Cybersécurité : La menace grandit pour les PME

Cyberattaque Cybersécurité Sécurité

La menace informatique n’a jamais été aussi grande pour le PME. Elles sont en général moins protégées que les grandes entreprises et représentent donc une cible facile pour les hackers.  

 

cybersécurité

 

Ces derniers temps la violation des données s’est multipliée, même le service Ariane géré par le Ministère des affaires étrangères a été affecté. Cette attaque a montré que même au plus haut niveau de l’Etat les risques existent. En majorité ce problème concerne surtout les PME françaises, 45% d’entre elles estiment n’avoir toujours pas renforcé leurs mesures de sécurité selon une étude de Kaspersky Lab. Ce chiffre nous montre que les entreprises n’investissent pas encore assez dans la sécurité informatique.  

Paradoxalement, les PME investissent peu dans la cybersécurité mais leurs dirigeants sont de plus en plus conscients des menaces. Selon une étude de l’IFOP, 3 entreprises sur 4 considèrent la cybersécurité comme une source d’inquiétudes. Les menaces les plus fréquentes sont les campagnes de mails frauduleux, le piratage de données ou encore les attaques via malwares.                                                                

Au-delà du risque informatique que cela présente, le problème soulève de vrais enjeux commerciaux et stratégiques. Les attaques de types hameçonnage ou phishing visent à obtenir des données financières ou des identifiants de connexion d’un email ou des droits d’accès du réseau de l’entreprise. On peut tout de même souligner que le RGPD à permis une nette amélioration dans le renforcement de la sécurité informatique au sein des entreprises. En effet depuis son entrée en application, 55% des entreprises auraient renforcé leurs mesures de sécurité.  

Chez Pérenne’IT nous pensons qu’il est important de prendre en compte les enjeux de sécurité dans le déroulement de chaque projet et processus de l’entreprise, et non de considérer la sécurité comme une couche additionnelle voire optionnelle. Se faire accompagner dans la durée par des spécialistes est aussi un moyen finalement peu onéreux de corriger et d’anticiper les problemes de sécurité, et de répondre aux attentes de plus en plus nombreuses des clients sur ce sujet.

Data Protection Officer : le métier de l’année

Cyberattaque Cybersécurité RGPD

Depuis la mise en application du Règlement Général sur la Protection des Données (RGPD), le métier de Data Protection Officer (DPO) est en énorme évolution.  

 

Data Protection Officer 

 

 

Dans une entreprise, le DPO est le garant de la protection des données personnelles, que ce soient celles des clients ou des salariés. De plus, l’article 37 du RGPD dit rendre obligatoire l’existence d’un DPO dans chaque entreprise qui réalise des opérations de traitement de données. Aucun plancher ni plafond de taille d’entreprise n’a été précisé par la directive européenne. Néanmoins toutes les entreprises ne sont pas concernées, par exemple les artisans car ils ne sont pas forcément amenés à traiter des données personnelles.  

Pour les entreprises concernées, le DPO est le garant de la conformité du stockage et de l’utilisation des données et assume donc beaucoup de responsabilités. Le DPO fournit à la CNIL le recensement du type de données stockées (et non pas les données elles-mêmes). En cas de plainte d’un client, la CNIL pourra ainsi vérifier l’existence de procédures de gestion des données, leur conformité et leur respect.  

En clair, sa mission consiste à se conformer aux nouvelles exigences règlementaires liées à l’évolution digitale. Pour cela il travaille en étroite relation avec d’autres départements de l’entreprise. En effet, le Data protection officer est au contact de tous les membres de son entreprise, les salariés appellent le DPO notamment pour savoir si telle ou telle action respecte bien le RGPD. Il y a également des tâches qui ont été directement définies par le RGPD comme supprimer les données qui ne servent à rien à l’entreprise.  

Un DPO doit-être quelqu’un de très expérimenté. Le profil parfait d’un DPO c’est un tiers de juridique, un tiers d’informatique, un tiers d’organisationnel et de bon sens. Les profils juridiques doivent se former aux rudiments de la gestion de données et les profils plus informatiques doivent s’imprégner des obligations légales et réglementaires. Pour être efficace le DPO doit savoir bien communiquer avec les différentes directions de l’entreprise et avoir une relation étroite avec les CIL, les juristes et les chefs de projet informatique.  

Nous pensons chez Perenne’IT que le Règlement Général sur la Protection des Données est bon pour le monde du numérique. Nous encouragerons les dirigeants à nommer un Data Protection Officer afin d’être assuré de la bonne tenue des données dans leur entreprise.  

Pour les petites structures, un correspondant référent sera désigné, il est aussi possible de recourir à un service DPO externalisé auprès de prestataires spécialisés RGPD.

Microsoft veut une réglementation pour la reconnaissance faciale

Microsoft

Le directeur juridique de Microsoft Brad Smith s’inquiète des avancées technologiques de la reconnaissance faciale et appelle à une réglementation de cette pratique.  

 

 reconnaissance faciale

 

C’est dans un article diffusé sur le site de Microsoft que Brad Smith, directeur juridique, a fait part des risques que pouvait engendrer la reconnaissance faciale. D’après lui, cette technologie peut être très utile comme par exemple retrouver une personne portée disparue. Mais la reconnaissance faciale peut également être utilisée à mauvais escient. Brad Smith fait notamment référence au roman de George Orwell “1984” en soulignant le côté sombre de cette technologie en disant que la reconnaissance faciale soulève des problèmes qui vont au cœur des protections fondamentales des droits de l’homme. Par exemple, un gouvernement pourrait contrôler ses citoyens à un tel point qu’il pourrait savoir tous les déplacements de tout le monde sans la permission de personne. Les entreprises pourraient également se servir de cette technologie pour suivre de près leurs visiteurs et leurs clients à leur insu, puis ainsi récupérer les informations pour prendre des décisions importantes comme des choix d’embauche notamment.  

Des idées pour avancer 

La reconnaissance faciale a déjà été mis en place dans certains pays et certaines villes et des dérives ont déjà été constatés. Il faut donc vite réglementer avant que des gouvernements et des entreprises l’utilise de mauvaise manière.  De plus, Brad Smith trouve plus juste de demander à un gouvernement élu de réglementer des entreprises que de demander à des entreprises non élues de réglementer un gouvernement. Il appelle notamment le Parlement fédéral américain à voter une loi et de mettre en place des solides méthodes de surveillance du pouvoir exécutif. Brad Smith invite les députés à réfléchir sur plusieurs propositions comme proposer aux commerçants de poser des panneaux pour avertir l’usage de la reconnaissance faciale ? Ou bien de permettre aux particuliers d’accéder aux photos qui les identifient ? Également, pourquoi ne pas créer des procédures juridiques qui donnent des recours aux personnes qui ont été identifiées par erreur ? 

Smith souhaite que l’Etat américain pose un cadre et de ne pas donner le monopole aux entreprises qui évoluent dans un environnement très concurrentiel.  

Un problème mondial 

Le danger de la reconnaissance faciale n’est pas seulement aux Etats Unis mais également dans plusieurs pays du monde. La Chine l’utilise afin d’équiper la police de lunettes intelligentes permettant d’identifier et de suivre certaines personnes. L’Allemagne a déjà installé des caméras biométriques dans une gare à Berlin et en Angleterre la technologie est également en phase de test. Quant à la France, elle est très prudente aujourd’hui avec cette technologie. En effet, aujourd’hui la CNIL souligne les dangers que cela implique en matière de libertés individuelles. La France a tout de même émis deux propositions de loi qui ont été portées au Sénat et à l’Assemblée nationale afin que cette technologie soit exploitée par les forces de l’ordre, notamment pour les procédures relatives à la lutte contre le terrorisme. Nous ne sommes donc qu’au début de son utilisation, mais le chemin vers la réglementation semble encore long, très long.

L’IA à la rescousse de la cybersécurité

Cyberattaque Cybersécurité Intelligence artificielle

La cybersécurité est-elle devenue une préoccupations importantes pour les dirigeants d’entreprises ? 

Selon un sondage du cabinet CWC et de l’institut Ipsos, seulement 29% des sociétés considèrent la cybersécurité comme une priorité et seulement une entreprise sur deux a mis en place une stratégie pour lutter contre les cyber-risques. Depuis un an, une entreprise sur deux observe une augmentation de 48% du nombre d’attaques informatique. Les symptômes sont terribles car ils peuvent arrêter la production, bloquer le site internet de l’entreprise, engendrer une perte massive du chiffre d’affaires… La plupart des entreprises touchés ont été impacté sur leur business. Au-delà de ces attaques “classiques “ de nouveaux fléaux sont apparus, notamment avec les attaques “WannaCry” et “NotPetya” qui ont mis en avant le ransomware qui est devenu la cyberattaque la plus fréquente.  

cybersécurité

Un point sur les nouvelles menaces  

Les attaques sur les entreprises évoluent d’année en année, par exemple, les attaques physiques de banque baissent au profit du ransomware. La précotions à avoir contre les ransomwares est de faire des sauvegardes régulières sur un site distant. Une autre menace “à la mode” est le cryptomining ou cryptojacking. Ce concept consiste à ce que les hackers ne volent non pas des données mais de la CPU et de la Ram. Les dommages sont donc moins conséquents mais cela consomme néanmoins de l’électricité, de la bande passante et fait vieillir prématurément des machines en situation de surchauffe. Cela peut également impacter l’empreinte carbone de l’entreprise et la productivité de l’entreprise. D’autres menaces persistent comme les attaques dites “APT”, l’objectif de ses attaques est de s’infiltrer dans le système d’information et d’exfiltrer des données au fil du temps.  

L’IA pour venir en aide ! 

Pour faire face aux cybercriminels, le marché de la sécurité à opéré à un gros changement en faisant appel aux mécanismes de maching learning et du deep learning. Le but étant de casser le modèle classique qui consiste une fois un virus détecté, de créer un vaccin. Ce qui engendre à chaque fois un train de retard par rapport aux attaques.  

L’avantage de l’intelligence artificielle est qu’il n’y a plus besoin de connaître la menace pour la bloquer. Ce modèle repose sur une approche statistique. Il va analyser jusqu’à un million de caractéristiques d’un fichier, sa taille, son code, sa signature, toutes ces suites de bits qui se répètent… après cela, un score va lui être attribué pour savoir si un fichier peut s’exécuter ou non. Le système mettra ainsi le virus défaillant en quarantaine.  

L’IA est un moyen pour pallier la pénurie de compétence en cybersécurité. De toute façon, l’être humain est incapable d’analyser l’intégralité des données engrangées dans un système de supervision. L’IA peut effectuer le premier niveau d’analyse et décharger les opérateurs qui doivent lire des centaines de lignes de logs. Alors que là ils vont se concentrer sur les événements essentiels et l’IA apporte aussi une aide à la décision des experts confirmés.  

Malgré tous les avantages de l’IA, on peut tout de même trouver des failles dans cette technologies. Car pour certains experts, l’IA pourrait aussi paradoxalement renforcer la cybercriminalité car les hackers utilisent aussi des algorithmes complexes pour automatiser certaines tâches.  

 

Les cyberattaques sur les PME

Cyberattaque Cybersécurité

Les cyberattaques ne concernent pas que les grandes entreprises mais également des milliers de PME chaque année. On estime à 65% le nombre de PME qui n’ont aucune politique de protection des données.  

 

cybersécurité

 

Les entreprises types TPE/ PME sont devenues des cibles privilégiées pour les cybercriminels. En effet, la majorité des PME ne mènent pas de politique cyber-sécuritaire ce sont donc des cibles faciles pour les hackers. 42% des PME admettent avoir été victimes d’une attaque par ransomware (logiciel malveillant qui prend en otage des données et exige une rançon en échange). Une PME sur trois a payé la rançon, mais une sur cinq n’a jamais récupéré ses fichiers après le paiement… 

Le problème est que le budget des PME alloué à la cybersécurité est encore insuffisant. Pourtant la prise de conscience des risques est de plus en plus grande mais la plupart investissent peu voire pas du tout dans la sécurité informatique. Sans véritable budget, les PME deviennent des cibles faciles. Les mails pirates sont classiquement travaillés pour inspirer confiance : expéditeur falsifié pour ressembler à des mails internes, pièces jointes aux allures de facture ou de paiement. Tout est fait pour inciter les utilisateurs à cliquer. L’objectif principal des pirates n’est pas d’accéder aux données mais de les crypter, pour pouvoir ensuite demander une rançon. Si la PME paie, elle sera davantage ciblée, et n’aura aucune garantie d’obtenir la clé de décryptage de ses données : si elle ne paie pas, les données seront définitivement perdues.   

Les PME doivent apprendre à ne pas traiter les questions de cybersécurité que lorsqu’elles sont victimes d’une cyberattaque ; elles doivent penser le système de sécurité dans son ensemble, en amont. Il est notamment plus sûr de confier ses données à un prestataire Cloud afin d’externaliser la gestion des données. Cela limite la fragilité du système mais le risque zéro n’existe pas… Il est également indispensable d’avoir un antivirus à jour pour une entreprise, de même qu’un anti-spam et un firewall efficient. Cela permet surtout de limiter le nombre de virus dans les boîtes mails des utilisateurs et assurer la sécurité des données. La meilleure des préventions reste la formation et la sensibilisation régulière des utilisateurs pour éviter les risques. C’est la combinaison de plusieurs vecteurs de prévention qui sera efficace, la meilleure sécurité est celle qui devient un réflexe au quotidien. Le premier des réflexes est de sauvegarder ses données.  

Nous conseillons de faire de la prévention à vos salariés et d’avoir quelqu’un à qui se référer dans l’entreprise en cas de suspicion d’une menace. L’Anssi a notamment publié avec la Confédération des PME un guide des bonnes pratiques pour la sécurité informatique à destination des PME.  

Ces bonnes pratiques sont consultables à cette adresse : https://www.ssi.gouv.fr/actualite/petites-et-moyennes-entreprises-decouvrez-le-guide-des-bonnes-pratiques-de-linformatique-adapte-a-vos-besoins/