TPE et PME : quel est votre niveau d’exposition aux menaces ?

27 novembre 2019

Share

Romain Di Fatta est consultant sécurité chez Orange Cyberdefense. Il effectue notamment des missions auprès des TPE (très petites entreprises) et PME (petites et moyennes entreprises) afin de les aider à élever leur niveau de protection face aux menaces.

Quels sont les plus grandes cybermenaces pour les PME et TPE ?

Les menaces diffèrent selon le type d’entreprise. Celles qui fournissent des services sont exposées à des risques liés à la compromission des données à caractère personnel de leurs clients. Les TPE et PME qui fabriquent des produits sont quant à elles menacées par les ruptures des chaînes de production ainsi qu’à des pertes d’informations de fabrication, comme les plans de conception par exemple. Enfin, les sociétés qui traitent avec d’autres sont menacées par le vol de leurs carnets d’adresses ainsi que de leurs contrats.

Quel est le niveau de prise de conscience face à ces risques ?

Le niveau de prise de conscience reste encore trop faible. Nous entendons souvent les propos suivants : « Pourquoi mon entreprise serait-elle ciblée ? » ou encore « Je ne suis pas exposé, je ne cours aucun risque en interne comme à l’externe ». C’est ainsi malheureusement suite à une attaque que la prise de conscience se fait.

Une attaque subie par l’un de tes clients t’a-t-elle particulièrement marquée ?

Un industriel a fait appel à nos services après avoir perdu l’intégralité de ses sauvegardes et de ses données. La source de l’attaque était une machine exposée sur Internet protégée par des identifiants très faibles ; un attaquant opportuniste a simplement déposé un ransomware qui a chiffré les données. Le bilan est une perte de tous les plans de conception réalisés depuis deux ans. L’entrepreneur a dû embaucher 20 personnes à temps plein pour reproduire ce qui a été perdu : une perte qui s’est chiffrée en millions d’euros.

Quand les PME et TPE sont sensibilisées aux risques cyber, comment s’en prémunissent-elles ?

Elles disposent a minima d’un antivirus et d’un pare-feu. A part cela, nous retrouvons rarement d’autres mesures de sécurité. Il faut savoir que très souvent, les entreprises que nous auditons n’ont pas forcément de service informatique à proprement parler. C’est alors un prestataire qui administre les serveurs, fournit les postes aux utilisateurs et effectue les actions de support.

Au fil des années, as-tu constaté une évolution du niveau de sécurité des PME ?

Les diagnostics sécurité que nous proposons sont surtout conçus pour les entreprises encore néophytes concernant la cybersécurité. Le premier niveau relevé lors de nos missions reste donc très faible car les mesures de sécurité basiques ne sont pas mises en place.

Cependant, je remarque une amélioration au niveau de la stratégie de sauvegarde depuis quelques années : les entreprises suivent l’actualité et commencent notamment à craindre les attaques par ransomwares qui séquestrent leurs données. La prise de conscience se fait sur la sauvegarde des données, avec de la redondance et des sauvegardes croisées entre sites. Ce qui est très positif.

Quelles sont, aujourd’hui, les failles techniques et organisationnelles que tu constates le plus ?

Les failles techniques et organisationnelles retrouvées chez les clients sont souvent les mêmes. Les procédures d’arrivée et de départ des salariés, tout comme celles relatives aux mots de passe manquent. Nous trouvons encore des mots de passe comme « Janvier2019 » ou le nom de la société…

A cela s’ajoutent des pratiques d’administration faibles ; les mots de passe par défaut ne sont pas changés. Aussi, des comptes à fort niveau de privilège sont utilisés pour des tâches qui ne nécessitent que de simples droits d’accès.

En outre, les machines ne sont pas mises à jour. Cela signifie qu’elles sont exposées à des vulnérabilités classiques, faciles à exploiter mais surtout très simples à corriger. Ce qui est bien dommage. Enfin, aucun filtrage n’est effectué au niveau du réseau : il est ainsi possible d’accéder à n’importe quelle machine depuis n’importe quel câble réseau, et ce, sans authentification.

Concrètement, comment se déroule un Cyberdiagnostic ?

Dans un premier temps, nous planifions des entretiens avec les différentes responsables de l’entreprise. Lors de ces échanges, nous abordons un ensemble de questions issues du guide d’hygiène informatique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Cela nous permet de comparer le niveau de sécurité de l’entreprise face aux bonnes pratiques. Cette phase dure en général une journée.

Suite à ces entretiens qui ont déjà permis d’identifier les premières faiblesses, nous entamons les tests techniques. Nous réalisons ce qu’on appelle un « test du stagiaire » : nous nous mettons dans la peau d’un hacker pour s’introduire au sein du réseau de l’entreprise. Ce test s’appelle ainsi car le client ne nous fournit ni compte ni mot de passe. Nous disposons littéralement des mêmes accès qu’un stagiaire qui brancherait son ordinateur personnel sur le réseau de l’entreprise. A titre informatif, lors des différents diagnostics que j’ai réalisés, j’ai souvent réussi à devenir administrateur de l’annuaire de l’entreprise (Active Directory) sans aucune information de la part du client. Et ce, en moins de deux jours.

Enfin, des options complémentaires existent. Il est alors possible de vérifier et tester l’exposition externe du client (adresse IP, applications, serveurs accessibles sur Internet) ainsi que la robustesse du Wi-Fi de l’entreprise.

Quel type d’entreprises font appel à nos services ?

Tout type d’entreprises fait en général appel à nos services pour cette prestation ; cela va de la TPE (15 personnes) à la PME (500-1000 personnes). Nous avons par exemple mené cette mission pour des laboratoires d’analyse médicale, des industriels produisant des pièces usinées, des sociétés de services, des entreprises issues du secteur du luxe ou encore des chaînes de restauration.

Comment les clients en arrivent-ils à demander un diagnostic ?

Plusieurs situations poussent nos clients à faire appel à ce genre de prestation : une attaque informatique ayant abouti à la perte de données pour le client, une nouvelle règlementation en place demandant d’assurer un niveau de sécurité minimum, une attaque subie par des concurrents, le changement de direction ou encore la réorganisation du département informatique. Enfin, la demande de leurs propres clients de fournir un niveau de sécurité minimum est aussi un déclencheur.

Quels conseils donnerais-tu à un dirigeant de PME ou de TPE ?

La question d’aujourd’hui n’est plus de savoir si une entreprise sera attaquée mais quand. La plupart des cyberattaques touchant les PME ne sont pas ciblées, mais sont le résultat de l’opportunisme et du manque de robustesse des solutions mises en place. Se protéger n’est plus une éventualité mais une obligation.

En cas d’attaque, quels sont les premiers gestes à appliquer ?

Nous pensons souvent que le premier réflexe est de débrancher les serveurs et les postes de travail électriquement. Ceci est une erreur. Pour reprendre l’exemple du client industriel ayant subi une attaque par ransomware, cela a été son premier réflexe, et a empêché les experts de récupérer les données chiffrées car la mémoire du serveur s’était vidée.

Mon premier conseil est donc d’isoler les machines infectées du réseau, voire de déconnecter le réseau complètement, puis de faire appel à des spécialistes afin de les aider à trouver d’où vient la faille pour la corriger et restaurer les différents systèmes.

Sur le même sujet

ETI : les menaces les plus redoutées

2 mai 2019

Entreprises et cybersecurité

Michel Van Den Berghe : « Nous devons asseoir notre position de n°1 en Europe et revendiquer notre rôle de Casques bleus du réseau »

7 janvier 2020

Entreprises et cybersecurité

ETI : faire face aux cybermenaces

6 mai 2019

Entreprises et cybersecurité