisateur sont cryptés, et un message de rançon apparaît sur l'écran. La victime est invitée à payer une somme d'argent pour récupérer ses données (sans garantie de restitution après paiement). Une étude internationale a été menée par Sophos sur l'état de la menace par rançongiciel et on estime la demande de rançon à un établissement de santé à 4 millions de dollars en moyenne.

Les chevaux de Troie (ou Trojans)

Les chevaux de Troie se présentent comme des logiciels légitimes mais contenant du code malveillant qui, une fois exécuté, permet aux attaquants de prendre le contrôle du système infecté.

Comment marchent les chevaux de troie ?

Par déguisement : on dirait souvent des applications utiles ou des fichiers inoffensifs, mais ils cachent des activités purement malveillantes. Le cyber attaquant installe des portes dérobées (backdoors), vole des données, ou utilise la machine pour lancer d'autres attaques.

Le hameçonnage (ou phishing)

Le phishing est une technique utilisée pour tromper les victimes en leur faisant divulguer des informations sensibles, comme des identifiants de connexion et des informations financières.

Comment marche le hameçonnage ?

Principalement grâce à des emails frauduleux imitant des institutions légitimes, des faux sites web, et des messages urgents incitant à cliquer sur des liens ou à ouvrir des pièces jointes. L’objectif du cyber attaquant est de voler des identifiants de connexion, des informations financières, ou d’installer des logiciels malveillants.

L’attaque par déni de service (DoS) et déni de service distribué (DDoS)

Ces attaques visent à rendre un service ou un site web indisponible en le submergeant de trafic ou en exploitant des vulnérabilités.

Comment marchent les attaques par DoS ou DDoS?

Dans le cas du DoS, une seule machine ou connexion est utilisée pour inonder une cible. En présence d’un DDoS, plusieurs machines, souvent des réseaux de botnets, sont utilisées pour lancer une attaque à grande échelle.

Les attaques Man-in-the-Middle (MitM)

Les attaques MitM interceptent et modifient les communications entre deux parties sans qu'elles s'en aperçoivent.

Comment marchent les attaques MitM?

Par interception : l'attaquant se positionne entre deux parties pour écouter ou altérer les communications. L’objectif de cette cyberattaque par MitM est le vol d'informations, manipulation de données, ou redirection de transactions.

L’exfiltration de données

Il s'agit du vol de données sensibles ou confidentielles d'une organisation.

Comment marche l’exfiltration de données ?

Les cyber attaquants utilisent des “malwares”, exploitent des failles de sécurité, ou des employés malveillants. Leur objectif est de voler les informations commerciales, les secrets industriels, et les données clients de l’entreprise.

Le vol de matériel sensible

Le vol de matériel contenant des informations sensibles peut entraîner des fuites de données critiques. Ce type de cyberattaque consiste simplement en un vol d'ordinateurs portables, de supports de stockage contenant des données sensibles (comme des disques durs).
Le but recherché par les cyber attaquants est d’accéder à des informations stratégiques, de faire de l’espionnage industriel, et parfois même du sabotage.

La compromission de messageries professionnelles (BEC)

Ces attaques visent à compromettre des comptes de messagerie professionnelle. Elles utilisent des techniques telles que le phishing, le vol de mots de passe ou l'exploitation de vulnérabilités de messagerie.
Les objectifs de ces attaques incluent la fraude financière, la redirection de paiements et le vol de données sensibles.

Toute entreprise peut significativement réduire son exposition aux cyberattaques et protéger ses actifs numériques, grâce à une approche proactive de la cybersécurité et la mise en place de mesures spécifiques à chacun des principaux types de piratage. Cela nécessite de combiner des mesures techniques, des bonnes pratiques, et une sensibilisation continue des utilisateurs.

Voici des recommandations spécifiques pour se protéger des types de cyberattaques mentionnés :

La prévention du hameçonnage ou phishing

• Tout d'abord, formez et sensibilisez vos employés à reconnaître les emails de phishing, en vérifiant les expéditeurs, les liens suspects et les pièces jointes inhabituelles.
• Ensuite, implémentez l'authentification à deux facteurs (2FA) pour les connexions aux systèmes et aux services critiques afin de réduire le risque d'accès non autorisé, même si les identifiants sont volés.
• Utilisez également des filtres anti-phishing et des logiciels de filtrage des emails pour bloquer les messages suspects avant qu'ils n'atteignent les utilisateurs.
• Enfin, établissez des politiques de sécurité claires concernant les procédures de vérification des demandes sensibles reçues par email, notamment celles demandant des transferts de fonds ou des informations confidentielles.

Comment prévenir les rançongiciels ou ransomware ?

Le meilleur moyen de se prémunir des ransomware consiste à effectuer des sauvegardes régulières de ses données et de tester leur restauration.

Ensuite, stockez les sauvegardes hors ligne ou dans un environnement sécurisé pour éviter qu'elles ne soient compromises en cas d'attaque.

Evidemment, faites des mises à jour et effectuez des correctifs très régulièrement. Surtout, maintenez tous les logiciels et systèmes d'exploitation à jour avec les derniers correctifs de sécurité pour combler les vulnérabilités exploitées par les rançongiciels.

Utilisez des solutions de sécurité des emails pour filtrer les pièces jointes et les liens malveillants. Et de manière générale, limitez l'exécution des scripts et des macros dans les fichiers Microsoft Office et autres applications (sauf s’ils ont été vérifiés et approuvés avant).

Ces recommandations d’ordre général pour une cybersécurité maximale

Pour assurer une cyber sécurité optimale, les recommandations suivantes vont vous aider :

• Maintenez la vigilance des employés face aux menaces de cybersécurité à travers une formation continue et des campagnes de sensibilisation
• Adoptez une stratégie rigoureuse de gestion des correctifs pour toutes les applications, les systèmes d'exploitation et les logiciels tiers
• Sécurisez tous les terminaux, y compris les appareils mobiles et les ordinateurs portables, avec notre solution de gestion des appareils mobiles (MDM) et des politiques de sécurité strictes
• Enfin, établissez des plans de continuité des activités et de reprise après sinistre pour minimiser l'impact des cyberattaques sur l'entreprise.

Les cyberattaques peuvent avoir de nombreuses conséquences, parfois catastrophiques, pour une entreprise, touchant divers aspects de son fonctionnement (pertes financières, atteinte à la réputation, problèmes juridiques, interruption d'activité, etc.). Nos experts SFR cybersécurité ont établi pour vous, une liste des potentielles conséquences de cyberattaques pour l’entreprise.

Quid des conséquences opérationnelles d’une cyberattaque d’entreprise ?

Une cyberattaque peut en outre causer de sérieux problèmes opérationnels et affecter les ressources humaines de l’entreprise.

Elle peut imposer l’interruption des activités, arrêtant les opérations commerciales, la production ou les services à cause de systèmes compromis. L'infrastructure informatique peut également en pâtir, avec des dommages aux systèmes informatiques et aux infrastructures technologiques. De plus, il y a un risque de perte de données, avec l'effacement ou l'altération de données critiques et sensibles.

Ces interruptions entraînent alors une diminution de la productivité des employés et des retards dans la livraison de produits ou services. Par ailleurs, les cyberattaques induisent une hausse du stress et une baisse du moral des employés, perturbant ainsi le fonctionnement quotidien de l'entreprise et affectant le bien-être de son personnel.

Conséquences légales et risques pour la réputation de l’entreprise après une cyberattaque

Les attaques cybernétiques peuvent nuire à la réputation d'une entreprise. La perte de confiance des clients suite à la compromission de leurs données se révèle souvent dévastatrice. L'image de marque en souffre, et une couverture médiatique négative entraîne parfois une publicité défavorable. Sur le plan légal, les entreprises s’exposent à des litiges et des poursuites intentées par des clients, des partenaires ou des actionnaires. De plus, le non-respect des obligations légales et réglementaires en matière de protection des données peut générer des sanctions sévères et des audits rigoureux.

Les conséquences d’une cyberattaque par rapport à sa concurrence

Les cyberattaques entraînent également des conséquences compétitives. Le vol de secrets commerciaux, de données de recherche et développement, ou de stratégies commerciales peut faire perdre à une entreprise son avantage concurrentiel. Cette perte d'informations stratégiques profite indûment aux concurrents, compromettant la position de marché de la victime. En adoptant des mesures préventives et en préparant une réponse efficace, les entreprises minimisent ces risques et protègent leurs actifs essentiels.

L'évaluation de ces risques de cybersécurité est une étape cruciale pour protéger votre entreprise contre les cybermenaces. Votre mode d’emploi pour bien faire :

1 - Identifiez vos actifs
Il est essentiel d'établir une liste exhaustive de tous les actifs informatiques, y compris les systèmes, les logiciels, les bases de données, les réseaux et les dispositifs physiques. Ensuite, ces actifs doivent être classés en fonction de leur importance pour votre entreprise, sa sensibilité et sa valeur stratégique.

2 - Identifiez vos menaces
Il s'agit de recenser les différentes menaces potentielles, telles que les logiciels malveillants, les attaques par phishing, les intrusions et les attaques par déni de service. Il est également utile d'examiner les incidents de sécurité passés pour identifier les types de menaces auxquelles votre entreprise a déjà été confrontée.

3 - Identifiez vos vulnérabilités
Une fois les menaces identifiées, il est important d'identifier les vulnérabilités. Cela peut se faire à travers des évaluations de points de fragilité en utilisant des outils d'analyse pour détecter les faiblesses dans les systèmes, les applications et les réseaux. Les tests de pénétration sont également cruciaux pour simuler des attaques et identifier les points d'entrée possibles pour les cyber attaquants. En plus, des audits de sécurité réguliers permettent d'évaluer les contrôles en place et de détecter les lacunes.

4 - Analysez les impacts
L'analyse des impacts est une étape clé. Il faut évaluer les pertes financières potentielles en cas de compromission des actifs, analyser les conséquences opérationnelles telles que l'interruption des activités et la perte de productivité, et considérer les répercussions sur la réputation de l'entreprise ainsi que la confiance des clients et des partenaires. Les conséquences légales et réglementaires possibles, y compris les amendes et les sanctions, doivent également être prises en compte.

5 - Évaluez les probabilités
Cela implique d'évaluer la probabilité que chaque menace identifiée se matérialise, en tenant compte des vulnérabilités existantes et des tendances actuelles en matière de cyber menaces. Analyser la fréquence des types d'attaques spécifiques dans votre secteur d'activité est également pertinent.

6 - Créez une matrice de risques
La création d'une matrice des risques permet de combiner les résultats de l'analyse des impacts et des probabilités pour classer les risques en fonction de leur gravité. Cela aide à prioriser les risques les plus critiques à traiter en priorité.

7 - Définissez les mesures de contrôle
Il s'agit de mettre en place des mesures préventives comme les pare-feu, les logiciels antivirus et les formations de sensibilisation à la sécurité. Il est également important d'implémenter des systèmes de détection des intrusions, des outils de surveillance des réseaux et des solutions de détection des malwares. Enfin, établir des procédures pour répondre rapidement aux incidents de sécurité, y compris les plans de reprise après sinistre et de continuité des activités, est crucial.

8 - Documentez les résultats
Documenter les résultats et préparer des rapports réguliers pour les parties prenantes, y compris la direction, le conseil d'administration et les équipes de sécurité, assure la transparence et la traçabilité du processus d'évaluation des risques.

9 - Révisez et mettez à jour
Il est important de réviser et mettre à jour les évaluations périodiques pour tenir compte des changements dans l'environnement technologique, des nouvelles menaces et des évolutions réglementaires. Les mesures de contrôle doivent être revues en fonction des résultats des évaluations périodiques et des audits de sécurité.

10 - Engagez et formez vos équipes
Enfin, l'engagement et la formation des parties prenantes sont essentiels. Formez régulièrement les employés aux meilleures pratiques en matière de sécurité et aux procédures de réponse aux incidents. Assurez-vous que la direction est impliquée et soutient activement les initiatives de cybersécurité.

En suivant ce processus point par point, votre entreprise évaluera efficacement ses risques en matière de cybersécurité, pour mettre en place des mesures appropriées afin d’atténuer les cybermenaces, et vous préparer à réagir rapidement et efficacement aux incidents de sécurité.

Des outils pour automatiser l’évaluation des risques d’une cyberattaque

Nos experts en ont regroupé sept ; chacun pour des fonctionnalités distinctes.

Scan automatisé des vulnérabilités

• Outils : Nessus de Tenable.io, Qualys, OpenVAS
• Fonctionnalité : Ces outils peuvent scanner automatiquement vos systèmes et réseaux pour détecter les vulnérabilités, les mauvaises configurations et les failles de sécurité.

Gestion des informations et des événements de sécurité (SIEM)

• Outils : Splunk, IBM QRadar, ArcSight de OpenText
• Fonctionnalité : Les solutions SIEM collectent et analysent les données des événements de sécurité provenant de diverses sources en temps réel, aidant à détecter les menaces potentielles et les anomalies.

Tests d'intrusion automatisés (ou Pentests)

• Outils : Metasploit, Core Impact et Cobalt Strike de Fortra, Nmap (Network Mapper)
• Fonctionnalité : Ces outils simulent des attaques sur vos systèmes pour identifier les vulnérabilités pouvant être exploitées par des attaquants.

Plateformes de renseignement sur les menaces

• Outils : Recorded Future, Mandiant Threat Intelligence, IBM X-Force Exchange
• Fonctionnalité : Ces plateformes agrègent et analysent les données sur les menaces provenant de multiples sources, fournissant des informations sur les risques et les vulnérabilités pertinentes pour votre organisation. À croiser avec CERT-FR et MISP.

Plateformes de gestion des risques

• Outils : RSA Archer (Archer IRM), ServiceNow GRC, LogicGate, RiskWatch
• Fonctionnalité : Ces plateformes automatisent l'ensemble du cycle de vie de la gestion des risques, y compris l'identification des risques, l'évaluation, l'atténuation et la génération de rapports.

Outils de gestion des configurations

• Outils : Ansible, Puppet, Chef.io, SaltStack
• Fonctionnalité : Ces outils automatisent la gestion et l'application des configurations de sécurité à travers votre infrastructure informatique.

Outils de gestion de la conformité

• Outils : OneTrust, MetricStream, Navex Global, Vanta
• Fonctionnalité : Ces outils aident à automatiser les vérifications de conformité, garantissant que votre organisation respecte les exigences réglementaires et les normes de l'industrie par exemple.

Étape 1 : Définissez la portée et les objectifs
Définissez clairement la portée et les objectifs de votre évaluation des risques. Identifiez les systèmes, les processus et les données critiques qui doivent être inclus dans l'évaluation.

Étape 2 : Collectez des données
Utilisez des outils de scannage des vulnérabilités et des SIEM pour collecter des données sur les systèmes, les réseaux et les applications. Grâce à ces outils automatisés vous pouvez collecter des informations sur les failles de sécurité, les incidents passés et les configurations actuelles.

Étape 3 : Analysez les données
Pour ce faire, utilisez des plateformes de gestion des risques et outils de renseignement sur les menaces. Ces outils analysent les données collectées pour identifier les vulnérabilités, évaluer les impacts potentiels et déterminer les probabilités d'occurrence des menaces.

Étape 4 : Générez des rapports
L’idée est ici de générer de manière automatique des rapports détaillant les risques identifiés, les impacts potentiels, et les mesures d'atténuation recommandées. Parmi les outils de génération de rapports les plus utilisés figurent les plateformes de gestion des risques comme RSA Archer ou MegaGRC.

Étape 5 : Implémentez des mesures de contrôle
Tout ce qui est lié à la mise en œuvre des contrôles de sécurité et des correctifs pour atténuer les risques identifiés peut être automatisé. Des outils de gestion des configurations et de conformité tels que ServiceNow GRC, Qualys ou Tenable.sc (ex SecurityCenter) permettent cette automatisation.

Étape 6 : Assurez une surveillance continue
Tout ce qui est lié à la surveillance continue des systèmes pour détecter de nouvelles vulnérabilités et menaces, et la mise à jour des évaluations des risques en temps réel est automatisable, notamment grâce à des outils tels que les SIEM et plateformes de renseignement sur les menaces.

En automatisant ces étapes, les entreprises peuvent rendre leurs évaluations des risques plus efficaces et réactives face aux menaces de cybersécurité.

1 - Absence de stratégie de sécurité
C’est un facteur majeur ! Sans politiques et procédures de sécurité claires, et sans plan de réponse aux incidents, les entreprises sont mal préparées pour faire face aux menaces.

2 - Faiblesse des contrôles d'accès
Voici un autre problème courant ! L'utilisation de mots de passe simples et l'absence d'authentification à deux facteurs (2FA) facilitent l'accès non autorisé. De plus, lorsque les utilisateurs ont des accès plus larges que nécessaire, cela augmente les risques.

3 - Systèmes et logiciels non mis à jour
Les logiciels obsolètes et les périphériques non sécurisés offrent des points d'entrée faciles pour les cybercriminels.

4 - Vulnérabilités techniques
Les vulnérabilités techniques, telles que les mauvaises configurations de systèmes et l'absence de chiffrement des données sensibles, sont également exploitées par les attaquants. Laisser des ports et services non essentiels ouverts facilite les intrusions.

5 - Manque de sensibilisation et de formation
Des employés mal sensibilisés voire non formés aux bonnes pratiques de sécurité et aux menaces actuelles, comme le phishing, exposent l'entreprise à des risques accrus.

6 - Absence de surveillance et de détection
Sans systèmes de gestion des informations et des événements de sécurité (SIEM) et sans surveillance continue des réseaux, il est difficile de détecter les activités suspectes.

7 - Faible sécurité des terminaisons
La faible sécurité des terminaux, comme les ordinateurs et smartphones non protégés par des logiciels antivirus et antimalware, et l'absence de solutions de gestion des dispositifs mobiles (MDM), augmente les risques.

8 - Gestion inadéquate des correctifs
Une gestion des correctifs avec des retards dans l'application des mises à jour de sécurité et l'absence de processus formel pour corriger les vulnérabilités, est une faille courante.

9 - Infrastructure réseau non sécurisée
L'infrastructure réseau non sécurisée, due à des pare-feu mal configurés et à des réseaux Wi-Fi non protégés, est également un point faible.

10 - Gestion des données inappropriée
Une gestion des données avec des informations sensibles non identifiées et non protégées ainsi que l'absence de sauvegardes régulières et sécurisées exposent les entreprises à des pertes de données critiques.

11 - Fournisseurs et partenaires non sécurisés
Les fournisseurs et partenaires non sécurisés posent également des risques. Si ces tiers ont des pratiques de sécurité faibles et que l'entreprise ne vérifie pas leur sécurité, cela peut s’avérer problématique.

12 - Absence de gestion des identités et des accès (IAM)
L'absence d’IAM, avec des utilisateurs ayant des accès non contrôlés ou non révoqués après leur départ, et des comptes de service non sécurisés, constitue une vulnérabilité importante.

13 - Faible sécurité physique
Des bâtiments et installations non sécurisés, conjugués à un manque de dispositifs de sécurité comme des caméras de surveillance, permettent un accès physique non autorisé aux systèmes.

14 - Manque de ressources et de budget
Enfin, des ressources et un budget pour la cybersécurité trop faibles limitent la capacité de l'entreprise à investir dans les technologies et les talents nécessaires, rendant les équipes de sécurité informatique sous-dimensionnées et surchargées de travail.

En prenant en compte ces facteurs et en mettant en place des mesures appropriées, les entreprises peuvent réduire leur vulnérabilité aux cyberattaques et renforcer leur posture de sécurité globale.

5 - Formez et sensibilisez vos équipes
Avec un plan de formation continue et une sensibilisation constante aux bonnes pratiques de cybersécurité, vos employés sont nettement moins exposés aux menaces courantes. Il est crucial de maintenir la vigilance des collaborateurs face aux nouvelles menaces. Nous avons d’ailleurs déjà averti nos lecteurs sur les conséquences parfois graves d’une erreur humaine sur la cybersécurité de l’entreprise.

6 - Adoptez une politique de sécurité
Votre entreprise a mis en place une politique de sécurité documentée, avec une gestion suivie des accès et des identités ? Bravo ! Vous êtes particulièrement bien armés contre les cyber attaques. Retrouvez ces règles et procédures au cœur d’une stratégie de sécurité formalisée qui sont indispensables.

7 - Une protection adéquate de vos points terminaux
Avec des solutions de gestion optimale des dispositifs mobiles de votre entreprise ( MDM, Mobile Device Management), vous pouevez simplifier l’administration de vos équipements et optimiser la sécurité de votre flotte mobile et de vos postes de travail.

8 - Mettez en place un système de détection
Un système de détection des intrusions (IDS/IPS) et de surveillance des journaux des événements de sécurité permet de mieux détecter les activités suspectes.

13 - Utilisation de logiciels et de services sécurisés
L'utilisation d'applications et de services tiers vérifiés, ainsi que de sites web avec les certificats SSL/TLS, constitue un des piliers de la protection de votre entreprise et lui évite des risques inutiles.

14 - Une gestion des identités et des accès (IAM) solide
N’oubliez pas de révoquer les accès de vos anciens collaborateurs ou de vos utilisateurs inactifs ! Cela vous permettra entre autres de bien protéger vos données clients.

15 - Des partenaires et des fournisseurs sécurisés
Les fournisseurs et partenaires avec des pratiques de sécurité robustes représentent un point d'entrée de moins pour d’éventuels attaquants. Il est donc essentiel de vérifier la sécurité des tiers avant de les engager.

16 - Adoptez un plan de continuité et de réponse aux incidents
Mettez en place un plan de reprise après sinistre avec des procédures de réponse aux incidents spécifiques ! Votre entreprise sera d’autant mieux préparée à réagir efficacement aux cyberattaques et à restaurer rapidement ses opérations.

En sachant identifier les failles et faiblesses de votre entreprise et en mettant en place des mesures de sécurité appropriées, vous améliorez considérablement votre posture de cybersécurité et réduisez de manière significative et différenciante votre exposition aux menaces et aux attaques.