SÉCURITÉ INFORMATIQUE DES PME : Fin des nuages pour 2015 ?

Voici deux exemples qui tendent à prouver le contraire :

• Début d’année, le Président d’une petite entreprise industrielle de la région est victime d’un « rançongiciel »particulièrement agressif (CryptoLocker), chiffrant les documents de son PC portable et les rendant inaccessibles, à moins de payer une rançon en Bitcoins.
• Même semaine, la collaboratrice d’une société du secteur immobilier de la région ouvre par mégarde une pièce jointe piégée. Les attaquants utilisent alors une vulnérabilité de son ordinateur pour espionner les activités de l’entreprise et les noms des personnes-clés. Plus tard, l’auteur se faisant passer pour un directeur, contacte le service comptable pour tenter une fraude ancienne - mais re-visitée à l’aune du cyber- et obtenir un virement bancaire à destination de l’étranger en jouant sur la confiance prétendument accordée à l'employée.

Quelques idées reçues sur la sécurité informatique :

• "Seules les entreprises qui tirent des bénéfices des paiements en ligne sont à risque."

Toutes les PME ont des risques, le piratage lié au paiement en ligne fait partie des tactiques des cybers attaques, cependant les criminels sont opportunistes et toutes les données de l'entreprise peuvent être intéressantes.

• "Les petites entreprises ne sont pas une cible pour les pirates".

Les petites entreprises sont une cible plus importante que jamais : elles détiennent beaucoup plus de données que les particuliers et n'ont souvent pas les mesures préventives des plus grandes entreprises pour se protéger.

Le rapport 2015 de Symantec (ISTR 2015) sur la cybercriminalité témoigne d’une part croissante des attaques (34%) de type « Spear Phishing »* contre les entreprises de moins de 250 salariés.

Un quart des petites entreprises estiment que la cyber sécurité est trop coûteuse à mettre en œuvre et autant admettent qu'ils «ne savent pas par où commencer ».

Pourtant, 3 actions simples peuvent vous permettre d'avoir une bonne attitude vis-à-vis des pirates, virus et programmes malveillants :

• toujours des mots de passe complexes,
• mettre à jour les logiciels,
• supprimer les-mails suspects.

Quel paysage de cyber menace pour les PME ?

Le défi d’aujourd’hui : nous ne sommes plus seulement connectés derrière les limites feutrées d'un "pare-feu".

Nos "appareils" (smartphone, tablette, ordinateur portable) quittent le bureau avec nous en restant connectés grâce au hotspot Wifi d'un café, la connexion internet d'un hôtel, le réseau d'un client ou d'un partenaire.

Dans de nombreux cas, les budgets dépensés pour la protection des réseaux n'ont rien apporté aux utilisateurs distants et mobiles, laissant les données et les actifs de l'organisation faces aux risques (un tiers des cyber-attaques ciblent maintenant les PME).

4 cybers menaces ciblent particulièrement les PME :

• les chevaux de troie,
• le "rançonnage" (récent « Cryptolocker ») ,
• le site web malhonnête,
• l'ingénierie sociale (incitant les collaborateurs à télécharger des logiciels malveillants, de remettre des données sensibles à un imposteur, ou de fournir un point d'entrée via des comptes de médias sociaux).

Plus de sécurité grâce au cloud ?

1. le Cloud est plus sûr que votre propre réseau. Pourquoi ? Principalement en raison du coût et du niveau d'effort qu'il faudrait pour une protection adéquate contre la myriade de possibilités de violation de données.
2. Les préoccupations croissantes liées à la vie privée et à la sécurité dans les environnements SaaS se traduisent par de gros investissements de la part des fournisseurs de Cloud pour la protection et la confidentialité des données d'entreprises.
3. Les fournisseurs de cloud qui n'offriront pas d'information claire sur la localisation des données ou du chiffrement dont les clés seront détenues par leurs clients, peuvent s'attendre à des pertes de marchés.

La transition vers le Cloud d'une entreprise doit se faire avec l’obtention de garanties contractuelles satisfaisantes afin de :

• Conserver un contrôle sur ses données et la manière dont elles sont utilisées
• S’assurer de sa conformité au regard des lois et réglementations

En conclusion

Afin de renforcer efficacement la sécurité de vos équipements communicants et de vos données, vous pouvez suivre douze bonnes pratiques peu coûteuses et faciles à mettre en œuvre du guide http://www.ssi.gouv.fr/uploads/2015/03/guide_cgpme_bonnes_pratiques.pdf .

(ANSII CGPME)

Comment aborder ces choix, évaluer ses risques et les mesures adéquates à mettre en place ?

Au travers son catalogue des conférences et ses consultants indépendants, la CPC Provence est à votre disposition pour répondre à vos questions.

* envoi d'un message fortement personnalisé à un nombre limité d'utilisateurs pour, après l'avoir rassuré avec des données personnelles, récupérer des données de sa part.