Monaco Technologie

Un expert alerte: "Beaucoup de cyberattaques passent par les e-mails" dans les entreprises

Dans le cadre des Assises de la sécurité à Monaco, Jérôme Saiz, conseiller en protection des entreprises évoque le sujet des PME, pas moins (cyber)attaquées que les grosses sociétés.

Article réservé aux abonnés
Thibaut Parat Publié le 15/10/2018 à 09:15, mis à jour le 15/10/2018 à 08:33
Image d'illustration Photo Frantz Bouton

La cybersécurité des petites et moyennes entreprises est souvent un sujet oublié. Délaissé par leurs dirigeants. Beaucoup pensent, à tort, qu’elles sont trop petites, inintéressantes donc, pour être la cible d’une cyberattaque. Pourtant, chaque année, des milliers de PME font l’objet d’offensives destructrices, les contraignant parfois à baisser le rideau métallique.

Souvent par des Rançongiciel qui subtilisent des données et ne les redonnent que moyennant de l’argent. À moins qu’elles soient revendues sur le dark web. Jérôme Saiz, conseil en protection des entreprises pour Opfor Intelligence et présent aux Assises de la sécurité à Monaco, livre son analyse sur le sujet.

les e-mails, vecteur de cyberattaques


"Toutes les entreprises sont vulnérables. Là où on va voir la différence, c’est sur l’impact financier. Il peut être dévastateur pour elles et en contraindre certaines à mettre la clef sous la porte. Les grandes entreprises le sentent moins souvent dans la trésorerie. Des chiffres prouvent que les petites entreprises sont un peu plus victimes du fléau absolu: les e-mails frauduleux. Beaucoup d’attaques passent par là."

l'escroquerie, le mobile essentiel des cyberattaques

"L’essentiel va être des escroqueries: fraudes au président, fraudes aux fournisseurs avec un objectif clair: vider la trésorerie tout en passant en dessous du radar de la banque. Tout cela à partir de mails piratés. Le mail est vecteur de cyberattaques, il est vraiment le point focal des escroqueries et des pertes financières. Ensuite, il y a les Rançongiciel (prise en otage des données contre une somme d’argent, N.D.L.R.). Les petites entreprises sont excessivement touchées, car elles ont généralement un réseau qui est complètement à plat."

>>RELIRE. "La cybersécurité n'est pas du tout ancrée chez les fabricants" d'objets connectés.

le manque de culture de la cybersécurité

"Il en manque, bien sûr. D’une part parce que les petites entreprises ont généralement la tête dans le guidon. Il faut travailler, produire, facturer. L’important, c’est de répondre aux clients pas de prendre le recul et de penser à sa cybersécurité. C’est secondaire. Ensuite, il y a un manque de compétences. La cybersécurité n’est pourtant pas très compliquée dans les premiers éléments à mettre en place: beaucoup de bon sens et un peu de culture informatique. On fait beaucoup de sensibilisation, on développe des jeux pour les salariés car cela les marque plus.On les met en situation de crise. Dans les grands groupes, il y a des posters sur les murs pour parler des dangers, sensibiliser aux bons gestes."

les conseils pour se protéger son entreprise des cyberattaques

"D’abord, il faut convaincre le dirigeant ou le fondateur de la société que la cybersécurité est importante. On met en place un premier audit flash, peu coûteux, qui permet à un œil expert de balayer les difficultés dans la société. C’est un audit des mauvaises habitudes. Quel est le niveau de l’informatique? Est-ce que tous les postes de travail sont à jour et protégés? Est-ce qu’on peut avoir accès au réseau n’importe où? Est-ce que leurs salariés laissent leur session ouverte le temps du midi? En ne verrouillant pas les écrans, on peut télécharger un logiciel malveillant conçu sur mesure, a priori pas détectable par les antivirus, l’installer, et prendre ensuite le contrôle du réseau. 

On regarde si les e-mails sont protégés, on voit les problématiques d’accès au bureau. Bien souvent, il n’y a pas de formation du personnel à la notion d’accueil et d’accompagnement. Une entreprise peut avoir la meilleure cybersécurité du monde et laisser entrer quelqu’un qui va brancher un ordinateur sur une prise réseau.

Lors d’un audit dans un cabinet qui avait élevé son niveau de sécurité, une intrusion physique a permis, en vingt minutes, d’intercepter toutes les communications téléphoniques du cabinet, y compris celle du fondateur. C’est de l’éducation. Il faut créer des badges différents pour les employés et les visiteurs, inscrire les visites à l’accueil, qu’une personne soit garante des allées et venues. Après, si on veut aller au plus rapide et au moins cher, on met tout à jour, on segmente le réseau.

Le wifi qu’on offre aux invités ne doit pas être le même que les employés. On investit pour une protection des e-mails, à raison de 40 euros par salarié et par an."

une cybersécurité qui ne coûte pas si cher

"Sur un audit d’une semaine qui va coûter moins de 10.000 euros, on va avoir de vraies et solides préconisations qui vont élever le niveau de sécurité. Et éviter une cyberattaque qui pourrait coûter bien plus cher…"

“Rhôooooooooo!”

Vous utilisez un AdBlock?! :)

Vous pouvez le désactiver juste pour ce site parce que la pub permet à la presse de vivre.

Et nous, on s'engage à réduire les formats publicitaires ressentis comme intrusifs.

Je veux bien mais j'ai la freebox
Monaco-Matin

Un cookie pour nous soutenir

J'accepte les cookies

Nous avons besoin de vos cookies pour vous offrir une expérience de lecture optimale et vous proposer des publicités personnalisées.

Accepter les cookies, c’est permettre grâce aux revenus complémentaires de soutenir le travail de nos 180 journalistes qui veillent au quotidien à vous offrir une information de qualité et diversifiée. Ainsi, vous pourrez accéder librement au site.

Vous pouvez choisir de refuser les cookies en vous connectant ou en vous abonnant.

Je m'abonne
J'accepte les cookies
Je me connecte/je crée un compte

Merci de la part de toute notre rédaction 🙏

Je m'abonne
J'accepte les cookies
Je me connecte/je crée un compte