Tél : 02.78.77.53.86 hello@avantdecliquer.com

La sensibilisation à la cybersécurité réinventée qui divise par 10 le risque de cyberattaque

A l’aide d’un programme de sensibilisation au phishing
basé sur l’apprentissage par l’action
créé sur mesure pour chaque utilisateur
et animé sur la durée sans intervention de votre part

Qu’est-ce qu’une cyberattaque ?

Les cyberattaques sont des actes criminels délibérément commis par des pirates informatiques, voire des organisations criminelles.

Une attaque de hackers est accomplie toutes les…39 secondes !
(source : informatiquenews.fr).

Au cours des dernières années, les attaques informatiques se sont multipliées de manière exponentielle. Et cette tendance risque de s’aggraver avec le développement de l’IoT (Internet des objets), responsable de l’accroissement exponentiel du volume de données (big data).

Les cyberattaques en chiffres

D’après son 1er rapport d’activité 2019, Cybermalveillance.gouv.fr : le nombre de victimes de cyberattaques a augmenté de 210% (particuliers inclus). 

Concernant les entreprises, collectivités et associations, 23% de l’assistance de cybermalveillance concerne le phishing. L’hameçonnage reste donc la menace prédominante. Et 16% sur le piratage de compte.

Le rapport du CESIN indique que 65% des entreprises françaises ont déclaré une cyberattaque en 2019 contre 80% en 2018. Toutefois, 57% de ces cyberattaques ont provoqué de graves conséquences sur leur activité : arrêt de la production, site web hors service, retard sur la livraison et, par conséquent, perte financière. 

Selon La Tribune, la moitié des organisations révèle avoir été victime d’au moins 4 cyberattaques sur l’année 2019. RSM (réseau mondial d’audit) témoigne également de la vulnérabilité de grandes entreprises européennes : 39% admettent avoir été touchées par ce fléau et 3/4 de ces cyberattaques n’ont pas été rendues publiques.

Au delà d’une menace, il s’agit désormais d’une véritable crise !

Le CESIN s’accorde avec Cybermalveillance.gouv.fr sur le fait que le phishing ou spear phishing reste en tête des cyberattaques les plus répandues, avant l’arnaque au Président. Et pour cause : 1 utilisateur sur 3 ouvre un e-mail de phishing. 79% des entreprises françaises ont, en effet, signalé avoir été victime d’hameçonnage. 47% victime d’Arnaque au Président en 2019. (source : statista.com).

La motivation des attaquants varie. Une étude menée par Wavestone, en octobre 2019, indique que 43% des pirates informatiques sont motivés par l’appât du gain. Plus d’⅓ sont des cyberattaques par rançongiciel. Une étude que confirme les chiffres de ZDNet : “2019 a été une année record en terme de cyberattaques sur les cryptomonnaies”. Les hackers auraient volé plus de 283 millions de dollars de devises dont plus de 6,6 millions de dollars en paiements de ransomware. Un chiffre, selon Chainalysis, “sous-estimé”.

Les autres incidents sont le vol de données (34%) et la volonté de nuire à l’image (4%). 15% des motifs de cyberattaques restent indéterminés. (source : l’Usine Digitale). Enfin l’étude de Wavestone révèle qu’une intrusion n’est en moyenne détectée qu’au bout de 167 jours (6 mois). L’une des entreprises interrogées n’a d’ailleurs découvert une intrusion qu’au bout de 6 ans !!

Des chefs d’entreprise concernés

Les dirigeants ont conscience de cette problématique, en constante évolution. 41% estiment le risque cyber comme le 1er risque couru par leur entreprise. Néanmoins, les stratégies mises en oeuvre en terme de cybersécurité ne correspondent pas aux inquiétudes. De plus, elles ne concernent bien souvent que l’aspect technique.

Cela ne suffit plus !

Avec l’accroissement des cyberattaques et le renforcement de la réglementation (RGPD), les entreprises doivent faire preuve de transparence en matière de vol ou fuite de données à caractère personnel.

Une étude menée par ProofPoint (source maddyness.com) révèle que pour 48% des cadres interrogés, les failles humaines figurent parmi les trois principaux facteurs d’attaques. Les hackers attaquent notamment via les clients (48%), leurs employés (43%) et les travailleurs temporaires (38%). La famille, en 6e position des failles de sécurité, prouve que le problème ne se limite pas à la sphère professionnelle. De ce fait, l’étude présente également les solutions envisagées. Parmi les process proposés par les dirigeants et cadres engagés, celui de “renforcer l’information sur les enjeux liés à la sécurité” ressort. L’efficacité des formations des collaborateurs pour les impliquer et mieux les responsabiliser est, par ailleurs, soulignée.

De quelle manière les cyberattaques se propagent-elles ?

De nombreux canaux permettent de les propager : ordinateurs, tablettes, téléphone portable, consoles de jeux, réseaux ou infrastructures, clés USB « égarées »…mais aussi : le télétravail.

Le télétravail

Récemment le confinement lié à la pandémie de coronavirus a précipité la mise en place du télétravail massif. Sans scrupule, les hackers ont profité de la soudaineté de la situation pour perpétrer leurs méfaits de façon plus virulente. En effet, selon siecledigital.fr, sur 200 organisations interrogées, 24% affirment que des frais imprévus, liés aux incidents de cybersécurité, ont été engagés. Pendant cette période, cybermalveillance.gouv.fr a vu sa fréquentation augmenter de 300% (source : LaCroix). En effet, le télétravail s’avère un terreau fertile pour les cyberattaques. D’autant plus que employés ne disposent pas toujours d’ordinateurs portables professionnels. Obligés d’utiliser leur matériel personnel, les pirates exploitent les failles potentielles techniques liées à l’environnement de travail du salarié :

  • Utilisation d’un équipement personnel ;
  • Réseaux peu sécurisés.

Mais aussi le manque d’expérience des utilisateurs peu ou pas préparés à ce mode travail.

Effectivement, mettre en place le télétravail ne consiste pas simplement à apporter son ordinateur professionnel à la maison mais aussi à :

  • Sensibiliser les collaborateurs aux bonnes pratiques ;
  • Connaître les bases de la cybersécurité.

Qui est visé par les cyberattaques ?

Quelque soit le domaine, les enjeux sont conséquents : le big data, l’argent sont les principales motivations des fraudeurs. Toutes les organisations quels que soient leur taille et secteur sont concernées.

A titre d’exemples : 

  • Energie : Black Energy en Ukraine en 2015, Elexon au Royaume-Unis en mai 2020.
  • Finance : En 2020, la cyberattaque bourse néo-zélandaise “New Zealand Exchange (NZX)”, MMA ou l’ARC au canada. Et, régulièrement depuis plusieurs années, les services de la Direction générale des Finances publiques (DGFiP).
  • Fabrication et l’industrie : Honda, Tesla, Canon en 2020.
  • Santé, sanitaire, pharmaceutique : CHU de Rouen en 2019, l’AP-HP et ses 39 établissements d’IDF, victimes d’une cyberattaque par déni de service. Ou encore l’OMS contre laquelle les cyberattaques ont redoublé ou la groupe Eurofins en 2019.
  • TMT (Technologies – Media – Télécommunications) : M6 en 2019, Garmin en 2020. ou encore Altran en 2019.
  • Agro-alimentaire : Fleury Michon, groupe Mom (Materne) respectivement en 2019 et 2020.
  • Tourisme : Airbus en 2019, British Airways en 2019, EasyJet en 2020, le groupe Marriott touché 2 fois en 2019 puis 2020.
  • Sans omettre enfin, les régions, départements, municipalités… : la région Grand-Est, le département d’Eure-et-Loir, les villes de Baltimore (USA) en 2019, Grand Cognac,  Mitry-Mory, Sequedin, Sarrebourg…

…et la liste reste non exhaustive !

A quelles menaces principales s’expose une organisation en cas de cyberattaque ?

  • L’e-mail :

Les e-mails frauduleux sont le moyen le plus répandu pour lancer une cyberattaques. Ils sont composés le plus souvent de pièces jointes et/ou liens corrompus cachant un site web ou un logiciel malveillant (malware). Ce type de menace est également le vecteur privilégié pour lancer un phishing ou une cyberattaque par rançongiciel. 

  • La bannière publicitaire :

Certains encarts publicitaires cachent en réalité un site web ou un lien frauduleux, lesquels sont truffés de malwares.

  • Le réseau informatique :

Mal ou peu protégés, les ordinateurs et serveurs d’une organisation peuvent être le point d’entrée de logiciels malveillants.

  • Le web :

Internet est truffé de pièges. Par exemple, une cyberattaque Watering Hole permet de cibler précisément les utilisateurs en compromettant les sites web qu’ils consultent régulièrement. Souvent associé au phishing, il s’agit de piéger la victime par la ruse, en espionnant ses habitudes de navigation par ingénierie social. 

  • Les applications :

Les applications frauduleuses sont un réel danger pour les téléphones,  tablettes et, par conséquent, les données. Connectés aux ordinateurs, ces programmes malveillants sont de véritables menaces pouvant introduire un malware.

  • Le wifi :

Les bornes non sécurisées (wifi gratuit dans les lieux publics par exemple) permettent aux hackers de lancer facilement leurs cyberattaques.

  • Les objets connectés

Ces objets peuvent être détournés pour lancer, par exemple, des cyberattaques de type déni de service au sein d’un open space.

  • La clé USB :

Elle reste l’un des outils privilégiés des pirates informatiques. Discrète, accessible, le hacker “égare”, par exemple, plusieurs clés USB au sein d’une organisation. Cette technique s’appuie sur le manque de vigilance et la curiosité des utilisateurs. Une fois connectée sur leur ordinateur, la clé USB lance alors un malware dans le réseau informatique.

  • La relation partenaires, clients, fournisseurs, sous-traitants :

Si un des maillons de la chaîne est mal protégé, il peut rapidement devenir facteur de cyberattaques pour l’écosystème.

  • L’humain :

Une pratique répandue consiste à usurper l’identité d’un supérieur hiérarchique pour lancer, par exemple, une cyberattaque de type “fraude au président”. De nombreuses informations circulent sur le web via les réseaux sociaux par exemple. Il est, par conséquent, aisé pour les hackers de se faire passer pour une personne, après avoir mené leurs investigations.

Quels sont les principaux types de cyberattaques ?

Le gouvernement a répertorié les cyberattaques en 4 catégories : cybercriminalité, atteinte à l’image, espionnage et sabotage. 

Les cyberattaques sont en général :

  • L’installation de programmes, logiciels ou scripts malveillants : introduction de programmes espions, logiciels piratés ou scripts malveillants via le phishing ou un faux site web par exemple ;
  • Le phishing : envoi d’e-mails frauduleux constitués de liens et pièces jointes corrompus ;
  • Les dénis de service ou DDoS : le but est de rendre un service indisponible et d’empêcher l’accès aux utilisateurs ;
  • La cyberattaque par rançongiciel : logiciels malveillants dont le seul but est d’extorquer de l’argent ;
  • L’attaque par rebond  : cyberattaque via un faux site ou via un e-mail qui est passé par un ou plusieurs intermédiaires avant d’atteindre sa victime ;
  • La force brute : il s’agit d’une technique pour trouver un mot de passe ou une clé ;
  • L’ingénierie sociale : basé la confiance interpersonnelle. Les hackers usent de manipulation psychologique avec leurs victimes. Ils utilisent tous les moyens possibles pour instaurer une relation de confiance. Leur but : récupérer un maximum d’informations ;
  • L’attaque de l’homme du milieu : les hackers interceptent les communications entre deux parties, de manière indécelable ;
  • Les exploits Zero-Day : les hackers exploitent une éventuelle vulnérabilité d’un logiciel ou d’un programme, dont les développeurs n’ont pas connaissance et donc pas encore corrigée.

Quelles sont les conséquences des cyberattaques ?

Perte financière (suite, en outre, à un rançongiciel), arrêt de l’activité, de la production, dégradation de l’image et de la réputation, perte de confiance. Mais aussi vol ou extorsion de données, usurpation d’identité…Une cyberattaque génère toujours une crise sur les plans juridique, financier et réputationnel. 

Les conséquences sont toujours néfastes et peuvent, dans le pire des cas, conduire au drame : mise en péril de la pérennité de l’organisation, réclamations, poursuites…faillite !

Quelles précautions prendre pour prévenir les cyberattaques ?

Vous êtes Responsable Informatique, DSI, RSSI, DPO ? Votre fonction est liée à la gestion des risques ? Des solutions existent :

Les solutions techniques :

  • Equipez votre organisation d’un gestionnaire de mots de passe. Outil analogue à un coffre-fort, l’ensemble des mots de passe y sont stockés et chiffrés ;
  • Utilisez un filtre anti-spam, un pare feu, un anti-virus ;
  • Prenez les mesures de sécurité indispensables pour éviter l’utilisation de clé USB corrompues.

Les solutions organisationnelles :

En matière de sécurité, la CNIL préconise de “faire prendre conscience à chaque utilisateur des enjeux en matière de sécurité et de vie privée”. 

En effet, impliquer l’Homme dans sa stratégie de cybersécurité consiste à prendre conscience que les êtres humains sont tout aussi importants que les technologies. 

Formez vos collaborateurs à la cybersécurité, aux bonnes pratiques.

Par ailleurs, 80% des cyberattaques ont pour origine un e-mail de phishing qu’un individu ouvrira par inadvertance. La prévention auprès des utilisateurs pour réduire le nombre de cas d’hameçonnage revêt donc un caractère stratégique. 

Organisez une campagne de sensibilisation pour se protéger du phishing.