jeudi 7 août 2014

Les cyberattaques en augmentation dans tous les secteurs

Selon le récent rapport "Global Cyber Executive Briefing" publié par Deloitte Touche Tohmatsu Limited (Deloitte Global), la quasi-totalité des sociétés subiront des cyberattaques.
Les cyberattaques devraient constituer une préoccupation essentielle pour toute entreprise étant donné qu'elles ne se limitent pas à certains secteurs, comme souvent présumé. A l'ère de l'information, toute entreprise possédant des données sensibles risque d’être un jour ou l'autre exposée à ces menaces”, explique Roland Bastin, partner chez Deloitte Luxembourg.
Il importe dès lors d'être conscient des risques, non seulement en connaissant la valeur de ses données mais également en identifiant ses adversaires potentiels ainsi que leur mode opérationnel, afin de garantir une protection optimale.

Les sources de cyberattaques (rouge) et leurs cibles (jaune). Document RWTH Aachen.
Voici les conclusions du rapport pour chaque secteur d’activité :
Le secteur high-tech fait constamment les frais de cyberattaques, la perte de la propriété intellectuelle et le piratage constituant les principales menaces. Les cybercriminels utilisent souvent le secteur comme relais pour attaquer et infecter d'autres entités.
Les médias en ligne sont les plus exposés aux cybermenaces, et principalement aux attaques portant atteinte à la réputation. Souvent, les cybercriminels utilisent également le secteur comme relais pour attaquer et infecter d'autres entités.
Les télécommunications sont confrontées à un nombre croissant d'attaques de plus en plus sophistiquées, notamment de la part d'agences gouvernementales qui recourent aux menaces persistantes avancées pour exercer une surveillance discrète sur des périodes prolongées.
Le secteur fait également face aux attaques visant les installations domestiques, tels que les routeurs installés chez les clients par les fournisseurs de services Internet (Cf. cet article).
Dans le secteur de l'e-commerce, les bases de données (perte de données clients telles que le nom, l'adresse postale, le numéro de téléphone, etc.) et les systèmes de paiement en ligne font souvent les frais de cyberattaques du fait de leur vulnérabilité. Les attaques visant à interrompre les services (DoS) figurent également en tête de liste et proviennent bien souvent de cyberpirates cherchant à perturber publiquement les activités d'une entreprise.

Infections virales répertoriées par Kaspersky Lab.
Le secteur de l'assurance doit protéger bon nombre de données sensibles. Les cyberattaques se multiplient à un rythme exponentiel alors que les compagnies d'assurance se tournent vers des canaux numériques. Les criminels font preuve d'inventivité en combinant des logiciels malveillants avancés à d'autres techniques telles que l'ingénierie sociale. Si les attaques actuelles semblent de court terme, le rapport prévoit que le nombre d'attaques à long terme devrait augmenter silencieusement.
L'industrie manufacturière est de plus en plus la cible de hackers et de cybercriminels et l'espionnage industriel y est monnaie courante. Les cyberattaques visant le secteur sont très variées (hameçonnage, logiciels malveillants avancés, etc.) et ne concernent pas uniquement l'informatique mais également les systèmes de contrôle industriel connectés.
Dans le secteur du commerce de détail, les données relatives aux cartes de crédit constituent la nouvelle monnaie d'échange entre hackers et criminels. Les risques de fuite en interne se multiplient, ce qui donne naissance à un nouveau type de criminels adeptes du vol d'informations, notamment en ce qui concerne les données bancaires qui circulent entre consommateurs et vendeurs.
Comment lutter contre le cybercrime ? 
Si le problème impacte avant tout les grandes entreprises (>1000 employés) et les agences gouvernementales sensibles, ayez conscience que ce problème nous concerne tous dès le moment où nous utilisons du matériel informatique accessible à distance ou par Internet, y compris depuis une tablette ou un smartphone.
Et ne croyez surtout pas que la cybercriminalité ne concerne que les autres : même l'Europe et la France sont à l'origine de cyberattaques...
Quant à la fraude informatique, selon une étude de PwC publiée en 2014, jusqu'à 55% des entreprises en sont victimes, un nombre qui a presque doublé depuis 2009 ! Une fraction sensible de ces fraudes sont organisées par des employés internes à l'entreprise.
Ainsi que nous l'avons expliqué dans un précédent article, la cybercriminalité coûte très cher aux entreprises. Selon PwC, 11% des entreprises sondées déclarent que l'incidence financière de la cybercriminalité dépasse 1 million de dollars ! Pas étonnant que la sécurité informatique soit un marché en pleine expansion.


Lutter contre cette activité délictuelle est une activité permanente sachant que les cyberpirates ont souvent une longueur d'avance sur les fabricants et les développeurs (cf. l'article Project Zero de Google).
A titre privé
A domicile, sur votre ordinateur et même sur votre smartphone, commencez par installer ou activer un Firewall logiciel (il est incorporé dans Windows par exemple) et un anti-virus (par ex. Kaspersky).
Contactez votre fournisseur de service Internet pour savoir quelles mesures vous pouvez prendre à moindre frais et notamment quelle sécurité placer sur votre éventuel router Wi-Fi et votre système de messagerie (pour 1€/mois il peut scanner votre mailbox et éliminer 99% des mail de phishing).


Document CNet France.
En entreprise
Consulter des experts en Sécurité de l'information et risques opérationnels, suivez les normes ISO27001, ISO27002 et ISO27005 notamment, et faites un audit de sécurité. Ces experts peuvent identifier et analyser les menaces et vulnérabilités que présentent vos biens de valeurs (données, services, personnel, matériel, logiciel, infrastucture, etc), les risques (probabilité x gravité) associés à chaque menace ou faille, les évaluer et la manière d'y remédier.
Ensuite ils devront préparer un plan de traitement et un plan d'action pour chaque type de menace et faille qui seront soumis au Comité de direction.
Seul le Comité peut décider de l'application ou non du plan d'action en fonction de ses capacités financières, de ses priorités et de l'importance des risques encourus. Une fois validé le projet pourra être lancé. Ce n'est donc pas un projet que l'on décide sur un coup de tête mais dans une stratégie à long terme et qui doit être réévaluée chaque année sinon plus fréquemment en fonction des situations.
A consulter

Aucun commentaire :

Enregistrer un commentaire