Erwin Geirnaert
Le CEO détient la clé pour enrayer le ransomware
Il n’y a que le CEO ou le chef d’entreprise qui soit capable de stopper les rançongiciels. Cela exige cependant de sa part de communiquer clairement à tout un chacun dans l’entreprise, selon l’expert en sécurité Erwin Geirnaert. La cyber-sécurité doit être la top-priorité à tous les niveaux, mais cela n’est possible qu’en dégageant un budget suffisant.
Il y a 20 ans, quasiment toutes les entreprises en Belgique ont été touchées par le premier virus massivement diffusé, alias “I love you”, qui se propagea par l’envoi d’une copie du virus vers toutes les données de contact d’un collaborateur. On se rendit compte ensuite que c’était un virus inoffensif: son seul impact fut que des serveurs mail se plantèrent en raison de la grande quantité de courriels. La solution était très simple: filtrer les courriels à code d’application en pièce jointe sur la passerelle mail.
Le CEO détient la clé pour enrayer le ransomware
A présent, vingt ans plus tard, les criminels utilisent les mêmes techniques pour empocher de l’argent avec leur rançongiciels. Le ransomware est une sorte de virus qui prend en otage une entreprise en cryptant ses données, de sorte qu’elles ne soient plus utilisables et que les ordinateurs ne puissent donc plus démarrer. Le ransomware se propage en abusant des failles présentes dans quasiment chaque entreprise en raison principalement de problèmes budgétaires. L’IT est devenue aujourd’hui un défi budgétaire très complexe à relever, mais c’est aussi le coeur même de l’entreprise. Sans IT, l’entreprise ne peut plus fonctionner de manière efficiente. Or la sécurité IT est encore et toujours traitée en parent pauvre. On n’achète pas comme cela une solution sécuritaire qui résout tout. La sécurité doit faire partie de l’ADN de l’entreprise, et cela ne peut être correctement mis en oeuvre que si on fait appel à des firmes extérieures spécialisées, qui détectent les faiblesses de l’entreprise. Un contrôle permanent en vue de maintenir le niveau de sécurité n’est pas un luxe superflu, mais une absolue nécessité.
Il convient de prendre les mesures qui s’imposent pour se protéger des cyber-attaques. Chaque entreprise possède un environnement IT, qui fait qu’elle est une cible potentielle pour les cybercriminels.
Avec Industry 4.0, l’internet des objets, les appareils connectés,…, on est encore davantage dépendant du web et de l’IT. Les entreprises sont pleinement occupées à leur transformation numérique, mais cela n’empêche pas un manque d’investissements dans l’IT. A présent, l’entreprise doit examiner en priorité la sécurisation ou la protection de ses applications et ce n’est qu’ensuite qu’elle pourra commencer à mettre en oeuvre des projets. En agissant ici, on ne donne aucune chance d’intrusion aux criminels. Le CEO doit diriger son entreprise comme un bon père de famille, qui ne laisse pas les portes et les fenêtres de sa maison ouvertes. Malheureusement, c’est le ‘Go-To-Market’ qui prime actuellement, plus encore que la sécurisation des systèmes IT. Il convient de faire d’autres choix, alors que la prise de conscience sécuritaire doit être amplifiée.
Comme la plupart des entreprises ne disposent pas d’experts IT et encore moins de spécialistes en sécurité, il ne faut pas pointer du doigt les collaborateurs IT internes lorsqu’il est question d’attaques au rançongiciel. Les entreprises ne consacrent pas non plus assez de temps et d’argent à la formation de leur personnel, afin de les conscientiser aux risques du cyber-crime.
De plus, l’évolution des menaces n’est pas suivie par les entreprises. Les techniques et technologies qui suffisaient encore, il y a cinq ans, pour contrer les cyber-attaques, ne fonctionnent plus à présent.
Le périmètre qui était protégé par le pare-feu, n’existe plus. Tous les systèmes sont connectés en ligne 24H sur 24 et reliés au nuage.
Le CEO devrait poser les questions suivantes pour connaître le degré de vulnérabilité de son entreprise aux cyber-attaques:
- Question 1: combien de tentatives a-t-on détectées la semaine écoulée?
- Question 2: si quelqu’un à la comptabilité ‘chope’ un virus, cela peut-il impacter notre centre de données et notre réseau?
- Question 3: tous nos collaborateurs sont-ils suffisamment formés pour détecter les courriels d’hameçonnage (‘phishing’) et savent-ils comment ils doivent en faire rapport?
- Question 4: quels sont nos points faibles et peuvent-ils être résolus rapidement?
- Question 5: tous nos systèmes sont-ils actualisés?
Les entreprises louent généralement les services d’experts financiers pour soutenir le CEO sur le plan budgétaire, mais peut-être serait-il intéressant de faire de même pour la sécurité IT. Laissez des experts s’occuper de la sécurité, collaborez avec d’autres firmes et les pouvoirs publics pour passer en revue ce genre d’attaques et communiquez de manière transparente avec le monde extérieur. Comme le CEO dispose d’un tableau de bord financier, où il peut suivre la situation pécuniaire de son entreprise, il pourrait être aussi aidé avec un tableau du genre pour connaître le niveau de sécurité, de possibles problèmes et où il convient d’effectuer des investissements supplémentaires.
Le CEO doit investir dans le personnel, les processus et la technologie.
Personnel: les collaborateurs doivent être continuellement formés et conscientisés en matière de cyber-sécurité.
Processus: la sécurité doit toujours être prise en compte et ce, dès le début. En anglais, il existe la jolie expression “Shift Security Left” pour désigner une incorporation sécuritaire proactive, à l’image de l’architecte qui élabore un plan, avant la construction proprement dite.
Technologie: il existe tant de solutions technologiques valables, qui peuvent résoudre pas mal de problèmes, même en mettant simplement en oeuvre plusieurs couches de sécurité, chacune capable de corriger une faille dans une autre.
Bref, cher CEO, pour 2020, prenez comme bonne résolution d’investir surtout dans la cyber-sécurité et présentez votre projet de façon positive dans les médias!
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici