Informatique : Quand les pirates engloutissent l’entreprise

L’augmentation des échanges de données entre salariés multiplie les risques de piratage ou de fuite d’informations. La protection de son patrimoine informatif est prioritaire.

Aucune entreprise ne pourrait se passer d’une journée sans informatique ou de toutes ses données. Elles sont devenues dépendantes du numérique. Les cybercriminels tirent profit de cette situation pour s’attaquer aux données, fichiers clients, brevets, gestion des stocks et du personnel… Toutes sont vitales.
D’où la multiplication des piratages reposant sur les ransomwares, appelés aussi rançongiciels. Le principe de ce racket, version numérique, est simple, mais dangereux. L’fraudeur envoie des milliers d’e-mails accompagnés d’une pièce jointe contenant un code malintentionné. Une fois ouverte par un salarié, la pièce jointe “libère” un virus qui infecte l’ordinateur et commence à crypter (les professionnels préférant le terme de “chiffrer”) tous les documents stockés sur ce poste de travail. Plus grave, il s’attaque aussi à ceux qui sont partagés entre les différents coopérateurs. En quelques minutes, des milliers de fichiers deviennent inabordables.

C’est à ce moment-là que le pirate exige une rançon. Sans versement, l’entreprise ne peut pas recevoir une “clé de déchiffrement” qui permettra d’accéder de nouveau aux fichiers. Plusieurs PME en sont victimes. Fin septembre 2017, une petite entreprise du Puy-de-Dôme a annoncé qu’elle allait mettre la clé sous la porte après ce type de piratage. Elle était en cours de liquidation début mars. Autre procédé permettant de récupérer des informations sensibles (mot de passe et identifiant notamment) : le phishing ou l’hameçonnage. Tout le monde connaît ces e-mails usurpant l’identité d’une entreprise privée ou d’une administration. Personne ne peut affirmer qu’elle ne tombera jamais dans ce piège.
Enfin, il y a l’arnaque au Président. Une personne se faisant passer pour le chef de l’entreprise appelle son comptable ou DAF pour lui demander, toutes affaires cessantes, d’effectuer un virement sous différents motifs (signature d’un contrat mirobolant, rémunération d’un intermédiaire, etc.). Dans la précipitation, le salarié s’exécute. Trop tard : l’argent est arrivé sur un compte à l’étranger.
Victime de cette escroquerie (1,6 million d’euros détournés) durant l’été 2015, la société BRM de Bressuire (Deux-Sèvres) qui réalisait 8 millions d’euros de chiffre d’affaires avait été mise en liquidation six mois plus tard. 44 salariés avaient été licenciés. Si au final, cette arnaque repose sur un “vrai” appel téléphonique, elle nécessite d’avoir auparavant infecté le réseau informatique pour prendre le contrôle de la messagerie des acteurs-clés (directeur de l’entreprise, service comptable…) et retrouver des données sensibles afin de connaître précisément les rouages de l’entreprise.
Le piratage informatique peut donc avoir des conséquences dramatiques pour des entreprises. Aucune n’est à l’abri. Mais “90 % des PME n’ont aucun outil pour lutter contre la cybercriminalité”, assure Michel Van Den Berghe, directeur général d’Orange Cyberdefense. Autre lacune : l’absence de sauvegardes des données. Selon une étude de 2013 et réalisée par Paragon Software, éditeur de logiciels de backup, 42 % des TPE et PME n’en font jamais.

Différentes précautions doivent être forcément prises. Sécuriser son Système d’information (SI) à 100 % est une illusion. Il faut se concentrer sur son patrimoine informatif et répondre à trois questions essentielles : où sont stockées mes données sensibles ? Qui y accède ? Quels systèmes de sécurité sont mis en place ?
Il est donc indispensable de commencer par un audit de sécurité afin de repérer les forces et failles de son réseau informatique. La cartographie précise de son réseau et l’identification des composants critiques (équipements, serveurs, postes de travail d’utilisateurs sensibles, etc.) permettent aussi d’appliquer une règle de base : le cloisonnement. Dans la Marine, si un bateau est touché il ne coule pas, car sa coque est divisée en parties indépendantes. Cela doit être la même chose pour un réseau informatique ; si une partie est infectée, l’ensemble ne doit pas être contaminé sous peine de bloquer toute l’activité.

Un plan de sécurité efficace repose aussi sur la mise en place d’un Plan de reprise d’activité (PRA). Le but d’un PRA est de permettre à l’entreprise de reprendre rapidement une activité normale après une attaque informatique, un dégât des eaux ou un incendie. Il implique en particulier une gestion adéquate des sauvegardes des données et des tests réguliers de leur restauration. Ces derniers évitent de mauvaises surprises lorsque l’on constate que des fichiers récupérés ne sont pas exploitables, car mal sauvegardés… Qui est le responsable de ce dysfonctionnement ? L’entreprise, si elle gère en interne les sauvegardes. Mais il peut aussi s’agir du prestataire informatique.
D’où la nécessité de faire appel uniquement à des sous-traitants présentant des garanties suffisantes (notamment en termes de connaissances spécialisées, de fiabilité et de ressources). En tant que client, l’entreprise est en droit : d’obtenir du sous-traitant des informations détaillées sur sa politique de sécurité ; de mener des audits de sécurité et d’effectuer une visite de ses installations ;de vérifier sa conformité avec le RGPD ; de préciser noir sur blanc dans le contrat les responsabilités de chaque partie.
Toutes ces mesures techniques et organisationnelles sont très importantes. Mais il est fondamental de sensibiliser tous les salariés aux menaces numériques. Des formations leur permettant de déjouer les pièges des cybercriminels et d’appliquer les règles de base sont indispensables. La sécurité ne doit plus être considérée comme un frein et un coût. C’est un investissement destiné à renforcer sa pérennité et la confiance des clients.