Cyber-attaque : les salariés restent les cibles privilégiées

En janvier 2016, 68% des entreprises françaises déclaraient avoir subi au moins un cas de fraude sur les deux dernières années. Parmi ces fraudes, la cybercriminalité est en augmentation de 53% depuis 2014, d’après une étude publiée en début d’année par PwC.

De nombreux salariés ne sont pourtant pas encore sensibilisés correctement au risque de cyber-attaque. 48% des chefs d’entreprises estiment que leurs salariés ne suivent d'ailleurs pas les recommandations en termes de cybersécurité, d’après le baromètre Opinion Way réalisé pour le Club des Experts de la Sécurité de l'Information et du Numérique (CESIN) en janvier dernier.

Former les salariés à repérer les attaques

Or, les attaques peuvent souvent être détectées à temps, à condition que les employés soient en mesure de les détecter. Ils repéreront par exemple un lien frauduleux dans un courriel ou refuseront de donner des informations sensibles par téléphone. La sensibilisation et la formation régulière des salariés s’avèrent ainsi être un rempart non négligeable contre des attaques aux répercussions potentiellement désastreuses pour une entreprise.

En attendant, que faire pour se prémunir contre ces agressions ? "Il y a trois dimensions à respecter", répond Laurent Heslault, directeur des stratégies de sécurité chez Symantec. "La première est humaine: elle consiste à sensibiliser et former le personnel, voire recruter une personne ayant des compétences en informatique. Ensuite, pour sensibiliser, rien de tel que de simuler une attaque". Pour le phishing (hameçonnage) par exemple, une entreprise peut faire appel à son fournisseur informatique pour qu’il envoie un faux courriel frauduleux et tester les collaborateurs qui se laisseront avoir en cliquant sur le lien frauduleux. Il est recommandé de faire ce type de test plusieurs fois par trimestre.

Penser aussi à sécuriser mobiles et tablettes

"La deuxième dimension de protection est procédurale", poursuit Laurent Heslault. "Il faut s’assurer que le processus de validation d'un virement implique plusieurs personnes, surtout à partir d'un certain moment. Contre les ransomware, il faut faire des sauvegardes très régulières de données pour éviter de se retrouver coincé », ajoute-t-il.

La troisième dimension porte sur la technologie. Laurent Heslault recommande de mettre des barrières à l’entrée du réseau informatique: que ce soit pour filtrer les courriels ou protéger l’accès aux postes de travail. Des procédures qui impliquent les PC classiques de bureau ou ordinateurs portables mais aussi les tablettes ou les mobiles régulièrement oubliés. De son côté, Philippe Trouchaud, associé au sein du cabinet PwC et responsable du développement des activités de cybersécurité EMEA insiste sur le rôle primordial des dirigeants de l'entreprise: « Il est nécessaire que le PDG ait lui-même bien compris quelles sont les informations critiques dont il dispose et qu’il sache expliciter la stratégie de cybersécurité mise en place. S’agit-il des données clients ? Des travaux de Recherche et Développement (R&D)? Il doit en outre y avoir une cohérence des moyens mis à disposition pour sécuriser ces données ». Le département R&D d’une PME devra par exemple disposer de disques durs cryptés.Encore faut il savoir comment faire.

L'importance du chiffrement des données

Pour crypter un PC, il existe des mécanismes activables par défaut. Chiffrer une messagerie est également peu coûteux et accessible. Bref, il faut savoir aujourd'hui qu'un simple antivirus est largement dépassé. Quelque soit sa taille, une entreprise doit savoir mettre en place de réels plans de gestion de crise, réfléchis en amont afin, le moment venu, de pouvoir détecter et répondre correctement à une attaque. "La sensibilisation doit être à l’image de celle d’un guide de haute-montagne : il faut que ce soit un accompagnement vers l’innovation, vers le numérique, et il faut apprendre à vivre avec les risques et non simplement prévenir de leur existence", conclut Philippe Trouchaud.