À tort, le vol de données reste souvent associé au vol des coordonnées bancaires ou à l’usurpation d’identité des particuliers. Pourtant, avec l’émergence de l’internet des objets ou de l’internet industriel, les nouvelles méthodes ne manquent pas pour s’attaquer aux données des entreprises. Voir à celles, pouvant sembler parfois insignifiantes, de leurs collaborateurs. Avec des impacts économiques parfois dévastateurs.
Avec 2,6 milliards de données volées en 2017 (selon l’indice Breach Level Index), le vol de données reste une menace forte et croissante (+ 88 % par rapport à 2016). Et selon le récent rapport Kaspersky sur les budgets de sécurité informatique, le coût moyen d'une violation de données pour les entreprises est aujourd’hui d'un peu plus de 1,2 million de dollars, soit une augmentation de 24 % par rapport à 2017 et de 38 % par rapport à 2016.
Vol de données : un risque omniprésent pour les entreprises
Parmi les vecteurs privilégiés par les cybercriminels pour mener leurs attaques, le vol des mots de passe est une arme de choix. « Les password stealers sont plus que jamais actifs, car cette technique est simple à mettre en place et peu chère », constate un membre de l’équipe de Security Intelligence de Stormshield, en charge d’analyser les outils utilisés dans les cyberattaques. Un mécanisme générateur de revenus, que ce soit par l’utilisation directe de ces mots de passe ou par la revente de ceux-ci. Mais les autres méthodes malveillantes ne manquent pas. Phishing ou (hameçonnage), faux site internet, faux réseau wifi ou encore clé USB infectée, toutes ces techniques s’emploient à voler ou chiffrer des données contre rançon, ou tout simplement à nuire à un système informatique. Sans compter que l’essor de l’internet des objets (IoT) ouvre de nouvelles failles. « L’IoT a brouillé les limites traditionnelles des infrastructures informatiques (…). De nombreux périphériques ne sont pas conformes aux normes (…), ce qui complique l'ingénierie, la sécurité et la gestion de ces terminaux et de l'ensemble du système », remarque The SANS Institute et ForeScout Technologies en conclusion d’une étude sur la sécurité de l’IoT industriel publiée en juillet 2018.
Dans le monde industriel, la donne évolue également. Avec l’émergence de l’internet industriel et l’intégration de machines complexes dotées de capteurs en réseau et de logiciels, l’OT (operational technology) manipule en effet « des données qui, si elles sont subtilisées, peuvent avoir de véritables impacts économiques : chantage ou revente de secret industriel, espionnage industriel ou humain… », explique Robert Wakim, Offer Manager Industry chez Stormshield. « Le problème est plus critique encore dans le monde de la santé, où les informations sensibles comme les données personnelles sont manipulées très régulièrement. L'atteinte à la réputation d'une personne (homme politique, dirigeant d’entreprise…) peut par exemple constituer un vrai motif de vol des données de santé pour les hôpitaux », ajoute-t-il.
Les collaborateurs au cœur des données des entreprises
Espionnage économique, sabotage, déstabilisation, « arnaque au Président »… Les attaques malveillantes envers les entreprises ne cessent donc de se multiplier.
Or les canaux utilisés sont parfois sous-estimés, comme les réseaux sociaux par exemple. « Pour déjouer la vigilance humaine, les cybercriminels concentrent leurs efforts sur le travail en amont. Ils passent ainsi de plus en plus de temps pour connaître les centres d’intérêt de personnes appartenant à telle ou telle entreprise et leur envoyer un e-mail ciblé leur permettant d’entrer dans le système de l’entreprise et d’y voler des données », explique Stéphane Prévost, Product Marketing Manager chez Stormshield.
Si le phénomène de l’« arnaque au Président » semble aujourd’hui passer en dessous du radar médiatique, il n’en reste pas moins un risque élevé pour les entreprises comme pour les organismes publics.
Et tous les collaborateurs de l’entreprise peuvent être ciblés. L’« arnaque au Président » est en effet une attaque typique de ce genre de procédé, qui cible les entreprises en se faisant passer pour leur président(e). Si le phénomène semble aujourd’hui passer en dessous du radar médiatique, il n’en reste pas moins un risque élevé pour les entreprises comme pour les organismes publics. En témoigne l’escroquerie dont a été récemment victime le département du Nord ; un cybercriminel ayant réussi à détourner 800 000 euros en se faisant passer pour une entreprise participant au chantier du contournement de Valenciennes. En mars 2018, c’est l’entreprise Pathé qui a été la cible d’une telle attaque, pour un montant de plus de 19 millions d’euros.
Ciblé par un réseau d’escrocs, le groupe Pathé a perdu plus de 19 millions d’euros https://t.co/rJxnEwdIxh
— Le Monde (@lemondefr) 10 novembre 2018
« Les entreprises continuent à se faire escroquer avec maintenant d’autres méthodes plus simples et rapides. Une de ces méthodes consiste à intercepter des documents en piratant des messageries, puis à les falsifier avec de fausses coordonnées bancaires ou à créer de vraies fausses factures que les clients règlent. C’est ce dernier procédé qui a été utilisé dans l’arnaque au département du Nord », explique Pierre-Yves Hentzen, président de Stormshield, lui-même cible de deux tentatives de fraude au Président qu’il a réussi toutefois à déjouer. Dans l’exemple du département du Nord, de simples informations sur les travaux commandés ont permis de monter l’acte malveillant. Des informations qui semblent pourtant anodines, face aux coordonnées bancaires et autres pièces d’identité.
Pour renforcer la protection de leurs données face aux attaques malveillantes, les entreprises peuvent mener quelques actions simples. À commencer par la mise en place d’actions de prévention et de sensibilisation des collaborateurs face aux risques de vol des données. Mais face aux limites de la vigilance humaine, il est primordial d’utiliser aussi des outils de protection efficaces, comme le chiffrement des données sensibles.