Les attaques informatiques
À l’heure où toutes les fonctions des entreprises reposent sur le numérique, bien protéger son système d’information des pirates est essentiel. Aujourd’hui, ni les grandes, ni les petites entreprises ne sont épargnées.
Chaque attaque informatique entraîne une série de conséquences et des pertes financières, qu’elles soient directes ou indirectes : violation de données personnelles ou stratégiques, perte de disponibilité, atteinte à l’intégrité ou à la confidentialité, atteinte à l »image…
Les attaques les plus courantes
Les attaques de sites web :
- Le défacement :
Un défacement désigne la modification non sollicitée de la présentation d’un site web, à la suite du piratage de ce site. Il s’agit donc d’une forme de détournement de site Web par un hacker. En général les hackers s’en servent pour laisser un message. Les défacements sont provoqués par l’utilisation de failles présentes sur une page Web ou tout simplement une faille du système d’exploitation du serveur web. Lorsqu’un site web est défiguré, il doit se mettre hors ligne. Sa maintenance entraîne une perte de temps et d’énergie considérable. L’exemple le plus parlant est la cyberattaque de la chaîne TV5 Monde en avril 2015.
- Le cross-site scripting
Le Cross-site scripting (abrégé XSS), est un type de faille de sécurité des sites web permettant d’injecter du contenu dans une page. Grâce à l’injection, le hacker peut provoquer des actions sur les navigateurs web visitant la page. Les possibilités des XSS sont très larges puisque l’attaquant peut utiliser tous les langages pris en charge par le navigateur (JavaScript, Java, Flash…). Il est par exemple possible de rediriger un visiteur vers un autre site pour du Hameçonnage (fishing).
Les attaques par le réseau informatique :
- Attaque par déni de service (DDoS) :
Le déni de service est une attaque qui vise à rendre une application informatique incapable de répondre aux requêtes de ses utilisateurs. Ce type d’attaque est extrêmement complexe à bloquer, car il est souvent difficile de différencier une vraie requête d’une requête de DDoS. L’attaque par DDoS utilise très souvent une multitude de PC zombies infectés par des backdoors exploités à distance par un pirate et attaquant simultanément une cible unique. En octobre 2016, l’attaque de DynDNS a rendu indisponible plusieurs sites web importants comme Twitter, PayPal et Ebay pendant plus d’une dizaine d’heures sur toute la côte Est des Etats-Unis.
- L’usurpation d’IP :
L’usurpation d’adresse IP est une technique qui consiste à envoyer des paquets IP en utilisant une adresse IP source qui n’a pas été attribuée à l’ordinateur qui les émet. Le but peut être de masquer sa propre identité lors d’une attaque d’un serveur, ou d’usurper en quelque sort l’identité d’un autre équipement du réseau pour bénéficier des services auxquels il a accès.
- Attaque par balayage de port :
Le balayage de port est une technique servant à rechercher les ports ouverts sur un serveur de réseau. Les hackers sont à l’affût des ports ouverts qu’ils peuvent ensuite utiliser comme relais de communication ou comme vecteurs d’infiltration dans votre réseau. Tous port ouvert sur lequel ils parviennent à mettre la main constitue un point d’accès possible pour pénétrer dans votre réseau.
- Attaque de l’homme du milieu :
L’attaque de l’homme du milieu est une attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis.
- Attaque par rebond :
Les attaques par rebond consistent à utiliser un ou des systèmes intermédiaires, participant à leur insu, et permettant à un assaillant de rester caché.
Les attaques de mots de passe :
- Attaque par dictionnaire :
L’attaque par dictionnaire consiste à tester une série de mots de passe potentiels, les uns à la suite des autres, en espérant que le mot de passe utilisé pour le chiffrement soit contenu dans le « dictionnaire ». Si ce n’est pas le cas, l’attaque échouera.
Cette méthode repose sur le fait que de nombreuses personnes utilisent des mots de passe courants. Malgré de multiples sensibilisations, les mots de passe les plus utilisés en 2018 étaient encore « 123456 » et password »….
- Attaque par force brute :
Lors d’une attaque classique par dictionnaire, le pirate choisit une cible et saisit les mots de passe possibles par rapport à ce nom d’utilisateur. A l’inverse, dans une attaque par force brute la stratégie d’attaque démarre par un mot de passe connu et consiste à rechercher parmi des millions de noms d’utilisateur une correspondance.
Les attaques d’applications :
– L’ Exploit :
Un « exploit » est un élément de programme permettant à un individu ou un logiciel malveillant d’exploiter une faille de sécurité informatique dans un système d’exploitation ou dans un logiciel afin de prendre le contrôle d’un ordinateur ou d’un réseau. Ces dernières années, un type de malveillance c’est multiplié en utilisant l’Exploit : les ransomwares. Le ransomware est un logiciel malveillant qui prend en otage les données personnelles des utilisateurs qu’il chiffre puis demande à leur propriétaire d’envoyer de l’argent en échange de la clé de déchiffrement. Les plus connus sont WannaCry et NotPetya.
Les conseils pour anticiper une cyberattaque
1) Cartographier et faire l’inventaire des activités de l’entreprise en lien avec le numérique. Le but est de déterminer la dépendance de l’entreprise aux outils numériques. Plus l’entreprise est connectée à internet, plus elle est vulnérable.
2) Former et sensibiliser ses collaborateurs pour réduire les risques d’une attaque. La CNIL et L’ANSSI mettent à disposition une documentation gratuite accessible aux entreprises. L’organisation de « serious game » reproduisant des simulations d’attaques peut également être un excellent moyen de préparer ses équipes à une cyberattaque.
3) Limiter la propagation en cas d’attaque. Comme pour un incendie, il faut mettre en place une charte d’utilisation des moyens informatiques et placer un filtrage des flux entre chaque service de l’entreprise. Par exemple, les flux informatiques du service RH n’ont pas besoin d’être connectés avec ceux du service exportation. L’objectif étant de cloisonner les activités. Ainsi, si une attaque pirate se produit, sa propagation sera limitée à une seule activité de l’entreprise.
4) Mettre en place des mots de passe forts et uniques. Le conseil peut paraître simple mais c’est une faille courante. A l’image des forts de Vauban, il est important de prévoir plusieurs lignes de défense et de niveaux de sécurité selon la sensibilité des informations à protéger. Il est recommandé de générer un mot de passe fort de manière aléatoire et de le changer régulièrement afin de protéger les informations les plus sensibles. Des solutions de gestion de mots de passe en ligne existent. Cela marche comme un coffre-fort qui stocke les mots de passe de vos sites ou applications (par exemple Keepass).
Un mot de passe sécurisé doit comporter au moins 12 caractères et quatre types de caractères différents : majuscules, minuscules, chiffres, et signes de ponctuation ou caractères spéciaux (€, #…).Vous pouvez tester la sécurité des mots de passe ici.
5) Mettre à jour régulièrement ses équipements.
6) Sauvegarder les données. En effectuant trois copies sur des supports différents, en variant les outils sur lesquels les sauvegardes sont faites. Par exemple, Digiposte ou Mypeopledoc peuvent être des outils de sauvegarde de données sensibles en ligne, comme les fiches de paie ou ses papiers d’identité.
7) Nommer un pilote de la cybersécurité dans son entreprise. À l’image du responsable juridique ou de la communication, une personne responsable de la sécurité informatique dans l’entreprise permet de coordonner les acteurs et de bien réagir en cas d’attaque.
Sachez qu’en moyenne, les attaques ne sont découvertes que plus de trois mois après la survenance. Si vous en subissez-une, un site de déclaration est prévu pour : cybermalveillance.gouv.fr. Si des données personnelles ont été compromises, n’oubliez pas de prévenir la CNIL.