“Nous ne sommes pas la NASA !”
Il y’ a peu de temps, lors d’une discussion sur les moyens de sécuriser divers points d’une infrastructure, mon interlocuteur me tenait le discours suivant :
“De toute façon, nous sommes une PME, pas la NASA !” “Les chances pour que nous soyons la cible d’une attaque informatique sont quand même relativement faibles…”
et comme pour développer et étayer son propos:
FAUX
Vous n’êtes pas la NASA… Jusque là, c’est vrai pour vous comme pour toutes les entreprises qui ne sont pas … ben euh… la NASA.
Il est en effet très peu probable pour une PME ( quoique pas impossible ) de devenir subitement la cible d’une attaque dirigée de type Spearphishing ou Advanced Persistent Threat (APT). D’une part, parce que ce type d’attaque nécessite une organisation conséquente et millimétrée vis à vis de la cible et d’autre part parce que les ressources nécessaires pour maintenir ce type d’attaque sur la durée sous les lignes de détection des radars sont considérables. Elles ne sont donc heureusement que très rares. Mais…
Malheureusement, c’est pas comme ça que ça marche !!!
Phishing, Chevaux de Troie, Ransomwares et consorts, la très grande majorité du temps, ces attaques ne sont pas ciblées et elles constituent l’essentiel du risque de cyberattaque. Elles exploitent principalement la crédulité des utilisateurs ou la méconnaissance du risque associé au fait de cliquer. Ce sont des attaques opportunistes.
Voici un exemple de scénario de base :
Que ce soit en visitant un site qui parait légitime, en ouvrant un mail ou en installant un logiciel, il suffira d’un clic.
Un clic, ce n’est pas méchant, c’est rapide.
“Suivant, Suivant, Oh un CLUF!. suivant, Terminer … tellement simple. Un jeu d’enfant”
Un jeu d’enfant dangereux et coûteux. Subitement on commence à recevoir des courriers indésirables certes facilement reconnaissables et d’autres courriers qui paraissent légitimes.Ils semblent provenir de l’un des vos fournisseurs, clients ou contacts. Le courrier en question contient une pièce jointe, un PDF ou un ZIP, intitulé “facture” ou “devis” par exemple, qui de prime abord n’éveille aucune suspicion.
Dans les premières secondes, tout semblera normal si ce n’est que le ZIP ou le PDF ne semble pas réagir, ni s’ouvrir au clic, ni se télécharger correctement.
Bon, il est peut être corrompu, on va appeler le contact pour l’en avertir. Il dit ne vous avoir envoyé aucun mail.
Dans le meilleur des cas l’antivirus, si il est à jour, aura bloqué une attaque dans le pire des cas, du code malicieux aura été exécuté sur l’ordinateur, Un ransomware possiblement, (c’est très à la mode en ce moment), qui chiffre votre ordinateur et les partages réseaux qui y sont connectés, rendant les données inexploitables et demandant une rançon en “BITCOIN” contre une clé de déchiffrage qui ne viendra jamais même si la rançon est payée.
Il est aussi possible qu’il ne se passe absolument rien en surface mais qu’un exploit utilisant une faille du système ait été installée pour permettre un accès futur à la machine et à son réseau ou simplement voler des données en “sous-marin”.
Coupez ! elle est bonne. On la garde.
En conclusion
Non, vous n’êtes pas la NASA, c’est admis, mais avec ce type de raisonnement, vous êtes très certainement bien plus exposé que vous ne devriez l’être.
S’il est certain qu’il est impossible de se protéger et de sécuriser son infrastructure à 100%, il est en cependant possible et vital pour une entreprise, si petite soit elle, de réduire au maximum les surfaces d’attaque disponibles.
Les solutions de gestion des menaces sont nombreuses et pas nécessairement inaccessibles ni très complexes à mettre en œuvre.
En revanche, il est certain que cela commence par la sensibilisation et “l’éducation informatique” de vos collaborateurs ainsi que par la sécurisation du poste de travail.