RSS Feed
Twitter
15:29
Sécurité sous surveillance
Une entreprise française sur cinq a connu des pertes financières dues à des failles de sécurités informatiques au cours des 12 derniers mois, contre seulement 6% en 2008. Près de 60% d’entre-elles ont subi au moins un incident de sécurité. Démunies et face aux nouvelles formes de cybercriminalité, les firmes françaises n’ont plus foi en leur niveau de sécurité.
Les cyber attaques subies par les entreprises ont changé « de nature, de fréquence, d’ampleur et d’impact » : C’est ce que révèle une étude sur la sécurité de l’information de PWC publiée le 2 novembre.
En douze mois, 17% des entreprises françaises ont subi des vols de propriété intellectuelle (contre 6% en 2008) et 13% des atteintes à l’image (6% en 2008). Conséquence directe, leur foi en leurs systèmes de sécurité dégringole : 55% d’entre elles se disent confiantes, alors qu’elles étaient 87% en 2008.
Il y a pourtant bien eu une prise de confiance de la part des firmes françaises. En 2009, plus de la moitié d’entre-elles n’avaient pas connaissances d’incidents de sécurité. Elles sont désormais moins de 10%, et seules 20% d’entre elles n’en connaissent pas la source.
Des risques plus larges
La zone des risques sécuritaires pour les entreprises est désormais plus large : 17% des entreprises dénotent des incidents liés à des partenaires, fournisseurs ou clients, contre seulement 6% en 2008. En parallèle, les firmes gèrent de moins en moins bien la prévention de ces incidents liés à des tiers.
L’émergence de nouveau modes de communication aggrave les risques sécuritaires: la consultations d’informations confidentielles sur des terminaux personnels mobiles (smartphones, tablettes...) est mal encadrée. Moins d’un tiers des entreprises françaises ont une stratégie de sécurité spécifique à ces usages. La diffusion d’information sur les réseaux sociaux est également mal encadrée : un quart seulement des entreprises françaises mènent une stratégie d’encadrement, contre 37% au niveau mondial.
Ces nouveaux modes de communication facilitent la tâche des cybercriminels, qui développent des formes plus insidieuses de piratage.
Social engineering
Les trojans et autres mouchards informatiques ne suffisant plus, les pirates ont développé de nouvelles formes de cybercriminalité. Une des plus efficace : le « social engineering », ou ingénierie sociale. Une technique qui s’attaque non plus seulement au facteur informatique, mais au facteur humain.
L’ingénierie sociale permet aux pirates l’acquisition d’informations confidentielles par le biais d’une manipulation. Les pirates commencent par récolter le maximum d’informations sensibles sur leur « cible » choisie au sein de l’entreprise, grâce à de l’espionnage sur les réseaux sociaux ou les sites de microblogging comme Twitter. Cet espionnage leur permet de détecter les moins prudents, ou les plus utiles (le chef du service informatique, par exemple).
Ils rentrent ensuite en contact avec les employés par mail, par téléphone, voire même en personne. Ils se font alors passer pour une connaissance, un consultant ou un membre de l’entreprise, parfois un supérieur hiérarchique : ainsi, l’employé se sent obligé de répondre.
Les informations que les pirates réclament paraissent en apparence anodines : nom de l’antivirus, système d’exploitation utilisé, adresse mail… Et de fil en aiguille, les employés gagnent en « confiance » avec leur interlocuteur.
Cette nouvelle forme de cybercriminalité, qui attaque directement l’individu au sein de l’entreprise, est plus difficile à encadrer. Pour y remédier, les entreprises doivent former leurs employés à vérifier systématiquement l’identité des individus qui les contactent et être en alerte lorsqu’on leur demande des informations confidentielles.
Pour répondre aux failles de sécurité, PWC propose une série de conseils de bonne pratique : mise en place d’une vraie stratégie de protection permettant « d’exploiter les opportunités des nouvelles technologies et du cyberespace » sans risques, mise en place d’un « canal de communication approprié » entre managers et gestionnaires de SI, revue annuelles de l’efficacité des dispositifs, et mise en place d’un processus d’identification rapide des incidents, de leur source et de leurs conséquences.
Les entreprises qui mettent en place ces pratiques déclarent deux fois moins d’incidents. Mais en France, elles sont à peine plus de 10% à le faire.
0 commentaires:
Enregistrer un commentaire