Microsoft et son logiciel SharePoint, Air France KLM, Bouygues Telecom… On ne compte plus le nombre de grandes sociétés qui, cet été, ont subi des cyber-attaques massives, exposant les données de leurs client·es. Mais qu’elle soit petite ou grande, toute entreprise doit se sentir concernée explique Georges Ataya, associé gérant de Ataya Partners (HTP.Group), Professeur à la Solvay Business School (ULB) et Vice-président et fondateur de la Coalition Belge de la Cybersécurité.
Comment les pirates opèrent-ils le plus souvent aujourd’hui ?
La plupart des attaques consistent en l’envoi d’un message anodin – le phishing – à un ordinateur ou un téléphone portable. En ouvrant la pièce jointe, on permet à un logiciel malin de pénétrer votre système. Il peut alors paralyser celui-ci en provoquant l’arrêt complet d’applications importantes, des serveurs qui desservent ces applications, ou simplement par une coupure de l’électricité ou l’accès internet. Un pirate peut encore prendre possession de vos bases de données pour voler celles-ci, comme celles contenant des coordonnées client·es ou leurs données de cartes de crédit. Ils peuvent alors les exploiter ou les revendre à d’autres. En effet, il existe aujourd’hui une véritable industrie, avec des outils permettant de mener des attaques de plus en plus sophistiquées, disponibles à la vente sur le dark web à tout pirate isolé. Mais certains opèrent aussi en groupe criminel avec des faux centres de contact ou Help desks.
L'intelligence artificielle change-t-elle la donne ?
La cybersécurité s’apparente aujourd’hui à une course poursuite entre attaquants et défenseurs et l’IA booste les capacités des deux côtés. Les criminels utilisent l’IA pour développer de nouvelles méthodes de ciblages, sur base de critères spécifiques. Mais nous nous servons aussi de l’IA pour mieux protéger et répondre aux attaques de façon plus agile.
La décentralisation des systèmes, le télétravail ou le « cloud » augmentent-ils la vulnérabilité des entreprises ?
Les attaques massives dont sont victimes les grands éditeurs de logiciels ou fournisseurs de systèmes remettent régulièrement le sujet de la fiabilité du « cloud » sur la table et la question d’un rapatriement des serveurs « en interne ». Je ne pense pas que cela soit une bonne solution pour une PME, qui restera incapable de gérer son propre parc informatique en adoptant toutes les mesures de protection essentielle. Ce n’est pas leur métier et ce ne sera pas économiquement justifiable. Des méthodes de protection solides existent dans l’environnement cloud. Parmi les plus courantes, il y a notamment l’utilisation d’identifiants fiables, de méthodes d’authentification à plusieurs facteurs, des capacités de récupérer les données en conservant des sauvegardes valables, des protections utilisant le chiffrage lors du stockage et du transport de l’information, etc. Pour autant, et même s’il s’agit ici aussi de la responsabilité des Etats, il est toujours bon de se soucier de la localisation des serveurs où sont stockées vos données. On parle de plus en plus de « cloud souverain », qui permet de sécuriser le stockage de données à l’intérieur de l’Union Européenne tout en les maintenant inaccessibles en dehors de celle-ci. Cela est indispensable et fait totalement sens aujourd’hui.
Pourquoi devrait-on s’inquiéter lorsque l’on est qu’une « simple PME » ?
Beaucoup de dirigeant·es de petites structures me posent cette question mais ils doivent, en réalité, s’inquiéter plus que les grandes entreprises. Souvent, les attaques ne sont pas menées par des personnes derrière leur écran mais par des machines programmées. Elles scannent toutes adresses IP, identifient la vulnérabilité des systèmes, données, actifs digitaux et opérations. La logique des pirates est qu’en lançant des attaques massives, il suffit d’un ou deux succès pour rentabiliser l’opération. Paresseux, ils vont se focaliser sur les cibles faciles, moins protégées.
Comment réagir ?
Pour reprendre cette idée de la course poursuite, l’enjeu, c’est de courir plus vite que les assaillants. Leur vecteur d’attaque principal, c’est une « mauvaise hygiène digitale » de leurs cibles où manquent des protections contre des risques communs et connus. Il s’agit donc de mettre en place les barrières de protections essentielles le plus rapidement et les plus consciencieusement possible. Ainsi, entreprise par entreprise, on doit élaborer des règles de cyberdéfense et méthodes de gestion IT auxquelles correspondent des outils spécifiques. Mais il faut aussi adopter systématiquement des habitudes de bon sens pour ne laisser aucune faille. Une PME dispose souvent de peu de moyens pour assurer cette hygiène de base. Plusieurs, lorsqu’elles en ont un à disposition, font appel à leur informaticien·ne pour assurer leur protection. Leur travail se limite alors souvent à installer des protections de réseau et de machines, et c’est insuffisant.
Comment se faire épauler ?
La cybersécurité est devenue une spécialité à part entière dépassant les compétences de l’informaticien·ne. Il s’agit, dans chaque entreprise, d’identifier et de comprendre réellement les risques métiers tels que l’intégrité et la confidentialité des données, les risques déjà rencontrés dans des entreprises similaires ainsi que les enjeux de continuité des opérations et de l’information. Tout cela afin de mettre en place les projets de protections adéquats. Nous avons, pour notre part, développé une méthode qui permet de systématiser cette gestion proactive de la sécurité. A raison de quelques demi-jours de travail par an, il permet de doter toute entreprise d’un·e conseiller·ère en sécurité d’information professionnel·le à temps (très) partiel. Nous étudions aussi avec elles les différentes aides et subsides auxquels elles peuvent avoir accès, selon leur région.
Pour commencer, où peut-on s’informer utilement ?
Je recommande à toute entreprise de mettre en place l’hygiène de base telle qu’identifiée par le centre belge de la cybersécurité (CCB). Un document intitulé Cyber Fundamentals s’adresse spécifiquement aux PME et présente les quarante actions essentielles de protection. Elles sont regroupées en actions d’identification des risques, de mise en place des protections et de capacité de détections, de bonnes réponses en cas d’incidents et de bonnes pratiques afin de récupérer ses capacités opérationnelles suite à un incident.
Parce que la cybersécurité est essentielle pour protéger les données sensibles des entreprises, Beci propose régulièrement des formations à ce sujet. Ne manquez pas les suivantes :
- Réduisez vos délais de paiements, sécurisez votre trésorerie
📅 25/09, de 9h à 10h30 – Inscrivez-vous ici -
AI Bytes & Bites Webinaire 9 : Financement et expertise pour votre projet d'IA avec Start AI Brussels
📅 25/09, de 12h à 13h – Inscrivez-vous au webinaire ici -
La facturation électronique
📅 26/09, de 12h à 13h - Inscrivez-vous ici