Les PME en relation avec les grands comptes davantage vulnérables aux cyberattaques - Dmoz.fr | Actualité insolite
Aller au contenu

Les PME en relation avec les grands comptes davantage vulnérables aux cyberattaques

On est parfois surpris d’entendre que de grands groupes sont lourdement touchés par des cyberattaques. Plusieurs causes peuvent expliquer la réussite de telles cyber-attaques portées contre les grandes entreprises.

Une grande entreprise est vulnérable car son Système d’Information est vaste et complexe, les points d’interconnections sont nombreux, les applications métiers sont variées, les outils bureautiques transverses sont largement utilisés, les utilisateurs du S.I. sont pléthoriques et ils n’ont pas tous le même niveau de sensibilisation. En substance, plus le périmètre à protéger est étendu et compliqué, plus il est difficile de le défendre.

Des outils de protection existent pour faire face à un grand nombre de menaces, mais ils nécessitent évidemment d’être déployés de manière cohérente, utilisés par des personnels qualifiés, et régulièrement mis à jour pour répondre à l’évolution des menaces.

Quant aux « cyber-pirates », ils s’intéressent évidemment de près aux grandes entreprises, puisque les perspectives de gain sont plus fortes pour eux. Dans la mesure où ces cibles sont aussi mieux protégées que la moyenne, les cyber-attaques réussies sont souvent le fait de cybercriminels plus doués que la moyenne. Il ne faut donc pas se voiler la face, les organisations cybercriminelles sont de mieux en mieux structurées, leurs membres sont de plus en plus professionnels, et le fait de ne pas se faire distancer par eux représente un vrai défi pour les fournisseurs de solutions de cyber-sécurité.

Par ricochet, ces attaques touchent des milliers de sociétés dont certaines passent plus d'une semaine à récupérer des données clients, ce qui représente un préjudice certain.

C’est pourquoi, d’une manière générale, les TPE/PME doivent commencer par prendre conscience des risques qui pèsent aussi sur elles. Elles subissent sans doute moins de tentatives d’attaques directes que les grands groupes, car elles suscitent moins la convoitise des cyber-pirates, mais les tentatives dirigées contre elles réussissent plus souvent, et les conséquences sont souvent plus graves … voire définitives.

Elles doivent donc faire comme les grandes entreprises pour se protéger : non seulement utiliser des outils adaptés, mais également mettre en place une véritable organisation de protection cyber. Certes, elles manquent souvent de moyens financiers et humains pour cela, mais elles peuvent faire appel à des fournisseurs de services de sécurité managés (« mode SaaS »). Dans ce contexte, un des challenges à relever par les offreurs de solutions sera probablement de s’appuyer sur des technologies innovantes pour diminuer le coût de revient de la neutralisation des attaques, et de répercuter cette économie de moyens pour offrir aux clients TPE/PME des solutions à des prix « raisonnables », et surtout abordable pour eux. C’est tout à fait possible, même pour neutraliser les attaques les plus complexes, comme les attaques par Déni de Service.

Les sous-traitants de grands groupes sont particulièrement exposés aux risques si leur SI est interconnecté avec celui de leurs clients, car ils représentent souvent le « défaut de la cuirasse ». Ils peuvent alors, soit être attaqués via le SI de leurs clients, soit être le point d’entrée d’une attaque ciblant ces derniers (et voir ainsi leur responsabilité engagée).

C’est le cas par exemple, face à un DDoS venant d’un client « Grand Compte » : comme il s’agit d’un DDoS « intelligent », il est suffisamment discret pour ne pas être détecté par le Grand Compte, mais il est suffisant pour neutraliser sa cible. Seule une solution adaptée pourra donc le détecter et le neutraliser ; une solution focalisée sur le DDoS volumétrique sera inefficace.

Pour faire face à cette menace, il semble raisonnable de penser que les grands donneurs d’ordre demandent à leurs fournisseurs de garantir un certain niveau de sécurité par la mise en place de dispositifs et de procédures adaptés.

Pour autant, imposer certains standards semble contreproductif et inutile. Contreproductif car les petits fournisseurs n’auront pas la capacité à respecter de telles contraintes, surtout s’ils ont plusieurs grands clients ayant tous des exigences différentes. Inutile parce que certains outils de protection sont aussi efficaces en milieu hétérogène que sur un parc uniforme. Voire même dangereux, car dans certains cas, un parc homogène favorisera la propagation d’une attaque exploitant certaines failles matérielles ou logicielles.

Enfin, la faille humaine est souvent en cause lors d'une attaque. Le facteur humain est souvent utilisé par les cybercriminels, qui espèrent pouvoir exploiter la naïveté ou la méconnaissance de leurs interlocuteurs. A contrario, l’opérateur humain, sensibilisé aux risques et bien formé à l’utilisation des outils de protection, apporte souvent l’intelligence et la capacité d’interprétation qui permettent de renforcer la chaine de sécurité. A condition, bien sûr, que les outils de surveillance et de réaction aux attaques lui apportent une bonne visibilité et une aide à la décision efficace.

Il y a donc un enjeu fort à former les utilisateurs, « maillon faible » de la chaîne de sécurité, pour les transformer en « maillon fort ».

Des programmes de formation existent, et l’offre en la matière se développe. Ces formations sont malheureusement encore souvent dédiées à des « spécialistes », plus ou moins déjà conscients des risques et avertis sur les questions de cyber-sécurité. Elles sont ainsi plus profitables aux grandes entreprises ayant les moyens de mettre en place une équipe dédiée à la Sécurité des Systèmes d’Information. Il semble donc important de pouvoir développer l’offre en matière de sensibilisation aux risques, à destination d’une équipe de direction d’une PME par exemple. Et ceci est encore plus vrai en région, car il faut développer l’offre « au plus près » des entreprises, le dirigeant d’une TPE/PME régionale ne peut pas forcément se déplacer pour suivre une formation.

Cela permettra d’améliorer la maturité des TPE/PME en la matière, car celles-ci n’ont bien souvent pas conscience des risques qu’elles courent. La situation s’améliore dans ce domaine, mais les progrès sont plus lents que ceux accomplis par les cybercriminels, il faut donc accélérer ce processus de sensibilisation.

-