Comme lutter contre les pirates numériques ?

Édition : Mulhouse/Sud-Alsace - 29 mars 2017

Sachez défendre votre entreprise contre les cyber-pirates !

Dans le cadre du dernier festival Bizz and Buzz (CCI Eurométropole du 7 au 9 mars), Nicolas Arpagian, d’Orange Cyberdéfense, a donné une conférence destinée à informer les chefs d’entreprise sur les risques encourus par une mauvaise protection de leur système informatique. Il en a profité pour expliquer à l’audience le fonctionnement des cyber-pirates, des individus de plus en plus intelligents. Résumé en 6 idées-phare.

1.La protection des données, c’est l’affaire de toutes les entreprises.
Les institutions de la Défense nationale ou les entreprises du CAC40 ne sont de loin pas les seules à être concernées par la défense de leurs données. Toutes les PME devraient faire très attention à la fuite d’informations vers l’extérieur, et doivent également construire des barrières à l’entrée de leur système, car les points de fragilité sont partout. Pour cela, le mieux est de faire appel à un consultant extérieur spécialisé dans la cyberdéfense. Il faut compter selon l’entreprise et la complexité des informations à protéger, un budget annuel de 2 à 10 % du budget informatique global. Et en aucun cas, un stagiaire de passage ne peut assurer une vigilance durable du site, c’est un travail sur la durée car les protections sont vite obsolètes.

2.La protection des données, c’est l’affaire de tous les salariés de l’entreprise
Se protéger des pirates n’est pas uniquement l’affaire du DSI. Tous les salariés doivent acquérir une culture de la gestion de l’identité, quel que soit le support informatique utilisé ou les logiciels employés au quotidien. En effet, c’est souvent par ignorance ou maladresse qu’un salarié ouvre une porte de l’entreprise au pirate, que ce soit via une adresse e-mail, les réseaux sociaux, un téléchargement ou une connexion à un réseau wifi. Et, même – et surtout – lorsqu’il est en déplacement. De nombreuses PME équipent leurs commerciaux ou consultants nomades d’outils spécifiques verrouillés (ordinateur, téléphone mobile ou tablette).

3.Les pirates se livrent à une véritable ingéniérie sociale avant d’attaquer
L’ingéniérie sociale, c’est tout un travail de repérage des points de faiblesse du système informatique d’une entreprise (réseaux sociaux, téléchargements…). Aujourd’hui, on dit aux entreprises qu’elles doivent travailler avec leurs partenaires sur des outils collaboratifs, partager les informations et s’ouvrir sur le monde (réseaux sociaux)… Oui, mais ce faisant, elles multiplient les points d’entrée que les pirates intelligents vont passer du temps à observer via des sous-traitants, fournisseurs… ou salariés.

4.Les pirates ne passent pas forcément à l’action
Concurrents déloyaux, militants qui défendent une cause (par exemple sur la page d’accueil du site de l’entreprise) ou simplement espions industriels à l’affût de données à vendre sur des places de marchés faites pour cela : tous les scénarios sont possibles. Mais le pirate ne cherche pas toujours à détruire le système informatique de l’entreprise : il y entre, recherche des données, des fichiers, des listes, des chiffres ou d’autres informations utiles, et ensuite il s’en va. C’est le « délit de consultation ». L’entreprise piratée ignorer son statut de victime, elle peut aussi héberger un virus “dormant”.

Nicolas Arpagian : approche holistique (inspirée par la pyramide de Maslow)

5.Une approche holistique de la protection des données
Sur le modèle de la pyramide de Maslow, on identifie 4 niveaux pour acquérir une culture de la sécurité. A la base, il s’agit de la protection minimale, via des mots de passe. Au niveau 2, on développe une culture de la protection, soit la gestion l’identité sur tous les supports, et la réglementation des accès selon les salariés. Au niveau 3 on développe une culture de l’attaque, on apprend comment travaillent les pirates. Enfin, au niveau 4, on recherche des moyens de prévention indispensables. En effet, les interventions se font souvent en mode curatif, lorsque le mal est fait (s’il est identifié).

6.Savoir ce qui doit être protégé!
Je protège quoi et à quel niveau ?
La R&D, les produits, les clients ? En effet il est impossible de tout protéger au niveau maximum, à la fois en termes de coûts et de gestion quotidienne. Il va donc falloir sélectionner les bastions à protéger. La valeur de ce qu’une entreprise possède n’est pas toujours là où elle le pense. Par exemple, elle vit de ses brevets, mais même si à ses yeux ses brevets sont précieux, ils sont publics ! C’est parfois à d’autres domaines auxquels on ne pense pas que le pirate va s’intéresser. Entre en ligne la notion d’information monnayable, ou d’autres actifs précieux aux yeux du pirate, à protéger sélectivement.

Béatrice Fauroux d’après conférence Nicolas Apagian

  1. Nombreuses références, ouvrages et contenus sur le site du conférencier : arpagian.eu