Vendredi soir : c’est l’heure d’appeler ses amis et de profiter du week-end en famille. Mais pas le 12 mai. Ce soir-là, le rançongiciel WannaCry a infecté et paralysé des milliers d’ordinateurs dans plus de 150 pays. De nombreux experts en informatique et en sécurité ont dû travailler toute la nuit pour restaurer leurs systèmes et pouvoir à nouveau assurer un fonctionnement normal des entités touchées.
En Suisse, quelque 200 adresses IP étaient concernées. Parmi elles, il n’y avait, heureusement, aucun hôpital. Car cela aurait pu avoir des conséquences désastreuses dans notre pays. D’après la Centrale d’Enregistrement et d’Analyse pour la sûreté de l’Information (MELANI), la sensibilisation répandue quant aux cybermenaces en Suisse pourrait constituer une des raisons pour lesquelles nous avons été relativement épargnés par l’attaque. Dans certains autres pays, l’information sur les dangers et la cybercriminalité serait moins fréquente. Mais cela ne signifie pas qu’il n’y a pas beaucoup de choses à implémenter en Suisse aussi.
WannaCry est la plus grande attaque de rançongiciel de l’histoire
Elle a initié une discussion sur la cybersécurité dans le monde entier. Même les personnes moins expérimentées niveau technique veulent maintenant savoir ce qu’est un rançongiciel et comment s’en protéger.
Mais WannaCry est seulement le dernier exemple en date et le plus répandu aujourd’hui. En Europe, y compris en Suisse, les cyberattaques sophistiquées et réalisées de manière professionnelle font partie du quotidien depuis un certain temps déjà.
C’est la raison pour laquelle la cybersécurité figure en tête de la liste des priorités de toutes les organisations. Car les clients, qu’ils soient professionnels ou particuliers, attendent des normes de sécurité sévères et exigent des solutions satisfaisantes. Les entreprises qui ne seront pas en mesure de répondre à ses attentes plus exigeantes verront leur activité régresser. C’est très clairement que nous observons cette tendance en Suisse.
Cela peut paraître extrême, mais c’est déjà une réalité : d’après le Cisco Annual Cybersecurity Report 2017, 22 % des entreprises ont déjà perdu des clients et 29 % des entreprises ont déjà subi des pertes de profits à cause des mesures de sécurité IT insuffisantes. Et de nombreuses entreprises ne sont même pas en mesure de quantifier les effets des violations de la sécurité sur Internet sur leurs activités.
Quelles sont les conséquences des attaques ransomware pour les entreprises?
Même si une cyberattaque ne provoque pas de perte de données, une brève interruption des affaires suffit pour réduire le chiffre d’affaires et nuire à l’image de l’entreprise. Les conséquences d’un arrêt des systèmes critiques de plusieurs heures voir plusieurs jours sont à peine imaginables. Le Cisco Annual Cybersecurity Report 2017 a établi que 93 % des entreprises ont déjà été victimes d’une telle interruption de leurs activités et que, pour un tiers d’entre elles, l’arrêt a duré plus de neuf heures.
Le côté positif de la chose, c’est que plus de cadres supérieurs sont maintenant attentifs aux sujets touchant à la cybersécurité. Ils ne veulent perdre ni client ni argent. Malgré le regain d’intérêt pour le sujet, 41 % des entreprises n’investissent toujours pas dans les dernières normes de sécurité.
Toutefois, cela ne signifie pas qu’elles ne souhaitent pas investir. 35 % des entreprises n’ont pas le budget nécessaire pour pouvoir s’offrir les dernières technologies en matière de sécurité. Heureusement, une entreprise peut déjà faire énormément de choses pour améliorer sa sécurité sans augmenter son budget ou son personnel.
Comment aurions-nous pu se protéger avant la cyberattaque et comment se protéger à l’avenir?
L’attaque par WannaCry, par exemple, aurait pu être évitée avec un simple correctif gratuit. Ce dernier renferme la faille de Microsoft Windows qui a été exploitée. Et il était déjà disponible deux mois avant l’attaque.
Je sais ce que vous pensez : à cause du manque de personnel informatique, les entreprises ne peuvent pas s’attaquer à toutes les failles de sécurité. C’est probablement aussi la raison pour laquelle 56 % des avertissements légitimes en matière de sécurité ne sont pas traités. Les entreprises doivent accorder la priorité à la résolution des problèmes urgents, même si cela provoque des retards dans les travaux de maintenance, comme, par exemple, dans la mise à jour de systèmes. Mais ça, ce n’est que le début et une partie du problème.
Un autre aspect important est la manière dont les entreprises achètent leurs solutions de sécurité : 61 % d’entre elles achètent des produits de sécurité sur la base de projets, pour résoudre un problème ponctuel ou pour des raisons de mise en conformité. Ce faisant, elles ne prennent pas en considération les effets à long terme de leur achat, notamment une plus grande complexité du système et une augmentation des frais de maintenance.
Avec le temps, ces achats non structurés mènent à des infrastructures complexes dont la maintenance est coûteuse en temps et en argent.
Les entreprises ont alors besoin de plus de personnel et de plus de moyens de financement, un véritable cercle vicieux.
Lors de l’achat de solutions de sécurité, les entreprises doivent avoir une approche architecturale et se concentrer sur l’amélioration des processus. Elles devraient respirer profondément, agir de manière réfléchie et abandonner le principe de la résolution des problèmes urgents. Il faut comparer les effets à long terme des différentes solutions de sécurité, afin de pouvoir choisir la solution la plus simple et qui s’intégrera le mieux. Une stratégie réfléchie en matière de sécurité améliore l’efficacité des l’entreprises.
Mais les entreprises ne doivent pas faire cela par leurs propres moyens. Il existe de nombreuses possibilités bon marché pour décharger le personnel, afin de lui permettre de se concentrer sur les problèmes critiques pour l’entreprise. Parmi celles-ci, citons l’externalisation partielle de la sécurité informatique ou l’utilisation de solutions de sécurité basées sur le cloud. Bien que ces possibilités soient déjà exploitées par certaines entreprises en Suisse, elles sont encore bien trop peu répandues.
Mettre en place une stratégie de cybersécurité n’est pas une mince affaire et ne se fait pas du jour au lendemain, mais toute entreprise a aujourd’hui besoin d’une telle stratégie pour pouvoir mener ses activités à bien. Et pas seulement parce que ses clients surveillent sa cybersécurité et s’en inspirent.
A quoi ressemble une cyberattaque?
Pour plus d’informations sur la cybersécurité, lisez le rapport Cisco 2017 Annual Cybersecurity Report.