Faut-il s’appeler César, le petit génie de la saison 4 du Bureau des légendes, pour résister à une attaque informatique ? Heureusement non, si l’on sait que l’on compte plusieurs millions de ces attaques – le plus souvent par déni de service ou DDOS – et plusieurs fois par jour, selon Alain Juillet, ancien patron de la DGSE. Comment se prémunir, protéger à la fois ses outils informatiques et ses salariés de toute intrusion extérieure ou d’une volonté de nuire ? La bonne marche à suivre avec Miguel Liottier, enseignant-chercheur en systèmes d’information à l’ISC Paris et co-auteur de Survivre à une cyberattaque (Ed. Eyrolles).
1 - Cesser de croire à l’intimité de vos outils.
Oui, votre ordinateur ou votre mobile font bien partie de votre environnement personnel mais un élément fondamental les distingue de votre presse-papier préféré : ils sont en permanence connectés à l’immensité du web et donc exposés à des cyberattaques. Une réalité que la quasi-totalité des gens ignorent littéralement, déplore Miguel Liottier : « Ils sont déconnectés de ce type de réflexion car ils considèrent ces objets comme faisant partie de leur bulle intime. » A fortiori s’ils apportent leur propre matériel au travail (smartphones, tablettes...).
2 - Ne pas croire que les hackers choisissent leurs victimes.
Autre facteur qui pousse nombre de personnes à se croire à l’abri : elles n’imaginent pas pour quelle raison elles intéresseraient des hackers. « C’est un biais psychologique, explique Miguel Liottier. Les gens se disent : pourquoi serais-je attaqué ? Pour quoi faire ? » D’où le nombre très important d’acheteurs de caméras de surveillance qui ne prennent pas la précaution de changer le mot de passe par défaut. Parfaitement au fait de la situation, les hackers adoptent une attitude opportuniste et les attaques se concentrent sur les protections les plus faibles.
3 – Ne pas penser que le danger vient de l’extérieur.
Pas forcément très élevé, le niveau de vigilance chute dramatiquement dès que le piratage vient de l’intérieur, surtout s’il prend la forme de techniques de manipulation exploitant les faiblesses psychologiques, internes et organisationnelles : « L'ingénierie sociale utilise beaucoup les téléphones de l'accueil d'une entreprise pour contacter des collaborateurs qui, constatant que cela vient de l'intérieur, réduisent leur niveau de vigilance. Il est ainsi possible d'obtenir des mots de passe beaucoup plus facilement. » alerte l’expert.
4 - Mettre à jour son système d’exploitation et ses logiciels.
La simple négligence est aussi un danger. Selon Miguel Liottier, un cinquième des sites web sont mal configurés. « Les CMS [Content Management System] comme Wordpress par exemple ont des failles qui permettent à un cyberattaquant de modifier une page, de rajouter une page ou d’ajouter un code malveillant invisible pour les utilisateurs. » Une situation qui explique un fait étonnant dans un univers si friand de nouveautés : « Dans 9 cas sur 10, les failles utilisées pour mener une attaque sont connues depuis deux ans ou plus », indique le chercheur. La parade est simple : il faut effectuer des mises à jour régulières pour augmenter le niveau de sécurité de son site.
5 – Faire la police.
Les entreprises doivent se doter d’une PSSI [politique de sécurité des systèmes d’information]. « C'est le véritable outil de protection car il implique l'ensemble des collaborateurs, souligne Miguel Liottier. La direction générale doit être impliquée dès le départ. » Une PSSI permet de cerner la nature et la valeur des actifs de l'entreprise qui sont liés au SI mais aussi d'établir des règles à observer vis-à-vis du matériel. Il instaure aussi des comportements à faire respecter par les collaborateurs.
6 - Sensibiliser les collaborateurs.
Inutile de se baser sur des engagements purement formels, il faut une implication réelle et concrète des salariés, avec des tests. Élaborés en étroite collaboration avec la DSI, ils permettront de constater combien de personnes cliquent encore sur des liens provenant d’expéditeurs inconnus ou connectent sur leur machine des clefs USB trouvées dans le couloir… Pour être vraiment efficace, ce type de tests ne doit surtout pas aboutir à une stigmatisation : « Le résultat des tests ne doit pas être utilisé pour inquiéter les collaborateurs qui auraient commis des erreurs, prévient Miguel Liottier. Dans l’idéal, ce devrait même être l’inverse. À la suite des tests, ces personnes peuvent devenir des ambassadeurs de la sécurité informatique et diffuser les bonnes pratiques autour d’eux. »
7 – Installer de bonnes pratiques
La sensibilisation, la formation et les tests doivent permettre de modifier les habitudes inadaptées et installer les bonnes pratiques. « L’idéal est d’élaborer une charte informatique avec les collaborateurs, explique Miguel Liottier. Cela permet de construire un échange qui met en lumière les droits mais aussi les devoirs. En montrant aux collaborateurs qu’ils ont aussi une responsabilité dans la pérennité de l’entreprise, il devient plus facile de démontrer l’utilité du changement régulier de mot de passe, par exemple. » Intégrer la cybersécurité dans le quotidien est un impératif car les cyberattaques vont continuer : « Avec un dispositif de protection cohérent et des collaborateurs bien formés et sensibilisés, il est possible de réduire la nocivité des attaques de type opportunistes, qui exploitent des failles ou des fragilités existantes. »
8 – Faire des sauvegardes
Pour éviter des dommages trop importants à la suite de cyberattaques, il faut enfin, selon l’expert, effectuer une sauvegarde hebdomadaire et la doubler d’une sauvegarde quotidienne avec un support dédié à chaque jour de la semaine. « Dans la majorité des cas, cela permet de reprendre l’activité », note-t-il.
Une nouvelle culture à TV5Monde
(photo Yves Bigot)
Le 8 avril 2015, TV5Monde subissait une cyberattaque qui a interrompu l’émission de son signal plus de six heures et mobilisé sur place pendant six semaines des spécialistes de l’ANSSI. Coût sur la seule année 2015 : 4,6 millions d’euros. Depuis, la protection du SI a connu plusieurs évolutions majeures. Une équipe de six ingénieurs assure désormais une surveillance permanente du réseau et un contrat a été signé avec Airbus afin de renforcer la cybersécurité. En parallèle, une « hygiène informatique » a été instituée : elle repose sur quatre points clefs. D’abord, ne jamais cliquer sur un lien provenant d’une source inconnue. Le mode de connexion a aussi évolué, explique Yves Bigot, directeur général de TV5Monde : « Les mots de passe doivent avoir une longueur spécifique et être changés régulièrement. Pour les accès à partir de l’extérieur, nous avons un système qui transmet un code d’accès spécifique à la personne concernée. » Quant aux appareils provenant de l’extérieur, il est désormais formellement interdit de les brancher à quelque appareil que ce soit, même pour simplement recharger une batterie. Ce ne peut être que sur une prise électrique donc. Pour maintenir un état de vigilance satisfaisant, des tests sont régulièrement menés chaque année. Une mesure d’autant plus utile que l’impact de 2015 s’estompe : « Trois ans après l’attaque, le niveau de vigilance a tendance à se réduire, ce qui est normal, reconnaît Yves Bigot, d’où l’intérêt de toutes les mesures prises et des tests réguliers. »
