Les TPE ne sont pas à l'abri des cyber-attaques

TV5 Monde, Ashley Madison, Sony Pictures, … Depuis dix-huit mois, les médias se font de plus en plus l'écho de cyber-attaques dont sont victimes des entreprises bien connues du grand public. Mais au-delà de ces exemples très médiatisés, ce sont aujourd'hui toutes les entreprises, voire même les plus petites et les particuliers qui deviennent la cible des prates informatiques.

Du fait de leur petite taille, les TPE constituent ainsi une cible privilégiée. 77% des attaques cibleraient des PME, d’après l’étude Internet Security Threat Report 2015 publiée par Symantec. Et pour le seul mois de décembre 2015, un autre rapport de Symantec (Global Intelligence Network) précise que 52,4% des attaques ont impacté des PME. Les secteurs financiers et de services sont particulièrement visés. Par attaque ciblée on entend une action menée de façon "artisanale" envers une société précise.

La fraude au président, attaque la plus courante

Moins technologique mais utilisant tous les volets de l'ingénierie sociale, l’une des attaques les plus courantes concerne le vol d’argent par usurpation d’identité; baptisée fraude au président ou escroquerie aux faux ordres de virement (FOVI). Concrètement, les pirates recueillent une masse données sur l'entreprise ciblée via des piratages informatiques, des appels téléphoniques anodins. Ils se font passer pour un prestataire ou une administration ayant convenu d’un virement avec le chef d’entreprise auprès d’un salarié en interne. Le processus peut durer des mois, comme ce cas déjoué, relaté sur le blog spécialisé Zataz. Les pirates commencent par appeler le standard puis conversent avec différents responsables au sein de l’entreprise, sous couvert d’une fausse identité. A ce stade, le but est de recueillir des informations personnelles, d’emploi du temps des dirigeants, relatives à l’organigramme. Ils se font aussi souvent passer pour un membre de l’administration publique, demandant à être renseignés sur le numéro SIREN de l’entreprise, la liste des clients Français, l’adresse postale, etc. Les renseignements sont aussi souvent recherchés sur la Toile, jusque sur les profils personnels des dirigeants sur les réseaux sociaux. C’est la phase d’ingénierie sociale.

Les réseaux sociaux étudiés à la loupe

Une fois que les pirates estiment avoir récolter suffisamment de données pour tenir des propos précis et donc susceptibles de susciter la confiance, ils n’ont plus qu’à profiter d’une semaine de vacances ou de déplacement à l’étranger des dirigeants pour escroquer.

Avec aplomb, ils appellent l’un des opérationnels en mentionnant un accord préalable du dirigeant pour un virement à effectuer rapidement. Si l’opérationnel communique les données bancaires d’autorisation de prélèvement, il est trop tard. Le virement est réalisé quasi-instantanément vers un compte à l’étranger. L’argent sera très difficile à récupérer.

La somme ponctionnée peut malheureusement causer la faillite de l’entreprise, comme cela a été le cas de la société BRM Mobilier de Bressuire, dans les Deux-Sèvres, liquidée fin janvier après soixante ans d’existence suite à une fraude au président ayant abouti au vol de 1,6 million d'euros dans sa trésorerie.

Gare aux rançongiciels ou ransomware

Parmi les autres menaces qui planent sur les TPE et PME figure le vol de données en tous genres : personnelles, bancaires, brevets; de l’espionnage industriel pur et simple. Depuis quelques mois, la grande attaque "à la mode" concerne le rançongiciel (ransomware en anglais). Cela consiste à s’introduire dans le système d’information d’une entreprise puis de bloquer l’accès à tout ou partie des données. Seule une clé informatique permet alors de débloquer le système. Les pirates exigent alors le paiement d’une rançon de plusieurs milliers d’euros avant de la communiquer à la société victime.

Une recrudescence des attaques en France

Au final, ce n’est donc pas parce qu’une entreprise est peu connue et emploie seulement quelques dizaines de salariés qu’elle n’intéresse pas les "black hats", ces hackers mal intentionnés. En France, la cybercriminalité est le type de fraude aux entreprises ayant le plus progressé entre 2014 et 2016. Elles représentent 53 % des fraudes déclarées, contre 28% d’après l’édition 2016 de la Global Economic Crime Survey publiée par le cabinet PwC.