Comment sécuriser une MPE ? ‘Commencez par la base’
Les PME sont toujours davantage victimes de cyberattaques. Pourtant, elles ne devraient éprouver aucune difficulté, même vu leur taille, à sécuriser leurs systèmes informatiques, du moins aux dires des analystes de Fox&Fish.
En dépit de l’actualité qui se fait l’écho de vols de données ou rançongiciels occasionnels à grande échelle dans des multinationales, la plupart des victimes de cybercriminalité sont en général de petites entreprises. D’ailleurs, on recense jusqu’à 4 fois plus de cas d’attaque que dans les grandes et moyennes entreprises, estime le spécialiste de la sécurité Orange Cyberdefense. Ce sont également les sociétés qui sont en général les plus mal loties en termes de sécurité, que ce soit par manque de connaissances ou de budget.
« Les plus petites organisations ne savent même parfois pas qu’elles ont été victimes d’une attaque »,affirme Mathias Vissers, CEO de l’entreprise de sécurité Fox&Fish. Cette start-up est spécialisée dans les audits et la formation (en cybersécurité) de petites (à grandes) entreprises. « Trop de PME ont un faux sentiment de sécurité. Elles choisissent un fournisseur IT et ont confiance dans leurs services, alors que la sécurité est un domaine complexe. Il ne suffit pas d’installer un parefeu car celui-ci doit aussi être correctement configuré et régulièrement mis à jour notamment, ce qui n’est pas toujours prévu. »
L’on pourrait évidemment se demander pourquoi attaquer le commerçant du coin alors que de grands groupes existent, comme Sony, mais la petite taille n’implique pas forcément que l’on ne soit pas une cible potentielle. « Il ne faut pas nécessairement être une victime intéressante, mais plutôt être vulnérable, fait remarquer Reinaert Van de Cruys, analyste en sécurité et cofondateur de Fox&Fish. Les pirates sont fainéants et automatisent tout. De plus en plus souvent, ils déploient de grands filets et utilisent l’IA pour envoyer toute une série de mots de passe en espérant s’introduire dans les systèmes. Et peu importe qui se trouve derrière le domaine touché. »
‘Vous avez besoin du 2FA dans la mesure où il est impossible d’obliger vos collaborateurs à choisir un mot de passe de qualité’
Admin123
Les premières étapes de la sécurisation d’une entreprise ne sont pourtant pas très complexes. Van de Cruys constate que de très nombreuses entreprises se contentent de mesures basiques en s’intéressant à des failles de sécurité qui peuvent facilement être comblées. Notamment les mots de passe standards. « Lors d’un audit, nous allons opérer un scanning sur la base de mots de passe connus et ceux-ci fonctionnent souvent. Songez aux imprimantes dont le mot de passe standard est ‘admin123’. Au départ de cette faille, le pirate pourra ensuite pénétrer l’ensemble du réseau. Mais il est également possible de consulter des listes de mots de passe qui ont fuité ou des mots de passe les plus fréquents. Bref, autant de procédures standard qu’il est possible de corriger. »
Mais encore ? La vérification multi-étape. « Celle-ci est nécessaire dans la mesure où il est impossible d’obliger vos collaborateurs à choisir un mot de passe de qualité »,poursuit Van de Cruys. Et de faire référence à différentes recommandations, tant au niveau européen que de la part des autorités belges, à l’intention des entreprises soumises ou non à la directive NIS2 en matière de sécurité. « Le document de synthèse de Centre pour la Cybersécurité Belgique comprend sept étapes qui commencent par la vérification multi-étape. Tout ce qui est lié à l’Internet y est prévu », insiste Van de Cruys.
Quoi d’autre encore ? Veillez à installer le plus rapidement possible les mises à jour de sécurité, à utiliser un logiciel antivirus, à sécuriser votre réseau, à prévoir des sauvegardes, à segmenter vos systèmes et veiller à ce que n’importe qui ne puisse pas disposer de droits d’administrateur. La base en somme.
« Force est de constater que nombre de PME accusent du retard dans la mise à jour de leurs logiciels, ce qui rend ceux-ci plus vulnérables. En outre, elles ne proposent pas de formations de sensibilisation, de telle sorte que leurs collaborateurs sont plus facilement vulnérables. Pas de sensibilisation, pas de mises à jour de logiciels et pas de vérification multi-étape : autant de situations que l’on rencontre quotidiennement lors de tests de pénétration, d’où une extrême facilité d’accès aux systèmes », dixit encore Reinaert Van de Cruys.
Reste à voir si les bases suffisent dans un paysage de la sécurité en constante évolution. « Pas besoin de se protéger contre tout nouveau type de rançongiciel », considère Vissers, aussi longtemps que l’on est sécurisé face aux attaques automatisées de grande ampleur.
« Sachant que 99% des pirates cherchent à faire du profit, il ne faut pas rendre toute attaque impossible, mais économiquement inutile, conclut Van de Cruys. Évidemment, si le gouvernement chinois investit des dizaines de milliards de budget, il finira bien par arriver à ses fins, mais tel ne sera sans doute pas son objectif. Il faut surtout se protéger de manière proportionnelle. Avec une formation adéquate, une vérification multi-étape et des mesures de base, la PME sera déjà bien sécurisée. »
Qu’en est-il de la sécurité des PME dans notre pays ?
On constate une certaine amélioration par rapport aux années précédentes, du moins selon les résultats du Baromètre CyberSecurity. Le nombre d’entreprises (flamandes) qui ont pris en 2023 différentes mesures pour améliorer leur cybersécurité a en effet augmenté vis-à-vis de l’année précédente.
Au total, 94,8% des entreprises flamandes interrogées appliquent une ou plusieurs mesures de sécurité. Une faible minorité (5,2%) ne dispose d’aucune mesure. Des outils comme l’analyse de la sécurité IT (49,7%), les tests de sécurité IT (43,7%), les techniques de cryptage (33,3%) et les solutions d’authentification biométrique (28%) commencent à se généraliser, même s’ils ne sont déployés que dans moins de la moitié des entreprises, écrit pour sa part le département flamand Économie, Science et Innovation dans son rapport annuel.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici