Comment je me protège des cyberattaques

Aujourd'hui, la cybersécurité est l'affaire de tous. En plus des grandes attaques qui visent les grands groupes mondiaux (Airbus ou Altran encore cette semaine), la menace venue d'Internet n'épargne personne. Qu'il s'agisse de vol de données, de tentatives d'arnaque, de vandalisme, de sabotage ou d'espionnage, le cyberespace peut présenter bien des risques pour celui qui n'y est pas préparé. 

"Mon entreprise a fermé boutique à cause d'une cyberattaque"

André Thomas se souvient très bien de ce lundi 11 septembre 2017. Ce matin là, il se rend dans les locaux de son entreprise d'électroménager à Clermont-Ferrand, Auvergne-Clermont Pièces qui emploie huit personnes, quand un de ses responsables l'interpelle : "Il faut que vous veniez voir, les ordinateurs sont bloqués. Et effectivement sur les écrans, il y avait un cadenas qui apparaissait, on n'avait plus accès à aucun logiciel, ça avait été piraté pendant la nuit". André ne le sait pas mais il est alors victime d'un "logiciel rançon", ou "ransomware". L'auteur de l'attaque a écrit un message qui apparaît sur tous les écrans des ordinateurs atteints dans lequel il réclame le versement de 3 800 euros en monnaie virtuelle Bitcoin : une somme à verser pour chaque jour de blocage (voir les photos sur l'article publié par France 3 quelques jours après le piratage). "La rançon était réévaluée tous les jours, si je ne payais pas le premier jour, elle doublait le deuxième jour, triplait le troisième, etc."

Dans ce genre d'attaques, le pirate prend le contrôle des ordinateurs infectés et chiffre toutes les données qui s'y trouvent. Il est alors impossible de les récupérer, qu'il s'agisse de la comptabilité, des fichiers clients ou de logiciels utilisant ces données. "Mon entreprise s'est retrouvée à l'arrêt total", raconte André Thomas. 

J'ai fait appel à cinq informaticiens pour essayer de trouver une solution mais tous m'ont dit que c'était impossible. J'ai porté plainte contre X à la Police et on m'a déconseillé de payer la rançon. Rien ne disait que je pourrais récupérer mes données et rien ne disait non plus qu'une nouvelle attaque n'aurait pas lieu quinze jours après.                          
André Thomas, victime d'une cyberattaque

André avait pourtant sauvegardé ses données sur un disque dur externe mais ce dernier avait aussi été compromis : "Le disque dur externe était connecté au serveur principal. La solution aurait été d'avoir un disque non relié au serveur et de transférer les données chaque jour manuellement. Malheureusement, je ne le savais pas !" Car dans bien des cas, la sauvegarde constitue le geste quotidien qui peut sauver une entreprise. "Si j'avais voulu continuer, il aurait fallu repartir de zéro, sans aucune donnée", continue André Thomas. "Lorsque j'ai rencontré le procureur de la République au tribunal de commerce en octobre, j'ai compris que la liquidation judiciaire était la seule solution. Grâce à mon réseau et en écrivant à tous les élus locaux, au Premier ministre et au ministre de l'Intérieur, j'ai pu reclasser six de mes huit salariés. Mais la fermeture a été difficile à encaisser financièrement et je n'ai pas eu d'aide du tout de la part de l'Etat. J'avais prévu de transmettre l'entreprise à mon fils, il avait même pris des parts, mais aujourd'hui, je suis à la retraite".

La première porte d'entrée des virus : l'email

Pour se protéger au mieux face aux attaques informatiques, la méthode n'est pourtant pas compliquée : mettre à jour ses logiciels (les mises à jours corrigent les failles de sécurité au fur et à mesure de leur détection), avoir un antivirus et un pare feu, faire des sauvegardes de ses données. Ces techniques ne sont pas la panacée mais elles sont données par tous les experts en cybersécurité. Parmi eux, Sébastien Gest met particulièrement l'accent sur la protection des boîtes mail : cet évangéliste technique travaille chez Vade Secure, qui sécurise 600 millions de boîtes mail dans 76 pays.

91% des menaces utilisent l'email comme vecteur d'intrusion car la vulnérabilité la plus grande dans une entreprise se trouve entre la chaise et le bureau : c'est l'utilisateur ! "Pour améliorer la cybersécurité, le meilleur conseil que je puisse donner, c'est de sensibiliser l'employé. Il faut qu'il soit capable de reconnaître des tentatives d'intrusion via ce qu'on appelle le hameçonnage (ou phishing) : ces mails où l'on vous demande de renseigner vos identifiants. A partir du moment où vous les donnez, le hacker a accès à votre compte et peut y faire ce qu'il désire. Aujourd'hui, les pirates essaient de cibler le public le moins sensibilisé : l'administration, la finance, le marketing... Plutôt que des développeurs qui ont la culture de la cybersécurité".

La nouvelle forme de phishing plus sophistiquée s'appelle le spear phishing (harponnage en québécois) : il s'agit d'un hameçonnage classique mais qui utilise des méthodes d'ingénierie sociale. Les mails piégés sont beaucoup mieux ciblés et tiennent compte de vos habitudes et des traces que vous avez laissées sur Internet. Aujourd'hui, les vols de données massifs que nous observons sur Internet servent, entre autres, à cela : en fonction des endroits que vous avez fréquentés, des objets que vous avez achetés, le pirate fabrique un mail qui vous correspond et vous êtes plus tenté de cliquer sur lien ou sur la pièce jointe piégée.                      
Sébastien Gest, évangéliste numérique.

"Quand le hameçonnage est bien fait, même les meilleurs experts peuvent se faire prendre", explique Emmanuel Gras, ancien de l'ANSSI (l'Agence nationale de la sécurité des systèmes d'information) et désormais patron d'une entreprise de cybersécurité, Alsid. 

Le responsable de la cybersécurité d'une entreprise doit être au four et au moulin

Dans les grands groupes et dans les entreprises qui en ont les moyens, la sécurité informatique est l'affaire d'un service spécialisé : le Centre opérationnel de sécurité (SOC en anglais). À sa tête se trouve celui qu'on appelle le RSSI : le Responsable de la sécurité des systèmes d'information. Ce dernier est multi-tâches : "Sans forfanterie, je pense que le RSSI est un mouton à plus que cinq pattes !", explique Alain Bouillé, le président du CESIN, une association qui regroupe tous les responsables de sécurité informatique des grandes entreprises. 

"Le matin, le responsable sécurité doit rassurer les dirigeants du groupe lorsqu'une vague de cyberattaques est en cours, il doit ensuite parler à l'informaticien qui s'occupe de la supervision de la sécurité parce que vous avez parfois plusieurs milliers d'attaques par jour. Il doit également parler à la direction des ressources humaines pour mettre en place des opérations de formation auprès du personnel. Il doit parler au service juridique afin de mettre en oeuvre la protection des données... Que ce soit au niveau juridique, DRH, formation, dialogue avec les dirigeants, technique... Le responsable sécurité se doit d'être polyvalent et sur tous les fronts !                                
Alain Bouillé, président du CESIN et responsable sécurité informatique à la Caisse des Dépôts

Et tout n'est pas rose : dans le dernier baromètre annuel sur la cybermenace publié en janvier 2019, Alain Bouillé relève de nouvelles inquiétudes de la part des entreprises. "On a vu une dégradation dans l'optimisme des responsables de cybersécurité. L'an dernier, ils étaient environ 65 % à nous dire qu'ils pensaient être au niveau en cas d'attaque de grande ampleur. Cette année, ils ne sont plus que 50 %. Je pense que c'est le résultat de ce qui arrive dans le monde : de grandes entreprises se font attaquer alors qu'elles n'ont pas démérité en matière de protection, le RSSI a fait son boulot". 

Le message à faire passer aujourd'hui : nulle forteresse n'est imprenable. A partir du moment où on vous veut du mal et où on veut rentrer dans l'entreprise, lorsqu'une attaque est ciblée, il est bien difficile d'y échapper.

Face aux cyberattaques, les victimes disposent désormais d'interlocuteurs

Guillaume Poupard est le directeur de l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, une autorité administrative créée en 2009 afin de contrer la menace venue d'Internet. L'agence a d'abord cherché à sécuriser les acteurs les plus importants : grandes administrations et grandes entreprises qui ont été priées de se mettre à niveau en matière de sécurité informatique. Les statuts d'OIV (Opérateurs d'importance vitale) et d'OSE (Opérateurs de service essentiel) ont été créés avec un soutien logistique de l'ANSSI, qui peut intervenir également en cas de crise - l'Agence le fait régulièrement. 

Mais concernant les PME et les particuliers qui utilisent Internet au quotidien, l'ANSSI n'intervient pas directement. "Aujourd'hui, les attaquants choisissent leurs cibles et ils préfèrent évidemment s'en prendre aux plus faibles, comme les PME ou vous et moi", explique Guillaume Poupard, "on pourrait se dire que si une PME ferme, ça n'est pas grave pour le pays. Mais si demain, 5 % des PME françaises venaient à tomber, cela serait un problème de sécurité nationale." 

On ne va pas imposer aux PME de se sécuriser via de la réglementation, cela n'aurait pas de sens. La solution pour les PME consiste à proposer des solutions numériques intrinsèquement sécurisées. Même si cela coûte 10% de plus, la sécurité n'a pas de prix. Mais pour ça, il faut que les solutions soient disponibles et qu'elles répondent aux besoins des PME. Là, on a encore des progrès à faire, via le développement d'assurances qui prennent en charge ce risque cyber.                            
Guillaume Poupard, directeur de l'ANSSI.

Au rayon des solutions en cas d'attaque, les PME et les particuliers disposent également d'un nouveau service proposé par l'Etat : la plateforme cybermalveillance.gouv.fr (voir tweet ci-dessus) mise en place en 2017. Ce site a l'ambition d'être le guichet unique de toutes les victimes, qu'elle soient touchées par du harcèlement, une arnaque à la carte bleue, une demande de rançon, un blocage d'ordinateurs. Les personnes peuvent faire un signalement et éventuellement être orientées vers d'autres services : police, gendarmerie, prestataires privés capables de réparer des systèmes informatiques partout en France. 

En 2018, 28 855 victimes sont venues chercher de l’assistance sur la plateforme dont 24 574 particuliers, 3 650 entreprises et 631 collectivités. Les principales menaces identifiées ont été les attaques par hameçonnage (phishing), le piratage de compte, le pourriel (spam) et les virus (dont rançongiciel/ransomware). Pour les petites entreprises, l'ANSSI a également mis en place une formation de cinq jours de "référent cybersécurité" qui permet de donner à un membre du personnel les rudiments des bons comportements sur Internet.

Vos témoignages et réactions sur les réseaux sociaux