En 2015, aucune entreprise n'est à l'abri des pirates informatiques. Pour s'en protéger, encore faut-il bien connaître les menaces. Vous devez d'abord vous poser des questions de base. Quelle est la cible dans mon entreprise : une base de données, un fichier, un serveur, un ordinateur personnel, notamment celui du patron ? Vos employés sont-ils sensibilisés régulièrement à ces risques ?
À lire aussi:
Les nouveaux pirates
Ensuite, vous devez vous poser des questions sur l'origine de cette menace. Qui cherche à voler une information ou à nuire à vos activités : un activiste, un employé malveillant, le crime organisé, un concurrent, voire un gouvernement étranger ?
Vous devez aussi savoir que la technologie à elle seule ne vous protégera pas, disent les spécialistes. Car le piratage informatique ne se fait pas uniquement à distance par des pirates assis derrière un ordinateur. Souvent, un humain permet d'activer, dans les murs mêmes d'une entreprise ou d'un site industriel, un logiciel espion ou un virus informatique.
Par exemple, c'est un agent double iranien qui, à l'aide d'une simple clé USB, a introduit le ver informatique Stuxnet (conçu par Israël et les États-Unis) dans une installation nucléaire iranienne en 2010 afin de retarder le programme nucléaire de l'Iran.
Enfin, si les menaces sont nombreuses et diffuses, les spécialistes ne recommandent toutefois pas aux entreprises de mettre en place une solution complète, qui pourrait en théorie les protéger contre la plupart des menaces. En effet, ces solutions sont coûteuses, compliquées à déployer et rarement efficaces. Autrement dit, comme en médecine, les traitements bien ciblés et la prévention permettent souvent d'obtenir les meilleurs résultats.
1. Soumettez le patron aux mêmes règles que les employés
Ce sont les dirigeants d'entreprises qui détiennent le plus d'informations stratégiques. Or, ce sont aussi eux qui se plient le moins souvent aux règles de sécurité internes, comme l'obligation de changer fréquemment de mots de passe.
C'est que les patrons ont tout simplement le pouvoir de ne pas observer les règles qui les dérangent dans leur travail, déplorent les spécialistes. « Les patrons doivent se soumettre au plus haut niveau de sécurité, car ils sont susceptibles d'être les premiers visés par une attaque informatique », insiste Guillaume Clément, associé principal chez Egyde, une firme-conseil spécialisée en sécurité de l'information.
Par exemple, l'ordinateur portable du patron peut contenir des courriels évoquant un projet d'acquisition, des documents décrivant l'avancée des travaux d'une innovation ou l'ébauche des états financiers. Des informations qui peuvent intéresser bien des gens et des gouvernements.
À lire aussi:
Les nouveaux pirates
2. Copiez toutes vos données stratégiques
Pour réduire le risqué lié à la destruction de vos données ou à leur prise en otage, les entreprises doivent créer une sauvegarde de leurs informations stratégiques. Elles devraient les placer sur des disques durs qui ne sont pas connectés à Internet, de sorte qu'aucune attaque informatique ne puisse les corrompre.
3. Protégez vos infrastructures de contrôle
C'est un cauchemar tiré tout droit d'un film de science-fiction, mais qui est bien réel : une personne manipule à distance votre chaîne de production pour l'arrêter. Ce type d'attaque est en croissance, selon Éric G. Hébert, un consultant en cybersécurité. Ainsi, 43 % des 575 entreprises sondées par l'Organisation des États américains et Trend Micro disent avoir déjà détecté une attaque contre leurs infrastructures de contrôle.
Plus les infrastructures informatisées de contrôle sont vieilles, plus leur intégrité est menacée. Investir dans les technologies les plus récentes constitue une bonne stratégie, dit M. Hébert. Ne pas connecter vos infrastructures de contrôle à Internet peut aussi s'avérer une tactique gagnante, en réduisant le risque de manipulation à distance de votre chaîne de production. Mais il peut toujours subsister un risque, souligne M. Hébert : « Il est fort probable que l'ordinateur de l'administrateur de l'infrastructure soit, lui, branché à Internet. »
4. Vérifiez l'identité des personnes qui entrent dans votre entreprise
Quatre cafés. C'est la stratégie toute simple qu'utilise M. Hébert pour montrer à ses clients à quel point il est facile de pénétrer dans leur entreprise, surtout si elle est de grande taille. Il se présente à la porte d'entrée principale, avec quatre cafés dans les mains. Le voyant les mains pleines, un employé qui passe par là est susceptible de lui ouvrir la porte. Et souvent, personne ne lui demande de révéler son identité ou de montrer sa carte d'accès. Comme il paie la tournée de cafés, il doit certainement être de la boîte, se dit-on. Grave erreur ! Car une fois à l'intérieur de l'entreprise, une personne malveillante n'a qu'à trouver un poste inoccupé pour y introduire une clé UBS, ou une salle de réunion pour y laisser traîner un objet à première vue inoffensif (tel un faux bloc d'alimentation branché dans un mur) permettant de pirater le réseau informatique.
5. Faites toutes vos mises à jour dans les 48 heures
Lorsqu'un patch, ou correctif de sécurité est dévoilé par un éditeur de logiciels, une course contre la montre commence. Dès lors, tous les pirates du monde connaissent la vulnérabilité que le patch doit éliminer, et ils l'utilisent pour infecter le plus d'entreprises possible. Benoît Dupont, professeur spécialisé en cybersécurité à l'Université de Montréal, juge que les entreprises auraient tout intérêt à faire rapidement leurs mises à jour et à installer les correctifs dès qu'ils sont dévoilés : « Si les entreprises faisaient toutes leurs mises à jour dans un délai de 48 heures, elles bloqueraient une grande partie des attaques. »
À lire aussi:
Les nouveaux pirates