Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Prenez garde aux cyberattaques !

Julien Bergounhoux

Publié le

La cybersécurité est essentielle, mais par où commencer ? Voici cinq principes fondamentaux pour vous aider à faire le premier pas.

Prenez garde aux cyberattaques !
Les réseaux informatiques des industriels sont de plus en plus victimes de cyberattaques. Pour se prémunir, il faut veiller à chiffrer et à sauvegarder ses données.

Il est loin le temps où les entreprises pouvaient se contenter d’un antivirus et d’un firewall pour protéger leur système d’information. Les menaces ont évolué, les surfaces d’attaques ont augmenté et les systèmes se sont complexifiés. Le coût des cyberattaques, qui représente aujourd’hui 450 milliards de dollars par an dans le monde, dépassera les 2 000 milliards en 2019, d’après le gouvernement américain. La nécessité de se protéger est donc plus forte que jamais, que l’on soit un cabinet d’architectes, une ETI industrielle ou un grand groupe. Voici cinq conseils pour partir sur de bonnes bases.

1. Ne pas se reposer sur un produit

« Je dois protéger mon entreprise ? Quel produit dois-je acheter ? » La réflexion peut sembler naturelle. Le problème, c’est qu’on ne sécurise pas son entreprise en signant un chèque. La cybersécurité est avant tout une façon de penser, et passe par une organisation, par la mise en place de règles et de méthodes. Elle implique de connaître son système d’information sur le bout des doigts pour en cartographier la surface d’attaque, de savoir tout ce qui est connecté (et ce qui ne doit pas l’être). Elle suppose également de déterminer quels sont les services et les données qui sont réellement cruciaux au fonctionnement de la structure pour s’assurer que l’on concentre ses forces là où elles doivent l’être, sans s’évertuer à défendre plus que nécessaire des ressources non essentielles. « La sécurité est une composante au service du cœur de métier, explique Éric Filiol, le directeur du laboratoire de virologie et de cryptologie opérationnelles de l’Esiea. Il faut comprendre son métier et ce qui est critique. » La stratégie doit être pensée pour que les ressources engagées (financières, humaines, temporelles) soient utilisées au mieux.

2. « Patcher, patcher, patcher »

Les révélations sur la NSA ou les gros titres sur les attaques contre des opérateurs d’importance vitale peuvent laisser penser que les hackers exploitent systématiquement des failles complexes et jamais référencées (appelées « zero days ») pour s’infiltrer dans un système d’information (SI). Rien n’est moins vrai. Ces zero days ne sont utilisés que rarement, et seulement pour les cibles les plus importantes. La très grande majorité des attaques utilisent au contraire des failles bien connues et pour lesquelles il existe déjà, souvent depuis des années, des correctifs de sécurité (patchs). C’est pourquoi il est capital de faire systématiquement ces mises à jour (aussi bien pour le système d’exploitation que les frameworks ou les applications), et de concevoir son SI autour de cette nécessité. « Il faut savoir que les criminels font de la rétro-ingénierie sur les patchs dès leur sortie pour exploiter les failles qu’ils corrigent. Auparavant, cela leur prenait des mois, aujourd’hui ce ne sont plus que des heures, précise Thomas Tschersich, le directeur de l’IT security chez Deutsche Telekom. Et ils automatisent ensuite le processus pour toucher de très nombreuses cibles. » Ce besoin reste le même pour les environnements de production industriels, qui doivent être opérationnels 365 jours par an. L’idée selon laquelle ils sont fondamentalement différents des environnements de bureau est fausse et renforce leur vulnérabilité.

3. Ne pas se croire à l’abri

Si les réseaux industriels sont de plus en plus visés par des attaques informatiques, c’est parce qu’ils y sont particulièrement vulnérables. La faute à l’évolution fulgurante de la connectivité à internet au cours des vingt dernières années. Lors de leur conception, il était assumé que ces systèmes ne couraient pas de risques car ils n’étaient pas visibles. Quand bien même ce fut jamais vrai, ce n’est définitivement plus le cas. Des services gratuits comme shodan.io permettent depuis des années de chercher parmi des centaines de milliers de systèmes ouverts, connectés à internet sans aucune protection. Cela va de simples caméras de surveillance (résidentielles ou industrielles) jusqu’aux ICS qui supervisent le parc machine, que les opérateurs laissent sans protection car ils veulent pouvoir en prendre facilement le contrôle à distance. « Il y a beaucoup de négligence et de mauvaises pratiques, assène Frédéric Planchon, le PDG de FPC Ingénierie. Cela laisse des portes ouvertes à des malwares qui ne sont normalement pas si nocifs. » Peu importe la taille de votre installation ou la nature de votre activité, si vous êtes vulnérables, vous serez tôt ou tard attaqué. Et ce, même lorsqu’il n’y a rien à en obtenir, car de nombreux hackers agissent « pour le sport ».

4.Protéger ses données

La meilleure façon de garantir la sécurité de ses données, que ce soit contre le vol ou contre des attaques de type ransomwares, ces logiciels malveillants qui prennent en otage vos données, c’est de prendre les mesures adéquates en amont. Cela passe par deux axes clés : le chiffrement et la sauvegarde. Le chiffrement garantit que seuls les individus autorisés peuvent accéder aux données, même si le canal de communication ou le support de stockage est compromis. Ainsi, même en cas de vol, les dégâts restent minimaux. De son côté, la sauvegarde évite la perte de données, qu’elle soit due à un accident ou à un acte de malveillance. Une politique de sauvegarde rigoureuse et régulière peut faire la différence entre le fait d’avoir plus de peur que de mal ou de mettre la clé sous la porte.

5.Sécuriser aussi les accès physiques

Une attaque informatique n’est pas forcément menée depuis l’autre bout du monde. Il faut donc s’assurer que le périmètre de l’entreprise est sécurisé pour limiter les accès physiques non autorisés. Car le « social engineering », qui consiste à obtenir l’accès à des données en trompant son interlocuteur, est au cœur de nombreuses attaques. Il suffit parfois d’enfiler un uniforme de réparateur, de prendre une boîte à outils et de demander poliment l’accès à un local technique pour qu’on vous ouvre. Ou de porter un costume, les bras chargés de documents. « Nous appelons ça les attaques “femme de ménage”, et cela permet de prendre le contrôle d’un serveur en cinq secondes », explique Éric Filiol. Autre exemple, le réseau Wi-Fi interne d’une usine, non protégé, peut aussi être capté depuis le parking… Les cas de figure sont nombreux et leur exploitation bien documentée. 

La formation, étape essentielle

La plupart des attaques ont un point commun : l’erreur humaine. Un collaborateur qui ouvre le mauvais e-mail ou clique sur le mauvais lien. Un autre qui perd son appareil ou sa clé USB. Un troisième qui laisse traîner ses identifiants (post-it sur l’écran) ou les communique à tort… La sécurité n’est pas innée, elle s’enseigne. Il faut former les équipes aux bonnes pratiques et les sensibiliser aux conséquences que la négligence peut avoir. Les rendre personnellement responsables de leurs données peut suffire à diminuer largement les accidents.

 

Réagir à cet article

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle