Lutter contre la cybercriminalité

Alain juillet définit l’intelligence économique comme « la maitrise et la protection de l’information stratégique pertinente pour tout acteur économique »

L’avènement du numérique et d’internet a mis l’information au cœur du processus de décision stratégique. Une connaissance parfaite de l’information pertinente est nécessaire à toute entreprise afin de saisir l’ensemble des opportunités qui se présentent à elle, d’appréhender et de maîtriser les risques et de mener des actions efficaces et déterminantes pour son avenir. La maîtrise de l’information constitue donc le facteur à ne pas négliger dans l’entreprise. Elle est devenue un réel outil économique, indispensable quel que soit le secteur d’activité ou la taille de l’entreprise. C’est pourquoi les entreprises accordent beaucoup d’importance à celle-ci aujourd’hui pour pouvoir se positionner sur un marché donné.

De ce fait, chaque entreprise possède des informations pertinentes qu’elle aura récoltées ou triées et qui vont intéresser un grand nombre de personnes. Vous l’avez compris, l’information est vitale pour une entreprise mais encore trop peu sont efficacement protégées face aux cyberattaques. Il y a donc un paradoxe majeur : l’information est considérée comme un atout stratégique très important alors que la protection est souvent traitée de façon secondaire.

Définition : La protection de l’information est une démarche consciente visant à protéger, au sein de l’entreprise étendue, ce qui vaut la peine d’être protégé, tant au niveau des données que des supports d’information. Cette démarche implique un système de gestion, une identification des informations sensibles, une analyse de risques, des acteurs, avec des rôles et responsabilités et un programme de réduction des risques. Source : GiGref

La France a-t-elle les moyens de se défendre ?

Hormis les systèmes de défenses militaires qui disposent d’un équipement de haute sécurité, qui est soit dit en passant très onéreux, aucune entreprise ne peut garantir totalement sa protection contre la cybercriminalité. C’est pour cela qu’en 2009, la France a mis en place un dispositif de cyberdéfense, l’ANSSI ou Agence Nationale de la Sécurité des Systèmes d’Information. Le rôle de ce centre opérationnel est d’appréhender et d’endiguer les cyberattaques et de sensibiliser l’ensemble des acteurs et particuliers à ce phénomène qui ne cesse de croitre.

Croire que les antivirus ou les pare-feu suffisent à se sécuriser est une erreur. Il faut instaurer au sein de son système une « hygiène informatique » et analyser les risques d’attaque. Ce procédé permet de diminuer considérablement les risques. Pour se faire, l’ANSSI a mis à disposition un guide d’Hygiène informatique qui indique quelles sont les 40 règles à appliquer dans son système pour se protéger. En outre, il nous informe sur l’importance de mettre à jour ou à niveau nos logiciels, de repérer les comptes dit « importants » à surveiller et à protéger ou bien d’authentifier l’utilisateur. Vous pouvez retrouver l’ensemble de ces règles sur ce lien.

Pour aller plus loin dans la protection de nos données, Interpol a inauguré un nouveau centre de recherche particulièrement dédié à la lutte contre la cybercriminalité. Le site a été construit à Singapour (le siège restant à Lyon en France). La création de ce complexe est justifiée d’après Interpol car le partage sécurisé d’informations pourra profiter aux polices nationales.

Le nombre de cyberattaques ou attaques informatiques ne cessent d’augmenter. Elles sont également plus virulentes en termes de gravité. En 2015 et dans le monde, ces attaques ont augmenté de 38% forçant les entreprises à se défendre et à investir toujours plus dans la protection et la sécurité de leurs systèmes informatiques. L’investissement dans les systèmes de sécurité a ainsi augmenté de 24%.

La France est de plus en plus touchée par ces attaques avec une augmentation de 51% courant 2015. Le budget alloué au système de défense a donc lui aussi augmenté de 29%.

Le cabinet d’audit et de conseil PwC, en collaboration avec le CIO et le CSO, a recensé en moyenne 21 attaques/jour en 2015. C’est ce nombre impressionnant qui a forcé les entreprises françaises à se prémunir par des moyens de défense efficaces. Beaucoup d’entreprises pensent que les attaques concernent seulement les plus importantes d’entre elles ou les secteurs dit sensibles. Cependant, un grand nombre d’attaques se portent également sur des petites structures telles que les TPE ou les PME car elles sont souvent plus fragiles et plus faciles d’accès pour les Hackers peu expérimentés. De plus, ce sont souvent les petites structures qui sont soumises à de telles attaques car étant en expansion, ce sont elles qui disposent d’informations à très haute valeur ajoutée. Il est donc très important que l’ensemble des acteurs du territoire français prennent conscience du danger qui les guette en s’informant sur les possibilités de protection et de sensibilisation qu’ils peuvent mettre en place souvent à moindre coût.

Comment bien se protéger ?

Pour pouvoir se protéger efficacement contre tout type d’attaques informatiques, il est important avant toute chose de savoir de quelle façon les hackers s’introduisent dans nos systèmes afin de limiter les failles.

Il existe différentes façons d’attaquer un système informatique :

  • L’attaque par déni de service : c’est sans aucun doute la plus virulente car elle peut rendre indisponible l’ensemble des ressources ou services que l’entreprise utilise pour stocker ou partager de l’information. Elle paralyse complétement son fonctionnement de manière indéfinie. Parmi ce type d’attaque, la plus connue est la DOS qui touche les services d’accès à internet, ou les ressources partagées.
  • L’hameçonnage : il s’agit d’induire l’utilisateur en erreur pour pouvoir obtenir des informations pertinentes telles que les identifiants bancaires, mots de passe…). Le hacker utilise des e-mails avec un lien vers un site contrefait.
  • Usurpation d’adresse IP : Cela consiste à substituer une adresse IP pour pouvoir contourner le pare-feu et ainsi s’introduire dans le système ou le réseau de l’entreprise.

En ayant connaissance de ces possibilité d’attaques et en ayant décelé les signaux faibles ou les failles de son réseau, l’entreprise peut se préparer afin de limiter l’accès à ses données.

Il faut donc au préalable identifier les données sensibles aux cyberattaques. Pour la plupart des entreprises, il s’agit des données clients, liées à la propriété intellectuelle ou stratégique de l’entreprise.

Comme dit précédemment, il faut ensuite comprendre les points d’entrée que les hackers pourraient utiliser. En identifiant ces points vulnérables, il sera plus facile pour les informaticiens de mettre en place ou de renforcer la sécurité.
La mise en place d’un système de sécurité informatique approprié aux besoins permettra à une entreprise de se protéger et d’empêcher pour un temps les hackers d’accéder à ses données.

Enfin il faut mettre en place des mesures de sécurité à l’intérieur de chaque service afin de sensibiliser les collaborateurs aux bonnes pratiques, à l’exemple de nombreuses sociétés qui interdisent l’utilisation de boites mails personnelles pour limiter toute intrusion extérieure par des canaux non sécurisés.

Cependant, afin que cette protection soit efficace, elle doit passer par l’ensemble des acteurs de manière organisée, transversale, collaborative et surtout dynamique. Pour se faire, il faut préalablement identifier les différents facteurs permettant la protection de l’information sensible :

  • Tout d’abord l’entreprise doit définir et orienter les points clés à protéger
  • La hiérarchie doit appliquer les règles de protection définies par l’entreprise, les faciliter et enfin les contrôler
  • Chaque salarié doit bien entendu être informé par la direction des bonnes pratique mises en places, les appliquer et alerter les responsables lors de toute détection d’intrusion ou de problèmes de sécurisation, car ce sont les salariés qui pourront identifier tout manque de protection.
  • Les ingénieurs informaticiens auront la tâche d’organiser cette protection, et de valider ou non toute action qui pourrait être sensible quant à la sécurité de son système informatique
  • Les acteurs extérieurs auront également un rôle prépondérant comme l’ANSSI qui délivre des labels aux produits à utiliser, intervient dans l’aide au développement technique ou bien à la formation du personnel de l’entreprise aux bonnes pratiques de sécurisation et de protection

Les nouveaux risques et opportunités de protection :

L’avènement des nouvelles opportunités technologiques et numériques a entrainé de nouveaux risques en lien avec la cybercriminalité mais également de nouvelles opportunités de défense.

En effet, le développement du big data et celui des objets connectés (ou Internet des objets) entraine une nouvelle vision des risques et de la protection des données. Selon une étude de Business Analytics, « 73% des professionnels de l’informatique estiment possible qu’une société soit la cible d’une cyberattaque transitant via un objet connecté ». Les montres et bracelets connectés pourront très bien se connecter aux réseaux ou aux serveurs de l’entreprise. Le risque que représentent les objets connectés est encore mal estimé en termes de sécurisation de l’information. En effet, ces objets ont souvent un niveau de sécurisation insuffisant alors que les données qu’ils peuvent contenir sont parfois très sensibles.

En dehors de pouvoir récupérer les données personnelles d’un individu lambda, les hackers pourront s’introduire dans la montre connectée par exemple pour par la suite, quand cet individu sera sur son lieu de travail, s’introduire sur le système informatique et récupérer les données qui lui semblent pertinentes.

Il faut que les entreprises réussissent à neutraliser les risques en adoptant une stratégie de protection nouvelle, adaptée et efficace face à ce nouveau risque. Il s’agit par exemple de vérifier la sécurisation des appareils connectés de l’entreprise et de mettre en place un réseau visiteur afin d’éviter une connexion au réseau interne.

Pour les entreprises travaillant avec des intervenants extérieurs le Cloud est une nouvelle opportunité de partager des fichiers en toute sécurité. Cette solution permet aux entreprises et aux partenaires extérieurs d’obtenir les informations ou de les synchroniser en utilisant une infrastructure nuagicielle protégée de bout en bout.

Avec le développement des objets connectés et les avancées technologiques, les attaques seront de plus en plus diversifiées et pourront intervenir de différentes façons. Il est donc important de se prémunir dès maintenant par de nouveaux moyens de défense et de repenser à de nouveaux systèmes de protection de l’information.

Les entreprises quant à elles prennent consciences de l’importance de protéger leurs données sensibles face aux cyberattaques. Tout type d’entreprise peut faire l’objet d’une attaque, peu importe sa taille. De simples mesures de sécurité et de prévention peuvent suffire à limiter les risques.

Par Cédric Kernoa, étudiant promotion 2015-2016 du M2 IESC

Bibliographie :

  • « Guide d’hygiène informatique », Agence nationale de la sécurité des systèmes d’information, Janvier 2013 :

http://www.ssi.gouv.fr/uploads/IMG/pdf/guide_hygiene_informatique_anssi.pdf

  • « Sécurité et espionnage informatique », Cédric Pernet, EYROLLES, Décembre 2014
  • « Sécurité : Comment se protéger des attaques DDoS et les éviter ? », undernews :

http://www.undernews.fr/reseau-securite/firewall-ids/securite-comment-se-proteger-des-attaques-ddos-et-les-eviter.html

  • « Sécuriser et protéger son site Web des attaques des pirates et hackers », legissa :

http://legissa.ovh/internet-se-proteger-des-pirates-et-hackers.html

  • Protection de l’information, enjeux, gouvernance et bonnes pratiques, CiGref, 2008 :

http://www.cigref.fr/cigref_publications/RapportsContainer/Parus2008/Protection_information_2008.pdf

  • Cyberattaque sur le site internet de la défense, youtube :

http://www.cigref.fr/cigref_publications/RapportsContainer/Parus2008/Protection_information_2008.pdf

Admin M2 IESC