Comment les PME se protègent contre les attaques de pirates informatiques

Aucun système informatique n’est sûr à 100 pour cent contre les attaques de pirates. Les petites et moyennes entreprises sont souvent la cible, car elles disposent de moins de ressources financières ou humaines que les grandes entreprises et peuvent moins bien se protéger. Mais comme le montre le site swissinfo.ch, les grandes entreprises et même la Confédération ne sont pas à l’abri des attaques: Ainsi, en juin 2023, lors de la visite du président ukrainien Volodymyr Zelensky, les sites du Parlement, de la Poste, des CFF, du Département fédéral de justice et police DFJP ainsi que des villes de Zurich, Lausanne, Saint-Gall, Montreux et Schaffhouse ont été paralysés. En mars 2023, la NZZ a elle-même été victime. Des cybercriminels ont volé des données confidentielles, crypté des fichiers et fait chanter la maison d’édition. L’article La cybercriminalité génère des milliards et pousse des sociétés vers la faillite décrit de manière impressionnante comment se déroule une cyberattaque et à quel point les conséquences peuvent être graves.

Pourquoi la cyber-résilience est-elle si importante?

Chaque semaine, l’Office fédéral de la cybersécurité OFCS reçoit entre plusieurs centaines et 2’000 déclarations de cyberincidents. Tout le monde est vulnérable: les gouvernements, les infrastructures critiques telles que les fournisseurs d’énergie ou les hôpitaux, les entreprises publiques et les grands groupes. Mais aussi les petites et moyennes entreprises. C’est pourquoi les PME doivent se préparer aux attaques sur le plan organisationnel et technique, sensibiliser leurs collaborateurs aux thèmes de la sécurité informatique et de la protection des données et renforcer leur cyber-résilience. En psychologie, la résilience désigne la capacité à surmonter les situations difficiles de la vie sans être affecté. Dans le domaine de la cybersécurité, la résilience est la capacité de se protéger contre les cyberattaques, de les détecter, d’y réagir immédiatement et de se remettre rapidement de leurs conséquences.

Voici comment les cybercriminels s’attaquent aux PME

Les cybercriminels développent constamment de nouvelles méthodes et les perfectionnent. Voici leurs variantes d’attaque les plus fréquentes:

• Phishing (hameçonnage): L’homme est le maillon faible de toute chaîne de sécurité informatique. C’est pourquoi les cybercriminels tentent de manipuler leurs victimes par le biais de l’ingénierie sociale et de les amener, par exemple, à divulguer des mots de passe, à révéler des données confidentielles ou à cliquer sur un lien. Le phishing le plus répandu est celui qui consiste à envoyer des e-mails ou des messages faisant semblant de provenir d’une source fiable.
• Rançongiciel: Les cybercriminels infiltrent le système informatique, téléchargent toutes les données, les chiffrent et bloquent le système. Ensuite, ils réclament une rançon, d’où le nom de rançongiciel, pour la restitution des données et le déblocage du système. Si la victime refuse, ils menacent de publier les données ou de les vendre sur le dark web.
• Attaques DDoS: Les cybercriminels déclenchent des milliers ou des millions de requêtes sur un réseau, un serveur ou un site web. Ces demandes surchargent le système jusqu’à ce qu’il s’effondre et qu’une boutique en ligne, par exemple, ne soit plus accessible. Souvent, le trafic de données nuisible ne s’arrête que lorsque la victime paie une rançon.

Comment les PME se protègent contre les attaques de pirates informatiques

Le tout est plus que la somme de ses parties lorsqu’il s’agit de sécurité informatique et de protection des données. Des sauvegardes régulières, un pare-feu et un antivirus à jour sont utiles, mais ne suffisent pas à protéger le système informatique et les données. C’est pourquoi les entreprises, quelle que soit leur taille, ont besoin d’une stratégie globale. L’évaluation et la gestion des risques, les mesures de protection organisationnelles et techniques, la formation et la sensibilisation de tous les collaborateurs ainsi que la préparation aux situations d’urgence et un plan d’urgence constituent la base de la stratégie.

Évaluation et gestion des risques

Pour maîtriser les risques, il faut les connaître. Une stratégie d’évaluation des risques permet aux entreprises d’identifier les risques potentiels et d’en déduire des mesures judicieuses pour les minimiser. Les trois principaux éléments d’une stratégie d’évaluation des risques efficace sont les suivants:

• Définir les objectifs, identifier les facteurs de risque potentiels et déterminer comment évaluer l’impact des cyberattaques.
• Identifier les actifs et les données essentiels à la survie de l’entreprise, mettre en place des mesures de protection organisationnelles et techniques et hiérarchiser les actifs et les données critiques dans l’évaluation des risques.
• Définir, mettre en place et utiliser des méthodes, techniques et outils pour quantifier les risques, identifier les points faibles et minimiser les risques. Par exemple, des modèles de menaces, des matrices de risques ou des analyses de vulnérabilité.

Mesures de protection organisationnelles et techniques

Les entreprises qui souhaitent protéger efficacement leur informatique et leurs données doivent repenser leur approche de la sécurité informatique et de la protection des données, adapter leurs processus et mettre en place des outils adaptés:

• Chaque PME a besoin d’une analyse des risques de tous les systèmes et données à protéger ainsi que d’une gestion de crise professionnelle avec un plan d’urgence informatique. De plus, tous les collaborateurs doivent être formés régulièrement à l’utilisation sécurisée des données et des e-mails et être sensibilisés aux points faibles éventuels.
• Les droits d’accès doivent être supprimés à chaque départ, vérifiés à chaque changement de fonction et mis à jour une fois par an. Les mots de passe doivent être changés régulièrement et ne doivent être partagés avec personne. Les accès à distance devraient être limités dans le temps et dans l’espace et bien protégés, par exemple par une solution d’authentification à plusieurs facteurs.
• Le système d’exploitation, tous les programmes, l’antivirus et le pare-feu doivent être mis à jour en permanence. Toutes les données doivent être sauvegardées régulièrement, les données importantes quotidiennement ou plus souvent encore. Lors de la sauvegarde, les données ne doivent pas être simplement écrasées, sinon les données historiques seront perdues. Une copie de la sauvegarde actuelle doit être enregistrée séparément du réseau afin que les données soient disponibles même après une attaque.

Former et sensibiliser les collaborateurs

Le plus gros point faible de tout concept de sécurité informatique est l’être humain. Les cybercriminels en profitent avec l’ingénierie sociale voir «Voici comment les cybercriminels s’attaquent aux PME». Les entreprises doivent donc sensibiliser leurs collaborateurs sur les thèmes tels que le phishing, les mots de passe ou la navigation sécurisée. Des formations régulières, des directives claires et des processus simples créent une culture de la sécurité dans toute l’entreprise et favorisent le sens commun de la responsabilité. La sécurité de l’informatique et des données étant l’affaire des dirigeants, le directeur général, tous les membres de la direction et tous les supérieurs hiérarchiques devraient montrer l’exemple et souligner par leur comportement l’importance de la sécurité informatique et de la protection des données dans leur entreprise.

Préparation aux situations d’urgence et plan d’urgence

Mieux vaut prévenir que guérir. Et c’est moins cher. Une panne prolongée des systèmes informatiques ne coûte dans le meilleur des cas «que» de l’argent, dans le pire des cas l’existence même de l’entreprise peut être en péril. C’est pourquoi chaque PME a besoin d’un plan d’urgence informatique afin d’être mieux préparée aux cyberattaques. Le plan d’urgence informatique ...

• ... documente les systèmes, réseaux et applications informatiques pertinents, les dépendances et les effets possibles sur les processus critiques de l’entreprise.
• ... met à disposition des modèles de communication avec les clients, prestataires et partenaires, ainsi qu’avec les parties prenantes telles que l’Office fédéral de la cybersécurité OFCS.
• ... contient des check-lists avec tâches et responsabilités pour les scénarios d’urgence informatique les plus probables, tels que les violations de données, les attaques de pirates ou les pannes de système.
• ... liste tous les documents qui peuvent être utiles en cas d’urgence, par exemple les listes d’inventaire, de clients et de personnel, la documentation relative aux systèmes et aux applications ou les plans de restauration.

Les infractions à la LPD peuvent coûter cher

En Suisse, la loi fédérale sur la protection des données (LPD) et le règlement européen sur la protection des données (RGPD) régissent l’utilisation et la protection des données à caractère personnel. Les lois définissent comment les données à caractère personnel peuvent être traitées et comment elles doivent être protégées, et avec elles la vie privée. Les entreprises qui enfreignent la LPD peuvent se voir infliger une amende pouvant aller jusqu’à 250’000 francs. Toutefois, la perte de réputation et de confiance est souvent plus grave et, dans de nombreux cas, menace l’existence même de l’entreprise. Les entreprises qui souhaitent se protéger contre les infractions à la LPD ou au RGPD doivent mettre en place des Best Practices en matière de gestion de la conformité, avec des mécanismes de contrôle, des directives et des procédures.

Cybersécurité: Un bon conseil n’est pas cher, mais précieux

Zurich Resilience Solution aide les grandes entreprises à renforcer leur cyber-résilience. L’approche globale est basée sur la prévention et la protection contre les risques financiers. Ces solutions couvrent tous les aspects importants de la sécurité informatique et de la protection des données: Zurich Resilience Solutions ...

• ... développe avec les entreprises des stratégies d’évaluation des risques, identifie les actifs et les données critiques et recommande des techniques et des outils d’analyse et de réduction des risques. Par exemple, des audits de protection des données, des tests d’intrusion ou des analyses de vulnérabilité.
• ... conseille les entreprises lors de l’introduction de mesures de sécurité physiques ou basées sur le réseau, telles que des programmes anti-malware, des pare-feu ou des technologies de cryptage et des solutions de monitoring pour la surveillance du réseau informatique.
• ... forme et sensibilise les collaborateurs aux thèmes de la sécurité informatique et de la protection des données. Entre autres avec le Cyber Escape Game, qui simule des cyberattaques et apprend de manière ludique aux collaborateurs à réagir de manière appropriée aux menaces.
• ... conseille les entreprises sur les questions de protection des données et les aide à respecter toutes les lois et réglementations relatives à la protection des données. Entre autres avec les Best Practices pour la gestion de la conformité ou le contrôle en temps réel de la conformité aux règles de leurs fournisseurs tiers.

Liens utiles

• Déclarer un cyberincident à la police cantonale
• Office fédéral des routes BACS BACS: Informations pour les entreprises
• Office fédéral des routes BACS BACS: Déclarer un cyberincident à l’OFCS
• Office fédéral des routes BACS BACS: Signaler un point faible
• La prévention criminelle en Suisse: Thématique Internet
• digitalswitzerland: Infrastructure et cybersécurité