Politique de sécurité, urgence – Chaque année, l’éditeur de logiciels anti-virus Symantec dresse un aperçu des menaces observées au niveau mondial dans un rapport intitulé « Internet Security Threat Report » (ISTR).
Selon le 18ème rapport paru en avril 2013, le nombre d’attaques ciblées a augmenté de 42 % dans le monde entre 2011 et 2012. Entre cyber espionnage, logiciels malveillants, phishing, rançongiciels, maliciels sur mobile et sites web malveillants, les menaces ne cessent de s’accroître.
Les PME représentent le chemin d’accès le moins résistant – Si la France se classe au 16ème rang mondial des pays les plus actifs en matière de cybercriminalité, elle est aussi placée parmi les pays les plus vulnérables aux attaques ciblant les réseaux. Elle occupe le 10ème rang au niveau mondial et le 5ème au niveau européen. En revanche, on note un fort recul du spam, puisque la France se place 42ème dans le monde et 17ème en Europe dans ce domaine.
Aucune taille d’organisation n’est épargnée, les sous-traitants offrant souvent des portes d’entrées aisées vers de plus grosses entreprises en utilisant la technique du « watering hole » (trou d’eau ou abreuvoir).
Il s’agit d’une technique d’attaque consistant pour les hackers, à identifier les hobbies des cadres ou grands patrons de société, puis à les attendre patiemment sur un site référent en la matière que l’on a compromis pour les infecter lorsqu’ils s’y rendent.
En 2012, 50 % des attaques ciblées ont visé des entreprises de moins de 2500 salariés. 31 % des attaques ont concerné des entreprises de moins de 250 salariés, une multiplication par 3 par rapport à 2011.
Le niveau de sophistication des attaques va de pair avec la complexité croissante des infrastructures informatiques actuelles, tels que la virtualisation, la mobilité et le cloud computing. Il faut donc avoir une politique de sécurité pro-active.
Actualiser sa politique de sécurité contre les menaces informatiques – L’Agence nationale de la sécurité des systèmes d’information (ANSSI) publie régulièrement de précieux outils pour avoir une politique de sécurité opérationnelle. Elle met continuellement en garde les entreprises contre toutes les menaces pesant sur les sites : défigurations, dénis de service, clés USB piégées ou scénarios d’attaques plus insidieux permettant de se servir d’un site comme une porte d’entrée vers le système d’information.
L’Agence a émis des recommandations en avril 2013 rappelant que la protection passe à la fois par des mesures préventives et par des mécanismes permettant de détecter les tentatives d’attaques (1).
De même, l’ANSSI a émis des recommandations en mai 2013 sur les risques liés à l’usage de plus en plus répandu des « ordiphones » (smartphones) ou des tablettes en environnement professionnel.
Ces terminaux qui disposent de nombreuses fonctionnalités rendent possible la connexion à un réseau d’entreprise pour travailler sur des applications métier ou accéder à des documents professionnels. Or les solutions de sécurisation actuelles sont peu efficaces pour assurer une protection correcte des données professionnelles (2).
Enfin, l’ANSSI a publié en janvier 2013, la version finalisée du guide d’hygiène informatique à destination des entreprises (3). Ce document présente 40 recommandations simples pour sécuriser leur(s) système(s) d’information.
Enfin, parce qu’une politique de sécurité ne peut garantir contre toutes les menaces informatiques, l’assurance peut intervenir quand la sécurité n’a pas suffit… Lire à ce propos, l’interview de Nicolas Hélénon, Directeur Associé, NeoTech Assurances sur l’assurabilité des Cyber-risques.
Un petit-déjeuner est organisé au cabinet le 19 juin 2013 pour analyser les nouveaux risques TIC et leur assurabilité.
Jean-François Forgeron
Isabelle Pottier
Lexing Droit Informatique
(1) Recommandations ANSSI n° DAT-NT-009/ANSSI/SDE/NP du 22-4-2013.
(2) Recommandations ANSSI n° DAT-NT-010/ANSSI/SDE/NP du 15-5-2013.
(3) Guide d’hygiène informatique, ANSSI Version 1.0, Janvier 2013.