La sécurité informatique souffre de nombreuses idées reçues qui n’encouragent pas le passage à l’action des organisations.
Mais bien connaitre le sujet et se préparer au risque s’avère bénéfique pour les structures qui investissent un peu chaque année en vue de monter progressivement leur niveau de maturité. Elles retrouvent une certaine sérénité en réduisant drastiquement leur surface d’attaque et peuvent enfin se consacrer à leur raison d’être ou leurs objectifs commerciaux.
Vous avez bien souscrit une assurance couvrant de nombreux risques, vous êtes bien équipés d’extincteurs dans vos locaux… je suis convaincu que vous n’avez pas envie de subir un incendie, mais vous vous y êtes préparés. Il en va de même pour la sécurité informatique, quelle que soit votre structure ou votre taille, le risque cyber est bien présent et en bonne place dans les principaux risques organisationnels des entreprises.
Je vous propose d’adresser dans cet article les principales idées reçues qui bloquent le passage à l’action.
Nous aborderons dans une seconde infographie les bonnes pratiques à mettre en œuvre en matière de sécurité informatique.
Idée reçue n°1 : Les cyberattaques, ce n’est pas pour moi, je ne suis pas une cible intéressante !
Dans les faits, 56% des attaques ciblent les TPE et PME
De nombreuses victimes de cyberattaques pensent qu’elles sont trop petites pour intéresser les cybercriminels. La vérité est très différente : malgré les gros titres révélés par la presse, la plupart des attaques ne sont pas perpé-trées par des État-nations. Ces dernières sont lancées par des opportunistes à la recherche de proies et de gains faciles, tels que des entreprises pensant ne pas être une cibles (failles de sécurité non corrigées, mauvaises configura-tions), faciles à atteindre par des cybercriminels.
Idée reçue n°2 : J’ai déjà un antivirus, je suis protégé !
L’antivirus ne protège que contre une petite partie des menaces
D’abord, il doit être mis à jour le plus régulièrement possible et intégrer une suite de sécurité complète (EPP/EDR) supervisée par un humain.
De plus, il ne vous protègera pas de l’ingénierie sociale (50% des menaces, phishing et usurpation de compte), des failles de sécurité non corrigées (20%), d’une attaque par force brute (23%), ou tout simplement d’un nouveau Cryptovirus encore inconnu par la base virale.
Alors, êtes-vous si bien protégé ?
Idée reçue n°3 : Rien ne peut m’arriver, j’ai une sauvegarde !
Dans 21% des attaques, la sauvegarde a été ciblée avant les données
La sauvegarde est souvent le dernier rempart à une attaque par Ransomware, vous avez raison d’y consacrer des ressources. Mais respecte-t-elle la règle du 3-2-1 (3 sauvegardes / 2 types de support / 1 copie hors site et idéalement hors ligne) et son intégrité est-elle protégée (Immuabilité) ?
Par ailleurs, vos sauvegardes ne vous protègeront jamais contre une fuite de données sensibles ou les détournements de fonds par ingénierie sociale. Vous devez développer une politique globale de sécurité
informatique, intégrant la sauvegarde comme un moyen parmi d’autres.
Idée reçue n°4 : Mes utilisateurs sont au courant des risques, je leur envoie un rappel chaque année !
En 2023, 74% des cyberattaques avaient comme origine le phishing.
On estime que 95% des problèmes cyber peuvent être attribués à une erreur humaine. Les menaces évoluent et se professionnalisent (ingénierie sociale, IA), un mail de rappel annuel des bonnes pratiques ne suffit plus.
Vos utilisateurs sont la cible n°1 des cybercriminels. Ils doivent être pris en charge prioritairement (sensibilisation, campagnes de test).
Si vous êtes accompagnés, une campagne de phishing coach avec des modules de e-learning sont très faciles à mettre en œuvre et divisent par 10 votre surface d’attaque en moins d’un an.
Idée reçue n°5 : Un petit malware, ça ne va pas mettre mon activité en péril !
89% des entreprises ne parviennent pas à protéger leurs données et le coût médian d’une cyberattaque est estimé à 50 000€.
Quasiment systématiquement (94 % des cas), les cyberattaques conduisent l’entreprise à devoir reconstruire totalement ou partiellement son système d’information.
En théorie, cela ne devrait pas vous tuer, mais risque d’occuper vos équipes techniques un long moment, conduira à de lourdes pertes d’exploitation et entachera la confiance de vos clients et partenaires. Si l’attaque a conduit à une exfiltration de données personnelles, vous êtes également pénalement responsable.
Investir un peu chaque année dans votre sécurité informatique, c’est comme une assurance, on est bien content de l’avoir en cas de sinistre.
Idée reçue n°6 : Au pire, je paye la rançon et on n’en parle plus !
Les amateurs de polars vous le diront : ne jamais payer la rançon !
Déjà, vous n’avez aucune garantie qu’une clé valide vous sera confiée en échange du paiement mais pire : vous ne saurez pas si les hackers ont conservé un accès à votre système et s’ils ne vont pas continuer à exfiltrer vos données, ou tout recrypter d’ici 1 mois ou 1 an.
Au niveau mondial, 39% des organisations paient la rançon (~84k$), avec un succès mitigé puisque 9% ont été frappés par une nouvelle demande de rançon et 22% n’ont jamais eu accès à leur données.
Le plus efficace reste le dépôt de plainte auprès des forces de l’ordre et la reconstruction à blanc de votre infrastructure à partir de sauvegardes saines.
Synthèse :
Pour bien vous protéger, vous devez à minima :
Définir une Politique de sécurité informatique et la faire vivre,
Mettre en œuvre une solution de sécurité type EPP+EDR et la superviser,
Mettre en œuvre une politique de sauvegarde immuable respectant la Règle du 3-2-1 et la tester régulièrement,
Sensibiliser et entrainer vos utilisateurs et administrateurs,
Quelle que soit la taille de votre structure, vous êtes une cible.
La sécurité informatique n’est pas votre préoccupation première et c’est normal, faites-vous accompagner et gagnez en tranquillité !