Cyberattaques : quelles sont les vulnérabilités des entreprises et leurs conséquences?

Aujourd’hui, aucune organisation n’est à l’abri de se faire pirater, car tant les PME, les grands groupes que les administrations gouvernementales sont ciblés. Une simple faille de sécurité non prise au sérieux peut avoir de graves conséquences pour les entreprises. Terminé l’image du hacker en version adolescente, seul dans sa chambre, qui cherche une dose d’adrénaline. Aujourd’hui, les pirates peuvent aller jusqu’à constituer des groupes organisés structurés dont la revente de données personnelles et confidentielles permet de financer leurs activités. Pour les entreprises, il n’existe qu’une seule parade : la préparation. Car la question n’est pas de savoir si elles vont se faire attaquer, mais quand. Et lorsque ce jour arrivera, il vaut mieux que leur système de défense soit à la hauteur.

C’est en 1955 que l’on voit la première apparition du mot « hacking » au MIT, aux États-Unis. Dès lors, le rythme des attaques n’a fait que s’accélérer, avec des opérations ayant un fort écho médiatique. Ce fut le cas en 1994, avec le piratage du système informatique de la Citibank à New York par un ingénieur russe depuis Saint-Pétersbourg qui fait disparaître 10 millions de dollars des comptes de la banque. En 2013, 30  000 sites web sont piratés chaque jour. Un an plus tard, les données de 150 millions de comptes d’utilisateurs du site eBay sont volées. Aujourd’hui, une cyberattaque se produit toutes les 39 secondes à travers le monde. Une situation qui s’explique par plusieurs raisons :

• La transition accélérée au télétravail avec la pandémie de COVID-19 : les organisations ont dû déployer rapidement des solutions pour permettre l’accès à distance aux services et applications informatiques, afin d’assurer la continuité des opérations, sans prendre en compte la question de la cybersécurité.
• Une sensibilisation et des formations limitées pour les salariés, qui restent la première porte d’entrée des pirates.
• Une professionnalisation des attaques avec des moyens de plus en plus conséquents, nécessitant parfois de longues semaines d’investigation en matière d’ingénierie sociale.
• Une automatisation en hausse entre logiciels : une interconnexion qui peut entraîner un effet domino dans des systèmes que plus personne ne maîtrise vraiment.
• Le développement de l’IoT avec des systèmes peu ou mal sécurisés, permettant aussi d’accéder à des objets connectés et à leurs données.

Une mobilité omniprésente qui ouvre de nouvelles opportunités pour les pirates via des attaques utilisant des applications mobiles vérolées ou des accès wi-fi corrompus.

Selon son système de défense, une entreprise attaquée peut faire face à plusieurs vulnérabilités bien connues, comme :

• Ransomware : logiciel qui chiffre les fichiers d’un ordinateur et nécessite le paiement d’une rançon en cryptomonnaie pour le déverrouillage.
• Vol massif de données : vol, exploitation et revente de données personnelles servant à financer les activités illicites des cybercriminels.
• Advanced Persistent Threat : infiltrations longues et discrètes visant à récupérer des documents ou données confidentielles ciblant des gouvernements, banques, médias ou toute entreprise avec un enjeu stratégique (défense, recherche, transport…).
• Attaque DoS (déni de service) : surcharge volontaire des capacités d’un serveur pour le paralyser, qui peut avoir des conséquences importantes pour les sites marchands.
• Piratage mobile : accès à des données personnelles et confidentielles depuis un terminal mobile non sécurisé ou via l’installation d’une application vérolée.

Si ces vulnérabilités sont importantes, elles ne sont toutefois pas les plus dangereuses, car les professionnels de la cybersécurité savent comment elles fonctionnent et quels en sont les ressorts. Le risque ultime pour les entreprises restant les failles dites « zero day  ». Ce sont des failles informatiques non résolues, non connues des développeurs, et qui sont faciles à exploiter pour prendre tout le monde par surprise. À titre d’exemple, en 2014, le piratage de Sony Pictures, qui a mené au dévoilement de 5 films avant leur sortie officielle, avait pour origine une faille zero-day.

Les cyberattaques représentent un problème global, mondial, sans aucune solution clé en main, qui a évolué au cours des dernières années et qui reste hautement imprévisible. Le risque numérique est protéiforme et difficile à définir, car il est causé par une pluralité d’acteurs. Ce qui le qualifie c’est sa conséquence : le vol, la perte, l’altération ou la destruction d’informations remettant en cause le fonctionnement et l’intégrité physique ou technologique de l’entreprise. Exemples :

• Un vol de données personnelles.
• La disparition de fichiers clients.
• La paralysie du système informatique.
• L’usurpation d’identité.
• Des transferts de fonds non autorisés.
• Des actes d’espionnage économique.
• L’immobilisation de l’outil de production.

Face à une cyberattaque, les entreprises doivent aussi régler des coûts directs et indirects. C’est notamment le cas des honoraires d’avocats et des frais de justice, de la mise en conformité réglementaire, des coûts liés aux enquêtes techniques et à la sécurisation des données post-incident, mais aussi des risques de perte d’affaires avec ses clients, de perte de confiance des parties prenantes et des nombreux impacts liés à la perturbation de l’activité. Investir dans la cybersécurité vise donc à mieux gérer ces risques avec les bons talents afin d’en limiter les impacts et les conséquences.