Selon le récent rapport "Global Cyber Executive Briefing" publié par
Deloitte Touche Tohmatsu Limited (Deloitte Global), la quasi-totalité des sociétés subiront des cyberattaques.
“Les cyberattaques devraient constituer une préoccupation essentielle pour
toute entreprise étant donné qu'elles ne se limitent pas à certains secteurs,
comme souvent présumé. A l'ère de l'information, toute entreprise possédant des
données sensibles risque d’être un jour ou l'autre exposée à ces menaces”,
explique Roland Bastin, partner chez Deloitte Luxembourg.
“Il importe dès lors d'être conscient des risques, non seulement en connaissant la valeur de ses données mais également en identifiant ses adversaires potentiels ainsi que leur mode opérationnel, afin de garantir une protection optimale.”
Voici les conclusions du rapport pour chaque secteur d’activité :
“Il importe dès lors d'être conscient des risques, non seulement en connaissant la valeur de ses données mais également en identifiant ses adversaires potentiels ainsi que leur mode opérationnel, afin de garantir une protection optimale.”
 |
| Les sources de cyberattaques (rouge) et leurs cibles (jaune). Document RWTH Aachen. |
Le secteur high-tech fait constamment les frais de cyberattaques, la perte de la
propriété intellectuelle et le piratage constituant les principales menaces.
Les cybercriminels utilisent souvent le secteur comme relais pour attaquer et
infecter d'autres entités.
Les médias en ligne sont les plus exposés aux cybermenaces, et
principalement aux attaques portant atteinte à la réputation. Souvent, les
cybercriminels utilisent également le secteur comme relais pour attaquer et
infecter d'autres entités.
Les télécommunications sont confrontées à un nombre croissant d'attaques de
plus en plus sophistiquées, notamment de la part d'agences gouvernementales qui
recourent aux menaces persistantes avancées pour exercer une surveillance
discrète sur des périodes prolongées.
Le secteur fait également face aux attaques visant les installations domestiques, tels que les routeurs installés chez les clients par les fournisseurs de services Internet (Cf. cet article).
Le secteur fait également face aux attaques visant les installations domestiques, tels que les routeurs installés chez les clients par les fournisseurs de services Internet (Cf. cet article).
Dans le secteur de l'e-commerce, les bases de données (perte de données
clients telles que le nom, l'adresse postale, le numéro de téléphone, etc.) et
les systèmes de paiement en ligne font souvent les frais de cyberattaques du
fait de leur vulnérabilité. Les attaques visant à interrompre les services (DoS) figurent également en tête de liste et proviennent bien souvent de cyberpirates cherchant à perturber publiquement les activités d'une entreprise.
Le secteur de l'assurance doit protéger bon nombre de données sensibles.
Les cyberattaques se multiplient à un rythme exponentiel alors que les
compagnies d'assurance se tournent vers des canaux numériques. Les criminels
font preuve d'inventivité en combinant des logiciels malveillants avancés à
d'autres techniques telles que l'ingénierie sociale. Si les attaques actuelles
semblent de court terme, le rapport prévoit que le nombre d'attaques à long
terme devrait augmenter silencieusement.
 |
| Infections virales répertoriées par Kaspersky Lab. |
L'industrie manufacturière est de plus en plus la cible de hackers et de
cybercriminels et l'espionnage industriel y est monnaie courante. Les
cyberattaques visant le secteur sont très variées (hameçonnage, logiciels
malveillants avancés, etc.) et ne concernent pas uniquement l'informatique mais
également les systèmes de contrôle industriel connectés.
Dans le secteur du commerce de détail, les données relatives aux cartes de
crédit constituent la nouvelle monnaie d'échange entre hackers et criminels. Les
risques de fuite en interne se multiplient, ce qui donne naissance à un nouveau
type de criminels adeptes du vol d'informations, notamment en ce qui concerne
les données bancaires qui circulent entre consommateurs et vendeurs.
Comment lutter contre le cybercrime ?
Si le problème impacte avant tout les grandes entreprises (>1000 employés) et les agences gouvernementales sensibles, ayez conscience que ce problème nous concerne tous dès le moment où nous utilisons du matériel informatique accessible à distance ou par Internet, y compris depuis une tablette ou un smartphone.
Et ne croyez surtout pas que la cybercriminalité ne concerne que les autres : même l'Europe et la France sont à l'origine de cyberattaques...
Quant à la fraude informatique, selon une étude de PwC publiée en 2014, jusqu'à 55% des entreprises en sont victimes, un nombre qui a presque doublé depuis 2009 ! Une fraction sensible de ces fraudes sont organisées par des employés internes à l'entreprise.
Ainsi que nous l'avons expliqué dans un précédent article, la cybercriminalité coûte très cher aux entreprises. Selon PwC, 11% des entreprises sondées déclarent que l'incidence financière de la cybercriminalité dépasse 1 million de dollars ! Pas étonnant que la sécurité informatique soit un marché en pleine expansion.
Lutter contre cette activité délictuelle est une activité permanente sachant que les cyberpirates ont souvent une longueur d'avance sur les fabricants et les développeurs (cf. l'article Project Zero de Google).
A titre privé
A domicile, sur votre ordinateur et même sur votre smartphone, commencez par installer ou activer un Firewall logiciel (il est incorporé dans Windows par exemple) et un anti-virus (par ex. Kaspersky).
Contactez votre fournisseur de service Internet pour savoir quelles mesures vous pouvez prendre à moindre frais et notamment quelle sécurité placer sur votre éventuel router Wi-Fi et votre système de messagerie (pour 1€/mois il peut scanner votre mailbox et éliminer 99% des mail de phishing).
En entreprise
Consulter des experts en Sécurité de l'information et risques opérationnels, suivez les normes ISO27001, ISO27002 et ISO27005 notamment, et faites un audit de sécurité. Ces experts peuvent identifier et analyser les menaces et vulnérabilités que présentent vos biens de valeurs (données, services, personnel, matériel, logiciel, infrastucture, etc), les risques (probabilité x gravité) associés à chaque menace ou faille, les évaluer et la manière d'y remédier.
Ensuite ils devront préparer un plan de traitement et un plan d'action pour chaque type de menace et faille qui seront soumis au Comité de direction.
Seul le Comité peut décider de l'application ou non du plan d'action en fonction de ses capacités financières, de ses priorités et de l'importance des risques encourus. Une fois validé le projet pourra être lancé. Ce n'est donc pas un projet que l'on décide sur un coup de tête mais dans une stratégie à long terme et qui doit être réévaluée chaque année sinon plus fréquemment en fonction des situations.
A consulter
Comment lutter contre le cybercrime ?
Si le problème impacte avant tout les grandes entreprises (>1000 employés) et les agences gouvernementales sensibles, ayez conscience que ce problème nous concerne tous dès le moment où nous utilisons du matériel informatique accessible à distance ou par Internet, y compris depuis une tablette ou un smartphone.
Et ne croyez surtout pas que la cybercriminalité ne concerne que les autres : même l'Europe et la France sont à l'origine de cyberattaques...
Quant à la fraude informatique, selon une étude de PwC publiée en 2014, jusqu'à 55% des entreprises en sont victimes, un nombre qui a presque doublé depuis 2009 ! Une fraction sensible de ces fraudes sont organisées par des employés internes à l'entreprise.
Ainsi que nous l'avons expliqué dans un précédent article, la cybercriminalité coûte très cher aux entreprises. Selon PwC, 11% des entreprises sondées déclarent que l'incidence financière de la cybercriminalité dépasse 1 million de dollars ! Pas étonnant que la sécurité informatique soit un marché en pleine expansion.
Lutter contre cette activité délictuelle est une activité permanente sachant que les cyberpirates ont souvent une longueur d'avance sur les fabricants et les développeurs (cf. l'article Project Zero de Google).
A titre privé
A domicile, sur votre ordinateur et même sur votre smartphone, commencez par installer ou activer un Firewall logiciel (il est incorporé dans Windows par exemple) et un anti-virus (par ex. Kaspersky).
Contactez votre fournisseur de service Internet pour savoir quelles mesures vous pouvez prendre à moindre frais et notamment quelle sécurité placer sur votre éventuel router Wi-Fi et votre système de messagerie (pour 1€/mois il peut scanner votre mailbox et éliminer 99% des mail de phishing).
 |
| Document CNet France. |
Consulter des experts en Sécurité de l'information et risques opérationnels, suivez les normes ISO27001, ISO27002 et ISO27005 notamment, et faites un audit de sécurité. Ces experts peuvent identifier et analyser les menaces et vulnérabilités que présentent vos biens de valeurs (données, services, personnel, matériel, logiciel, infrastucture, etc), les risques (probabilité x gravité) associés à chaque menace ou faille, les évaluer et la manière d'y remédier.
Ensuite ils devront préparer un plan de traitement et un plan d'action pour chaque type de menace et faille qui seront soumis au Comité de direction.
Seul le Comité peut décider de l'application ou non du plan d'action en fonction de ses capacités financières, de ses priorités et de l'importance des risques encourus. Une fois validé le projet pourra être lancé. Ce n'est donc pas un projet que l'on décide sur un coup de tête mais dans une stratégie à long terme et qui doit être réévaluée chaque année sinon plus fréquemment en fonction des situations.
A consulter
Atlas Arbor
Statistiques Kaspersky (temps réel)
Research Group IT Security, RWTH Aachen
La cybercriminalité, Luxorion
La prévention du piratage informatique, Luxorion
Statistiques Kaspersky (temps réel)
Research Group IT Security, RWTH Aachen
La cybercriminalité, Luxorion
La prévention du piratage informatique, Luxorion
Aucun commentaire :
Enregistrer un commentaire