Le top 3 des idées reçues

Première idée reçue: les grandes entreprises sont les plus susceptibles de se faire attaquer

Selon Marc Barbezat, directeur de la sécurité numérique, canton de Vaud, “la taille de l’entreprise n’a pas d’impact sur le risque d’attaques, les hackers attaquent par opportunisme sur les cibles les plus faciles”.

Deuxième idée reçue: Les attaques sont marginales

1/3 des PME suisse se sont déjà fait pirater (+44% en 2021) et ce chiffre est en augmentation constante. Cela est d’autant plus inquiétant que seules 50% des PME disposent d’un dispositif de sécurité informatique.

Troisième idée reçue: Une fois attaqué, il est déjà trop tard.

Cela peut effectivement être le cas suivant le piratage en cours mais souvent il est encore possible de limiter les dégâts. La clé se trouve au niveau des employés de l’entreprise. Une personne ayant cliqué sur un lien frauduleux n’osera peut-être pas transmettre l’information si elle n’a pas été mise au confiance au préalable pour le faire. D’autre part, si les employés ont été sensibilisés en amont, ils seront capables d'éviter ce genre de situation (ouverture d’un lien sur un mail frauduleux par exemple) mais ils pourront également reconnaitre des activités suspectes lorsque le piratage est en cours et transmettre cette information au service IT compétent. Pour cette raison, Alain Mowat, Responsable Division Audit, SCRT a appuyé sur le fait que “les employés ont une influence énorme sur le succès de la défense de cybersécurité”.

Se mettre dans la peau d’un pirate informatique

Une fois ces informations connues, mettons-nous dans la peau des pirates informatiques pour mieux comprendre leurs motivations et leurs techniques.

Découvrez les cinq catégories de pirate

• Celui qui le fait pour le fun, il veut se prouver qu’il peut réussir à hacker n’importe quelle base de données
• Les ex collaborateurs mécontents
• L'hacktiviste qui veut faire avancer une cause
• Les groupes de cybercriminel → majorité des pirates dans notre cas
• Le gouvernement

Les éléments recherchés en priorité concernent:

• Les informations bancaires
• L’usurpation d’identité → souvent minimisée dans la part du risque mais très important

Découvrez les méthodes de piratage couramment utilisées

De nombreuses techniques de piratage existent. Nous vous présentons ici les plus couramment utilisées.

Deviner le mot de passe

• Les hackers devinent les mots de passe en fonction des données personnelles qu’ils peuvent trouver sur Internet
• Une fois un mot de passe découvert, ils réutilisent ce mot de passe légitime sur plusieurs interfaces
• La majorité des personnes utilisent le même mot de passe partout^‍

^‍
“Pour vérifier si votre email ou numéro de téléphone a été compromis: Have I Been Pwned: Check if your email has been compromised in a data breach ”

• Attaque via dictionnaire
• Les pirates récupèrent des mots de passe au cours de leur piratage, auxquels ils en ajoutent d’autres, partagés par d’autres pirates sur le dark web. Ils lancent une requête qui va tester tous les mots de passe du dictionnaire sur une interface en particulier en un temps record.
• Identifier tous les employés et tenter des mots de passe fréquemment utilisés de manière automatisée par code
• Le pirate va récupérer les adresses mails de tous les employés. De la même manière que la technique précédente, il va tenter des mots de passe fréquemment utilisés sur toutes les adresses. Une adresse avec un mot de passe suffit pour créer une brèche au sein de toute l’entreprise.
• Attaque par force brute
• Pour trouver un mot de passe de 7 caractères, le pirate a besoin de 2 à 31 secondes grâce à des outils très puissants qui testent des mots de passe différents.

Convaincre de donner le mot de passe

Si les attaques classiques contre les mots de passe faible n’ont pas fonctionné, les pirates s’en remettent parfois à des campagnes de phishing. Cette technique est largement utilisée car très simple à mettre en place. A travers des outils conçus pour cette tâche, des mails peuvent être envoyés via une adresse mail façonnée de toute pièce, à toutes les adresses mails existantes.

Le but peut être double, à travers une manipulation psychologique:

• Le pirate fait du chantage affectif en fonction d’informations qu’il a trouvé sur internet ou des suppositions inventées de toute pièce pour demander des rançons ou vous faire faire des actions qui peuvent mettre en péril d’autres utilisateurs ou l’entreprise toute entière
• Le pirate tente de vous faire cliquer sur un lien frauduleux pour prendre le contrôle de votre ordinateur

Lors du programme Trust4SMEs, des campagnes ont été faites dans ce sens pour tester le niveau des entreprises participantes. Voici les résultats:

Compromettre des appareils

Plusieurs méthodes existent, parmi les plus connues: virus, cheval de Troie, ransomware.

Tous les jours, 390k nouveaux virus sont recensés. Les techniques sont les suivantes :

Intercepter les communications

Sur un wifi public et sur des sites en http (non sécurisés), tout le monde peut voir tout ce que vous êtes en train de faire et récupérer les données devient plus facile. C’est le cas notamment depuis les ordinateurs mails aussi depuis les téléphones. Néanmoins, les sites non sécurisés sont de moins en moins nombreux et les ordinateurs vous indiquent que vous vous rendez sur un site “dangereux”. Le cadenas indique que le site est sécurisé:

Pirater une application utilisée par l’utilisateur

Lorsqu’un document est envoyé par mail par un pirate, comme cela peut être le cas d’un Excel, des lignes de code sont ajoutées au fichier. Cela n’est pas visible pour vous mais des lignes de code donnent des accès au pirate qui lui permettent de prendre contrôle de votre ordinateur.

Cela est également le cas des applications pour téléphone disponibles sur l’App Store ou sur Android. Pour éviter d’installer des app frauduleuses, pensez à regarder le nombre de téléchargements et avis.

Comme précisé précédemment, les attaques ne sont pas uniquement basées sur les adresses mails mais elles sont également nombreuses sur les réseaux sociaux, via SMS ou Whatsapp.

Pour contrer ces différents éléments, l’anti-virus (même gratuit) est nécessaire mais pas suffisant. Il est en effet indispensable de mettre à jour les navigateurs car les brèches de sécurité découvertes sont résolues à travers ce système de mise à jour.

Les enjeux derrière le piratage

Les enjeux sont nombreux mais il est possible de récapituler les principaux à travers ces quatre types:

• Usurpation d’identité → souvent minimisé mais très important
• Vente des données personnelles / sensibles (informations médicales par exemple)
• Chantage personnel
• Chantage au niveau de l’entreprise

Les bons réflexes à adopter

• Utiliser des mots de passe avec 12 caractères min (avec maj, min, chiffres, caractères spéciaux)
• Penser phrases de passe (ex: ne M’oubl1ez pas)
• Eviter de l’utiliser à plusieurs reprises
• Utiliser un gestionnaire de mots de passe (ex. Bitwarden)
• Utiliser l’authentification multi-facteurs
 • Ne pas chercher à cacher lorsque l’on a cliqué sur un lien frauduleux: avertir les personnes compétentes au service IT
 • Appliquer les mises à jour
 • Ne jamais ignorer un avertissement de sécurité
 • Ne pas hésiter à demander de l’aide
• Eviter l’utilisation des wifi publics

Et AUBEP dans tout ça ?

Vous pourrez retrouver ici les éléments mis en place par AUBEP et découvrez notre politique de sécurité

En bref, nos équipes travaillent en continu sur :
‍
✓ Des hébergements multisites redondants
✓ Une disponibilité maximale des plateformes
✓ Des sauvegardes 3 couches et multisites
✓ Un suivi de l'activité des plateformes
✓ Un contrôle régulier des sauvegardes
✓ Une sensibilisation des équipes
✓ Des canaux de communication pour réagir vite
✓ Un temps de reprise d'activité minimal en cas d'incident
✓ Une perte minimale de donnée en cas d'incident
✓ Une sécurisation du transport et du stockage des données
✓ Des tests d'intrusion par des entreprises externes
✓ Des plans d'action prêts grâce aux programmes de soutien Trust Valley

‍

Et le meilleur pour la fin, AUBEP est certifié Cyber-Safe !

Découvrez les détails de cette certification par le label suisse de sécurité de référence sur notre article dédié

‍