Cybercriminalité dans les entreprises : ça n’arrive pas qu’aux autres

Les dirigeants d’entreprises et leurs salariés ne l’ignorent pas mais le sous-estiment : l’espionnage et les cyber-attaques peuvent un jour concerner toutes les entreprises, même les petites. L’Afpa de Loir-et-Cher organisait, vendredi 17 mars, une conférence-formation avec Eric Filiol, expert international en cybercriminalité et Philippe Richard, directeur de SécuritéOff, pour une prise de conscience sur les risques et les enjeux de bien se protéger contre les hackers.

Eric Filiol (à g.).

Si vous imaginez que le risque le plus couru pour une entreprise est le hacker planqué derrière son ordinateur au fin fond d’un pays africain, asiatique, moyen-oriental ou en Russie, vous n’êtes pas tout à fait dans la réalité. Ils existent bel et bien, cependant le principal et le premier danger est… dans un café ou un train, ici, en France. « Les attaques d’entreprises exploitent une ou plusieurs faiblesses, vulnérabilités ou erreurs », explique Eric Filiol, 22 ans d’armée au compteur dont la plupart à la DGSE. « Mais en France, la première des vulnérabilités, ce sont les gens. On parle trop, on manque de discrétion. Ça s’appelle l’espionnage collaboratif : au café du coin, ou dans le train. Si vous êtes attentifs, des dirigeants ou même des salariés livrent tout, simplement en parlant au téléphone ou avec un ordinateur ouvert ! Il suffit d’écouter, ou de regarder », poursuit-il, devant un parterre de dirigeants, cadres et salariés d’entreprise de Loir-et-Cher, dans un silence coupable. Quant aux réseaux sociaux, notamment Facebook, il n’est pas plus tendre : « J’appelle ça la Stasi volontaire. Sur Facebook, il y a tout. Tous les attaquants font du renseignement, et toutes les entreprises sont concernées », dit-il encore.

Le code de sécurité… du FBI

Parmi les « classiques » depuis quelques temps, la prise d’otage virtuelle : un attaquant (hacker) parvient à pénétrer les serveurs ou les données d’une entreprise – en se faisant passer pour quelqu’un de confiance, voire d’un membre de conseil d’administration quelquefois même un président en personne. Une fois entré dans la bergerie, l’attaquant change les codes, les « serrures », bloque les systèmes informatiques, et réclame une somme d’argent pour libérer le tout. Attaque virtuelle, mais rançon réelle. C’est redoutable, et pourtant si peu redouté. « Les hackers cherchent à porter atteinte au moment opportun, pour atteindre le fonctionnement même de l’entreprise, et nuire à son image, ses intérêts, etc. », poursuit Eric Filiol. « Cela passe aussi parfois par l’instrumentalisation de pions internes ou externes : responsables syndicaux, journalistes… ». Malheureusement la plupart des dirigeants se croient bien protégés, parce qu’ils ont des mots de passe, des codes pour éviter d’entrer dans les systèmes. Pas vraiment inviolables, bien au contraire : souvent par ruse, on peut les obtenir. « Aux États-Unis, début 2016, un hacker a réussi à rentrer dans un compte e-mail appartenant à un employé du FBI. Il s’est ensuite introduit dans l’intranet du FBI en demandant le code avec le support du service, prétextant qu’il était nouveau et qu’il n’arrivait pas à accéder au portail. On lui a fournit le code de sécurité sans problème…». Il a eu accès aux informations et contacts de 22.000 employés du FBI, contacts et numéros de cartes de crédits.  

Séparer l’opérationnel du technique

Naturellement, beaucoup de dirigeants de PME en France pensent que puisqu’ils ne sont pas le FBI, ils sont à l’abri. Erreur. « On va même vers ‘l’uberisation’ du racket », selon le vieux principe qu’il vaut mieux « voler 10 € à 10.000 personnes que 10.000 € à une seule personne ». Pour éviter de se retrouver en très fâcheuse posture, quelques principes fondamentaux ont été présentés aux dirigeants lors de cette conférence sur l’espionnage et la cybercriminalité. « D’abord bien connaître son métier et ce qui fait sa criticité. Auditer son entreprise avec la vision de l’espion et sous l’angle du renseignement. Puis cartographier la structure du réseau, vérifier que le serveur n’ait pas de ports ouverts », explique doctement Eric Filiol. Actuellement, deux cibles sont particulièrement visées : les structures étatiques – comme les hôpitaux par exemple – et les fonctions DRH des entreprises, grandes, moyennes ou même petites. « Il faut revoir les processus de recrutement », dit encore Eric Filiol. « Trop de juniors ne restent pas assez longtemps dans les entreprises, ils partent avec énormément de renseignements ». Autre problème : dans les entreprises la gouvernance n’est pas toujours adaptée. Eric Filiol s’inspire des méthodes militaires, qu’il connaît bien : « Il faut séparer l’opérationnel du technique. Voire confier le service informatique à l’échelon supérieur ».

Mais le principal souci demeure cette inculture de la discrétion. Les élèves – dès le plus jeune âge – ne sont pas formés à ça. « Ce n’est pas obligatoire à l’heure actuelle dans les grande écoles, ou à l’ENA par exemple. Ils considèrent ça comme n’étant pas de leur ressort ». Et quand quelqu’un dérape au niveau de l’État, « il n’est pas puni. Il n’y a pas de prise de conscience chez les dirigeants, ils ne sont pas toujours prêts à investir financièrement sur ces questions de sécurité ».

F.Sabourin.

Quand l’Afpa s’empare de sujets d’actualité

Christian Queguineur, directeur commercial régional de l’Afpa (formation professionnelle pour adultes) souhaite, avec ces formations, « faire entrer les gens dans le réel : quels comportements humains mettre en œuvre pour éviter le piratage ? » dit-il en aparté de la conférence organisée par l’Afpa de Loir-et-Cher le 17 mars à la CCI. Relayé auprès des instances de la FFB (fédération du bâtiment), de la Capeb (artisans du bâtiment), le réseau CCI, cette conférence devait d’ailleurs être retransmise en direct via Internet au Lab’O d’Orléans et au Mame de Tours (des incubateurs de start-up). Mais le ministère de la Défense a dit niet (il fallait s’y attendre). Trop de risques de piratage, surtout avec un intervenant comme Eric Filiol, le spécialiste international de la question du piratage… Comme quoi, la meilleure formation commence toujours par soi même. « On a l’outil, mais on ne mesure pas les risques que ça génère », ajoute-t-il. Plusieurs formations proposées par l’Afpa vont dans le sens d’une meilleure prise en compte de ces risques informatiques, notamment la formation « administrateur réseau – télécoms ».

 

Commentaires

Toutes les réactions sous forme de commentaires sont soumises à validation de la rédaction de Magcentre avant leur publication sur le site. Conformément à l'article 10 du décret du 29 octobre 2009, les internautes peuvent signaler tout contenu illicite à l'adresse redaction@magcentre.fr qui s'engage à mettre en oeuvre les moyens nécessaires à la suppression des dits contenus.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Code de sécurité *



Recevez chaque jour les nouveaux articles par e-mail

Votre e-mail ne sera communiqué à aucun tiers et servira uniquement à vous envoyer les titres chaque jour par e-mail