Au-delà des gestes barrières que nous connaissons bien et que nous accomplissons pour protéger notre santé et celle des autres, il y en a certains qui concernent la santé de nos… entreprises !
Je vais tenter de répondre à de nombreuses interrogations actuelles de ces dernières avec des éléments factuels remontés des 350 clients de la société que je dirige et qui est spécialisée dans le domaine, ITrust. Du terrain, donc. Une tribune qui pourra peut-être sembler naïve mais qui a pour seule ambition d’être surtout pédagogique .
Mise à mal par un contexte inédit et brutal entraînant une situation économique et sociale que l’on qualifie pour le moins de tendue, un autre risque s’est profilé et se trouve fortement avéré depuis quelques mois.
Or, le nombre d’attaques, de vols, de virus explose littéralement. Il est plus difficile de trouver une entreprise qui n’a pas été touchée que de trouver des exemples de structures impactées.
Les équipes d’ITrust constatent une augmentation des attaques de 400% par rapport à la même période en 2019.
Depuis début 2020, certains secteurs sont particulièrement ciblés : santé, industrie high tech, gouvernements, cabinets d’avocats. Le piratage, l’espionnage, le vol et les tentatives de rançon sont le quotidien de ces entreprises et institutions, et proviennent pour l’essentiel :
- de groupes de hackers professionnels, de vrais “mafias” souvent protégées ou tolérées par les pays qui les hébergent : Brésil, Russie, Chine, Corée, Indonésie, Pakistan, USA, Vietnam, Iran.
- de groupes de pirates opportunistes : plutôt spécialisés dans les escroqueries par phishing, provenant souvent d’Afrique ou d’Amérique du Sud.
- de particuliers ou de PME, spécialistes de faux mails ou profils sur les réseaux sociaux
- des gouvernements eux mêmes…(5 pays au monde possèdent une capacité cyber offensive officielle)
- de pirates freelances, étudiants, indépendants, experts activistes, etc.
La plupart travaillent grâce à des commandes gouvernementales ou d’entreprises. Les pays se servent de ces groupes “mafieux” pour influencer leur géopolitique, mener des actions subversives contre des concurrents, voler des technologies, affaiblir un pays. Dans la mer des caraïbes numériques, les alliés et les ennemis sont souvent confondus. Les pirates, flibustiers, corsaires sont les mieux armés pour détrousser les colonies sans se faire rappeler à l’ordre par les états.
Car … Le business du piratage rapporte gros.
En 2017, le prix au marché noir d’un dossier médical numérique s’échangeait à 15$, un numéro de carte bleue volé,1€.
Un groupe « pirate » demandait en mars 6 Millions pour ne pas dévoiler les données volées à une entreprise connue de la construction.
Ce business peut rapporter beaucoup et ne demande, contrairement à nos entreprises dûment établies, que quelques milliers d’euros d’investissement.
Une petite équipe d’experts et le tour est joué. Bénéfice net très important , non imposé , sans TVA,…. Se permettant d’ailleurs de vous proposer une promotion alléchante de tête de gondole : une remise de 10% si vous payez en une fois ! Et vous proposant un SAV pour le moins « original » : des conseils pour ne plus se faire ..avoir ! Des pros en fait …
Dans la Tech, on apprécie les statistiques, nous avons donc étudié celles émanant de nos propres clients.
Du concret et du vécu.
100 % des clients subissent continuellement des attaques ou malveillances. Bien sûr, il faut différencier
- Les tentatives d’attaques (scan de port sur firewall, tentative d’intrusion) qui touchent 100% des entreprises mais n’aboutissent pas (dans notre jargon : des attaques froides)
- Les attaques réelles en cours : l’attaque a infiltré l’entreprise et se propage mais n’a pas forcément de charge active ou n’a pas réussi à avoir un impact sur l’entreprise. Et là aussi, nous constatons 100% des clients touchés ! (attaques chaudes)
- Les attaques ayant abouti et engendrant un impact financier pour l’entreprise : demande de rançon, virus, vol, indisponibilité ( il s’agit d’une attaque qualifiée)
Bien sûr, nombreuses sont les entreprises à ne pas souhaiter en parler et nous respectons cette confidentialité.
Parmi celles ayant été touchées par des attaques réussies, les dégâts sont les suivants :
- 75% subissent une dégradation des services
- Le coût moyen d’une attaque réussie est estimé à 1,2 Md’€ pour un ETI (Établissement de taille intermédiaire)
On peut faire un parallèle assez simple entre le coût de protection, c’est à dire le coût visant à instaurer les mesures barrières, et l’impact d’une attaque réussie. En moyenne un client protégé dépense 25 KE par an. Il évite une perte probable de plus d’un million…
Dis simplement, chaque euro dépensé en Cybersécurité permet d’éviter de perdre 40 euros, avec un taux de réussite de 100%. La cybersécurité devient un investissement et non un centre de coût.
Saviez-vous que la plupart des attaques suspectes ont une source interne ?
Les techniques les plus utilisées étant le phishing / Malware (90%), la saturation interne des services, les failles de sécurité applicatives et réseaux.
Et les techniques ayant le plus fort impact se trouvent être : DGA, DNS tunneling, XSS, comptes Guest par défaut, base des mots de passe AD non chiffrée et ainsi fortement accessible. (A ce titre je vous renvoie vers le livre blanc ITrust sur le top 10 des failles sécurité lien)
L’analyse que l’on peut en avoir s’avère très intéressante. On en tire des conclusions qui permettent d’établir des gestes barrières, empiriques, pouvant bloquer selon nos données plus de 90% des malveillances !
En effet, au-delà des principes de base à respecter, tels que mettre en place un mot de passe pertinent ( chiffres/ponctuation à mixer savamment mais à se rappeler aisément) ou d’éviter les mots de passe par défaut des équipements ou applications ( mais oui, cela se constate toujours !), ou encore les mises à jour des applications et des systèmes.
Nous dirons ici qu’il s’agit des règles d’hygiène essentielles pour rester dans notre comparaison introductive. Il apparaît indispensable de se concentrer sur des gestes barrière plus conséquents et techniques. On s’aperçoit que 100% des entreprises subissent des attaques suspectes et 78% subissent des attaques ayant abouti.
MAIS aucune (0%), entendez bien aucune, ne subit d’attaque ayant abouti quand le périmètre se trouve surveillé en amont par des audit continus de vulnérabilité et par un SOC. (statistiques clients ITrust sur 2 ans, impliquant plus de 300 clients).
Il est donc grand temps d’avoir recours à un vaccin, ici trouvé.
De faciliter son application dans toutes les entreprises, de soutenir la démarche des dirigeants en cette matière, de les aider à mettre en place une sérénité dont ils ont besoin pour se concentrer sur la pérennité et le développement de leur structure, de les affranchir d’une responsabilité supplémentaire en mettant en œuvre une politique d’accompagnement simple, concrète et acceptable en ces temps de difficiles perspectives et de vision complexe.
Pointer du doigt n’entraîne que fracture et dommages.
En faire une priorité pour préserver nos compétences et nos territoires devient aussi une urgence, certes moins visible que ce satané virus qui nous contraint et nous atteint dans nos familles et dans nos amitiés, mais tout aussi pernicieuse et à longue traîne pour nos emplois et notre stabilité économique, qui, vous en conviendrez, n’a pas besoin de ce supplément de charge…
Chez ITrust nous avons créé des solutions adaptées, agiles, spécifiques. Mais pour armer les entreprises, il leur faut des moyens financiers qu’elles mobilisent pour des points vitaux évidents à ce jour, sûrement à raison. Mais le temps court trop vite et les pirates n’ont que faire d’une quelconque empathie, profitant d’une mer déchaînée pour mieux s’enrichir en mettant à mal ces bateaux que sont NOS entreprises, créatrices de valeur ajoutée et d’avenir.
En période de COVID, nous ressentons tous la nécessité des gestes barrières, de redonner du sens à ce que nous faisons, de protéger notre famille. Nous sommes soumis à des évènements exceptionnels qui peuvent avoir des impacts déterminants sur notre vie.
Un virus qui nous touche ? Numérique ? Une entreprise qui peut perdre son savoir-faire, ses emplois, et toucher nos enfants qui y travaillent ? Si on se rend compte que le prix d’un masque ou d’un gel hydroalcoolique n’est rien à côté de la protection qu’il peut apporter à notre mode de vie et notre famille, il en est de même pour la cybersécurité, la protection de notre vie numérique. Bien plus importante et au centre de nos vies que ce que nous pouvons imaginer.
“Se protéger coûte cher. Ne pas le faire, bien plus encore.” CQFD…