Le Club des Experts de la Sécurité de l’Informatique et du Numérique (CESIN) regroupe les responsables informatiques de près de 300 grandes entreprises françaises. Depuis 7 ans, le CESIN publie un baromètre de la cybersécurité des entreprises, via un sondage OpinionWay.

Cette étude nous apprend notamment que 54% des répondants déclarent avoir subi une cyberattaque réussie, c’est-à-dire un acte malveillant entrainant : soit une indisponibilité des services, soit une perte financière importante, soit un impact sur l’image de l’entreprise, soit la mise œuvre de moyens substantiels pour limiter les dégâts. Parmi eux, 61% déclarent avoir constaté une perte financière. Ainsi, plus de 30% des entreprises membres du panel du CESIN ont été affectées par une cyberattaque.

Sans grande surprise, le premier vecteur des attaques est le phishing, c’est-à-dire un message (email, sms, tchat…) usurpant l’identité d’une entreprise ou d’une personne. Une fois la page web piégée « visitée » ou la pièce jointe infectée « ouverte », les pirates ont pu infecter d’autres ordinateurs (15%), voler des données de l’entreprise (30%), ou encore usurper l’identité de leur victime (32%), entre autres types de conséquences.

Contre les attaques de phishing, la meilleure protection reste la sensibilisation des collaborateurs. En effet, les outils de protection (antivirus, antispam, EDR) ont généralement plusieurs jours de retard face à une nouvelle vague de phishing. Ainsi, il vaut mieux laisser un email suspect en « quarantaine » dans sa boite de réception 5 jours que de faire confiance aux outils.

Second vecteur des cyber-attaques réussies : l’exploitation d’une faille logicielle. Qu’il s’agisse d’un navigateur web, d’un logiciel métier ou même d’un équipement de sécurité supposé protéger des intrusions externes, comme des boitiers VPN ou Firewall.

Ces attaques sont d’autant plus évitables que les éditeurs des logiciels en cause publient désormais rapidement des correctifs : charge aux entreprises d’appliquer les mises à jour sans délais !

Toujours selon cette étude, le troisième vecteur d’attaques réussies avec un impact financier fort est l’arnaque au président. Cette technique consiste à berner un collaborateur (ou un prestataire) pour l’amener à effectuer des règlements en se faisant passer pour le dirigeant. Dans les entreprises de plus petites tailles, il s’agira plus souvent d’arnaque au Faux Ordre de Virement (FOVI), qui consiste pour le pirate à se faire passer pour un fournisseur et dérouter un virement légitime…

Comme pour le phishing, la meilleure protection est la prévention humaine avec la sensibilisation des collaborateurs. Mais également, il est capital de définir des règles strictes concernant la chaine d’autorisation des virements et des modifications de RIB.

En résumé, cette étude montre que la cybercriminalité impacte désormais un grand nombre d’entreprises, mais aussi qu’une fois ces trois vecteurs maitrisés, ce sont 75% des risques qui sont éliminés.

Werner KLINGER
Ingénieur Conseil Web et Technologies de l’Information