Cyber sécurité et PME

 

Cyber securite et pme

Une très belle infographie réalisée par Ael Bernard, étudiant à la Rennes School of Business, qui synthétise bien les menaces cyber pour une PME et donne des préconisations simples.

Je rajouterai seulement que les risques pour le patrimoine informationnel et réputationnel d’une entreprise sont multiformes et cumulatifs. L’humain est la première cible, il sera toujours plus facile de rentrer sur un ordinateur si un collaborateur vous en aura donné les codes d’accès. C’est là toute la démarche du renseignement économique.

La sécurité des informations et la sécurité économique commence donc par un travail de formation des collaborateurs.

Sécurité numérique : d’abord l’humain !

Dans son rapport annuel sur l’évolution des menaces qui pèsent sur les systèmes d’information, la société californienne Proofpoint, souligne une évolution de fond dans la nature des attaques informatiques, qu’elles soient à buts criminels ou d’espionnage économique : l’exploitation des vulnérabilités humaines.

En effet, les outils de sécurité informatique sont de mieux en mieux configurés sur les réseaux d’entreprises. Neutraliser une stratégie de défense demande des investissements en temps, en compétences, et donc en argent, de plus en plus conséquents.

Pour contourner les boucliers qui se mettent en place, les cyber attaquants ciblent désormais les collaborateurs de l’entreprise ou de l’administration publique, les personnes sans formation spécifique à la sécurité numérique. Quand les accès de votre appartement sont de mieux en mieux blindés, il est plus facile de vous inciter, par la ruse, à laisser une fenêtre ouverte, plutôt que de prendre le risque et perdre du temps à fracturer la porte.

Par l’ingénierie sociale, par des mails malveillants, des techniques de hameçonnage, des applications frauduleuses, les collaborateurs de l’entreprise sont conduits à faciliter le contournement des outils de sûreté numérique et, par la même, à permettre la pénétration des réseaux informatiques aux pirates. Ils sont d’autant plus vulnérables à ce type d’attaque qu’ils se croient en sécurité derrière les protections construites par les spécialistes.

La mise en place de sécurités informatiques solides est fondamentale mais doit impérativement s’accompagner d’une politique de sensibilisation et de formation des usagers. Le développement d’une culture de la sécurité économique et numérique devient un enjeu de croissance.

Les entreprises ne savent pas protéger leurs informations sensibles

Cette étude illustre la difficulté qu’ont de très nombreuses entreprises à maîtriser la diffusion de l’information au sein de leurs structures et, par là même, à l’extérieur. Les spécialistes du darkweb expliquent que l’on y trouve, en libre accès ou à l’achat, des documents confidentiels et stratégiques de tout type d’entreprises ou d’administrations.

Cette situation peut avoir des conséquences graves pour les activités de l’entreprise mais également pour sa réputation. Par ailleurs, a partir de 2018, le Règlement général sur la protection des données (RGPD) imposera à tous de sécuriser les données personnelles de ses collaborateurs et clients. Les sanctions pourront être très lourdes.

Plus que jamais il est nécessaire de pouvoir répondre à des questions simples: Quelle est mon information sensible ?, ou est-elle stockée ? Qui y a accès ?

http://www.silicon.fr/

La chaîne RH, premier acteur de la sécurité des informations de l’entreprise.

Le patrimoine informationnel est probablement la plus grande richesse d’une entreprise, richesse parfois mal évaluée, souvent mal protégée, toujours objet de convoitises.

Ce patrimoine, par nature immatériel est constitué des savoirs et savoir-faire, des projets et des archives, des points forts et des vulnérabilités. En perdre le contrôle, se le faire voler ou dégrader a rapidement des conséquences sur les résultats de l’entreprise, sa réputation, sa capitalisation boursière ou sur ses emplois.

Il est toujours possible de protéger ce patrimoine par des brevets, de l’enfermer dans des coffre-forts ou de le chiffrer mais il y aura toujours quelqu’un qui aura la clé de chiffrement du fichier, la clé du coffre ou du local de la photocopieuse…et qui pourra l’oublier sur un banc public.

Non, l’homme n’est pourtant pas le maillon faible de la sécurité, il est le maillon créatif et générateur de valeurs mais aussi d’erreurs (erreurs volontaires ou involontaires d’ailleurs). L’entreprise a tout intérêt de réduire cette seconde caractéristique pour développer la première. Dans tous les cas, il s’agit bien de manager la ressource humaine, c’est pourquoi la chaîne RH est bien le premier acteur de la sécurité du patrimoine informationnel de l’entreprise. Sa responsabilité est continue, du recrutement à la gestion des départs en passant par la formation.

Savoir recruter

Recruter c’est introduire un corps étranger dans l’entreprise. Les chaînes RH savent sélectionner et intégrer de nouvelles compétences compatibles avec l’esprit de l’entreprise et les équipes déjà constituées mais elles doivent aussi s’assurer que la nouvelle recrue, aussi brillante soit-elle, ne constituera pas une menace pour le patrimoine informationnel de l’entreprise. Elles ne doivent pas introduire le loup dans la bergerie ou l’éléphant dans le magasin de porcelaine.

La tache est compliquée, tout en respectant la loi, l’éthique et sans aucun esprit discriminatoire, le recruteur doit déterminer et écarter celui, ou celle, qui sera négligeant, vulnérable ou délibérément malveillant. L’entrisme, cette veille technique trotskiste, est aujourd’hui utilisé par des groupes activistes ou radicaux, voire par des cabinets d’espionnage économique (on ne peut plus ici parler d’intelligence économique).

Savoir accompagner

La sécurité ne se limite pas à introduire un corps sain dans une entreprise saine. Une fois recruté, le collaborateur peut être conduit, volontairement ou non, à agir contre les intérêts de l’entreprise :

– par négligence, car il n’aura peut être pas été suffisamment formé ou informé ;

– par contrainte, dans certaines circonstances ou dans certains pays (notamment pour les personnels locaux), il peut être difficile de résister à des pressions ou tentations extérieures, le management doit être en mesure d’identifier les situations à risques pour ne pas y exposer ses collaborateurs ;

– par dépit, un collaborateur heureux et fier de travailler dans une entreprise valorisante est moins tenté de lui nuire, le développement d’un environnement de travail agréable n’a pas des effets bénéfiques que sur la productivité, la sécurité y est également gagnante.

Accompagner, c’est également gérer la fin de la collaboration dans les meilleures conditions possibles. Combien d’entreprises ont découvert, trop tard, les bombes à retardement laissées dans les systèmes informatiques par des salariés remerciés. Dans un autre registre, le départ d’un ancien, c’est souvent la perte d’une partie du patrimoine informel, « quand un ancien part, c’est une bibliothèque qui brûle… ».

savoir former

Si les directions, ou les chargés, de la sûreté/sécurité, s’efforcent de mettre en place des chartes ou des règles, voire, pour les plus avisés, de développer une politique de sensibilisation à la sécurité économique, la chaîne RH est bien souvent le maître d’œuvre principal de la politique de formation. Or c’est bien en intégrant le souci de la sécurité économique dans les parcours de formations internes qu’il sera possible de conscientiser et responsabiliser les collaborateurs de l’entreprise.

Néanmoins, le première fonction à former sera sans doute la chaîne RH elle même. Comment éviter qu’un collaborateur ne nuise à l’effort collectif, si le recruteur ou le gestionnaire ne connaît pas la valeur et la localisation du patrimoine informationnel de l’entreprise, s’il n’a pas une idée des menaces et des vulnérabilités ?

Une chaîne RH consciente des problématiques de sécurité économique protégera mieux l’entreprise et ses collaborateurs.

Une chaîne RH bien conseillée

La sécurité économique est rarement un domaine que la chaîne RH maîtrise, et c’est normal, ce n’est pas son cœur de métier. Pour ces raisons, elle doit être proche, et en dialogue constant, avec la direction sûreté et le RSSI. La sécurité doit conseiller la RH dans son travail de recrutement et de gestion mais, inversement, la RH doit orienter le travail de sécurité en fonction de la population des collaborateurs.

Si l’entreprise ne dispose pas de façon organique d’une direction sûreté, la chaîne RH ne doit pas hésiter à faire appel à un expert extérieur. Celui-ci l’aidera à prendre conscience du périmètre de l’information sensible à protéger et des menaces. Fort de ce constat, il pourra alors lui conseiller un programme de formation et des outils de sensibilisation.

Sécurité informatique et ingénierie sociale, sensibilisez et formez maintenant ou pleurez demain

http://www.zdnet.fr/social-engineering

Toute attaque militaire se prépare par une reconnaissance, de même, toute attaque informatique se prépare par une phase de renseignement mettant en œuvre des techniques d’ingénierie sociale ou de renseignement humain.

Au mois de mars, c’est la CNIL qui a servi de faux nez aux pirates à plusieurs reprises.

Cet article illustre, s’il en était encore nécessaire, qu’une bonne protection numérique repose d’abord sur une sensibilisation et une formation des utilisateurs ainsi que par la mise en place de procédures simples permettant de vérifier les dires d’un inconnu au téléphone.

Le Shadow IT, un risque réel pour les données

http://www.zdnet.fr/actualites/le-shadow

De plus en plus, les collaborateurs de l’entreprise utilisent, à des fins professionnelles, des applications qu’ils ont eux même installé sur leurs équipements professionnels ou personnels.

Selon l’étude présentée ici, plus de 80% des employés admettent utiliser des solutions informatiques sans l’accord de leur DSI et bien entendu, la plupart du temps, sans s’être assuré de leur sécurisation.

Tout comme l’usage des BYOD (apportez vos appareils personnels), cette évolution des comportements doit être prise en compte par les responsables en charge de la sécurité des informations dans un esprit d’accompagnement pédagogique et non d’interdiction frontale.

Quand un DSI laisse des backdoors pour pirater son ancien employeur

http://www.silicon.fr

Un DSI qui ouvre des backdoors pour revenir espionner son ancien employeur au bénéfice de ses nouvelles fonctions. Encore une illustration que la sécurité numérique de toute structure doit être envisagée dans le cadre globale de la sécurité des informations.

Rien ne sert d’avoir des portes blindées si vous laisser les fenêtres ouvertes.

sécurité informatique, sécurité globale

http://www.zdnet.fr/actualites/

Encore un cris d’alarme, encore un, de Guillaume Poupart, le directeur de l’ANSSI face à la cyber-menace.

Il rappelle que la sécurité informatique n’est pas qu’un problème de technicien, elle résulte, avant tout, de décisions, prises ou pas prises, par les instances de direction de l’entreprise, du COMEX lui même. C’est également un problème de culture de la sécurité, il faut, encore et encore, sensibiliser et former.

Enfin, le directeur de l’ANSSI révèle que les attaques ont désormais, de plus en plus, pour objet de voler ou de dégrader le patrimoine informationnel des entreprises dans une stratégie agressive globale.

La sécurité économique doit elle aussi être globale.

Des caméras de vidéo surveillance chinoises trop faciles à pirater

Un modèle générique de caméra de vidéo surveillance chinois , nommé « Wireless IP Camera (P2P) WIFICAM » présente un niveau de vulnérabilité tel que les failles ne peuvent qu’avoir été générées volontairement.

Au mois de novembre, nous signalions la révélation de back-doors dans des smartphones génériques de type Android.

l’analyse reste la même, ces produits sont fabriqués, en premier lieu pour le marché intérieur chinois. Dans une économie et une société plus que jamais sous contrôle, les entreprises ne peuvent pas ne pas collaborer avec les services de sécurité de l’Etat, quand elles ne leurs appartiennent pas directement. Elles acceptent donc d’installer des backs-doors afin de surveiller la population chinoise mais également les visiteurs étrangers (voyage d’affaires!!).

Quand ces outils sont exportés, ils sont tout aussi facilement activables contre leur hôtes.

Pensez-y la prochaine fois que vous sourirez à votre caméra made in China.

https://www.nextinpact.com

 

VAULT 7 : Fuites à la CIA, quelques leçons a tirer pour les entreprises

Les dernières « révélations » de wikileaks, au-delà de l’émotion et des réactions de Panurge qu’elles cherchent à susciter, doivent interpeller les responsables économiques sur trois points.

Un manque de contrôle des sous-traitants :

Comme la NSA en 2013 avec Edward Snowden puis, plus récemment, en 2016 avec Harold Martin, Il apparaît, désormais de façon certaine, que les dernières fuites d’informations classifiées américaines n’ont pas eu lieu au sein même des services de renseignement, la CIA en l’occurrence, mais chez un sous-traitant.

Les services américains externalisent, en effet, de façon massive, des missions qu’en France nous qualifierions de service public ou relevant de la Défense nationale. Ceci s’explique par des considérations culturelles mais également par des impératifs financiers ainsi que par des contraintes RH.

Appliquée au monde de l’entreprise, cette situation pose clairement la question du contrôle des informations et des équipements (physiques ou logiciels) qui sont confiés par les donneurs d’ordres à leurs sous-traitants. L’externalisation est, en effet, un mode de production souvent utilisé pour différents motifs. Si les entreprises pensent bien maîtriser la sécurité de leurs informations, elles n’ont qu’un contrôle partiel des procédures internes à leurs sous-traitants et encore moins de la qualité des personnels qui y ont accès.

Inversement, un sous-traitant, qui peut garantir une parfaite maîtrise des informations qui lui sont confiées, disposera d’un argument commercial d’importance.

Un intérêt toujours aussi marqué de nos partenaires géopolitiques pour nos secrets économiques et industriels.

Pour les États-Unis, la puissance économiques est pleinement constitutive, au même titre que l’influence culturelle, de la puissance géopolitique. Cette affaire mettra en évidence, encore une fois, que les outils de renseignement des États-Unis sont largement utilisés à des fins d’espionnage économique, y compris contre des alliés géopolitiques. Il est naïf, mais qui l’est réellement, de croire que « ces choses-là » ne se font pas entre amis.

Les États-Unis sont forts grâce à leur économie et leur avance technologique, il est logique que les instruments de la puissance de l’État central renforcent, ou pour le moins protègent, cet avantage concurrentiel.

Ce qui est vrai pour un allié démocratique, l’est encore plus pour un partenaire à régime autoritaire….

Pour un responsable économique, ne pas prendre en compte cette évidence des relations économiques internationales, c’est négliger un facteur majeur dans son analyse du risque.

Une interconnexion permanente entre les intérêts privées et publics.

Il est une erreur de croire que la libre-entreprise et l’économie libérale ne peuvent pas s’accompagner d’une coopération forte entre le monde de l’entreprise et le gouvernement, y compris pour des sociétés avec une image forte d’indépendance comme les GAFAM.

La plupart des grandes technologies américaines ont été développées avec ou pour le complexe militaro-industriel, à commencer par le web ! Derrière les dénégations et les cris d‘orfraie des industries 2.0 se cachent des  « intérêts communs à tendance symbiotique ».

L’influence des uns renforce la puissance des autres, et inversement….

Il est nécessaire, voire souhaitable, de travailler avec des partenaires, des clients ou des fournisseurs américains, chinois ou russes. Il faut juste bien les connaître……..