Piratage d’entreprises : une explosion pendant le confinement.

Une augmentation drastique du piratage d’entreprises pendant le confinement

Covid-19 : le nouveau sujet privilégié des hackers

Le piratage d’entreprises et les cyber-attaques augmentent tous les ans, à mesure que sommes de plus en plus connectés. En 2019, près de 600 milliards de dollars – 1% du PIB mondial ! – ont été détournés via des attaques informatiques. Mais ce phénomène s’est amplifié de manière drastique pendant le confinement. Avec une concentration massive de celles-ci sur le thème de coronavirus.

Les cyber-attaques ayant pour thème le Covid-19 sont passées de 1 200 à 380 000 entre janvier et avril 2020. Une augmentation de plus de 30 000 % en l’espace de quelques mois ! Cette augmentation exponentielle est due au fait que les hackers ont flairé la bonne opportunité, et redirigé leurs attaques sur le coronavirus.

Quoi de plus efficace en effet que de jouer sur la corde sensible d’un virus qui inquiète la population ? Et qui, en généralisant le télétravail, nous expose à davantage de risques ?

Des entreprises passées au télétravail en un temps record

Le travail à distance se développe depuis quelques années, mais de nombreuses entreprises n’avaient pas encore franchi le pas. Certaines l’envisagaient, mais pas immédiatement, ni aussi massivement. D’autres ne l’envisagaient pas, en raison d’un manque d’équipements ou par peur d’une perte de productivité.

La majorité des dirigeants se disaient prêts à basculer rapidement vers le télétravail en confinement. Mais certains se sont sentis dépourvus face aux problématiques de sécurité informatique que cela implique.

Les entreprises ont dû faire le maximum pour permettre aux salariés de poursuivre l’activité. Priorité au business ! Mais ça n’est pas sans poser problème à plus long terme… Ces adaptations à marche forcée exposent naturellement à davantage de failles de sécurité.

Quels sont les types de piratage les plus courants en entreprise ?

Les types de piratages à connaître en entreprise

Les cyber-attaques exploitent tout autant les failles informatiques de nos systèmes que celles psychologiques des salariés. La plupart des attaques proviennent de « Botnet », des serveurs pirates qui se comportent comme des robots. Ils automatisent certaines tâches, comme l’envoi massif d’e-mails corrompus à des centaines de milliers d’adresses.

Voici une liste non exhaustive des principaux types de cyber-attaques :

• faux sites ;
• hameçonnage (phishing en anglais) ;
• logiciels malveillants (malware)
• vol de données ;
• rançongiciel (ransomware) ;
• arnaque au président ;
• attaque par déni de service (DDOS) ;
• etc.

L’entreprise Verizon estime que 67 % des piratages proviennent de vol d’identifiants, d’erreurs humaines ou d’attaques par ingénierie sociale. L’ingénierie sociale (social engineering en anglais) exploite les interactions sociales pour obtenir des informations sensibles sans même que la victime ne réalise son erreur. Le phishing en est l’exemple le plus courant, et les conséquences peuvent être dramatiques.

En Australie, des hackers ont ainsi réussi à détourner 8,7 millions de dollars d’un fonds d’investissements grâce à une fausse invitation Zoom. En cliquant sur le lien corrompu, l’un des co-fondateurs a permis aux hackers de pénéter dans le système de l’entreprise. Ceux-ci ont alors pu envoyer des e-mails depuis les adresses officielles de l’entreprise. Et ont pu demander à des comptables d’effectuer des virements, avec succès !

Autre exemple : une simple image publiée sur Twitter a permis à un journaliste néerlandais d’accéder à une réunion en ligne confidientielle d’un Conseil de Défense de l’Union européenne !

Des cyber-attaques en entreprise axées sur le coronavirus

L’humain est malheureusement la première faille de nos systèmes informatiques. En effet, ce sont souvent les salariés qui font entrer le loup dans la bergerie ! Principalement par manque de vigilance. Le lieu du crime est alors la boîte de réception : faux e-mails, logiciels malveillants cachés dans une pièce-jointe…

Pendant ce confinement, de très nombreux e-mails corrompus exploitaient le thème du coronavirus. Cartes interactives sur la progression de l’épidémie, recommandations sanitaires, appels aux dons pour les soignants, bons plans d’achats de masques, publicités pour des produits qui permettraient de se protéger du virus… L’imagination des pirates informatiques n’a pas de limite !

Les hackers jouent sur notre sensibilité et notre fragilité. Et le problème est que nous faisons preuve de moins de vigilance en cette période ! La surabondance de fake news accentue ce phénomène, et l’on ne sait pas toujours à quelle information se fier.

Les nouveaux sites e-commerce d’entreprises : un terrain de jeu rêvé pour les pirates informatiques

En raison du confinement, de nombreux commerces dits « non-essentiels » ont dû fermer. Certains ont alors décidé de lancer un site de e-commerce pour poursuivre leur activité. Le but est évident : limiter la perte de chiffre d’affaires pour sauvegarder son business. Cela passe le plus souvent par le click & collect ou la livraison à domicile.

Ces sites ont malheureusement été construits dans l’urgence, et sont parfois non-sécurisés. Ils représentent une proie facile pour les pirates. Ceux-ci peuvent par exemple récupérer les informations bancaires des clients au moment de la validation du panier.

Comment protéger efficacement son entreprise et son activité contre ces cyber-menaces ?

La sensibilisation des salariés comme premier rempart aux piratages en entreprise

Le premier point faible de nos systèmes reste… la personne qui tient la souris ! En effet, l’enquête de Verizon affirme qu’un piratage sur cinq est la conséquence d’une erreur humaine. Pourtant, 52 % des salariés n’ont pas été formés aux cyber-menaces avant ou pendant le confinement !

Il est très simple pour un hacker de glisser un logiciel malveillant dans une pièce-jointe. Et de compter sur nous pour télécharger, sans nous rendre compte du danger ! Le risque étant renforcé par l’utilisation de son matériel personnel pour travailler.

La formation des salariés aux cyber-réflexes est donc essentielle. De grandes entreprises ont déjà mis en place une formation en ligne offrant un certificat. Celui-ci doit être passé chaque année pour que le salarié reste vigilant. Malheureusement une seule erreur peut mettre en péril les données de toute l’entreprise.

La protection des données de l’entreprise comme priorité

L’erreur étant humaine, la sensibilisation des salariés ne suffit pas. Les moyens technologiques sont donc essentiels pour protéger correctement les données de l’entreprise. Depuis 2018, la RGPD oblige également à prendre des mesures de sécurisation des données, notamment concernant la vie privée des utilisateurs. Cela constitue un premier niveau de protection.

Le recensement est également nécessaire pour localiser les données. Cela permet d’évaluer leur niveau de sensibilité, et de mettre en place une politique adaptée. La sauvegarde, le cryptage des données ou l’authentification à facteurs multiples sont des solutions.

La supervision des téléphones et des ordinateurs des salariés permet également de détruire les données à distance. C’est un moyen efficace de se protéger en cas de perte ou de vol de matériel. Malheureusement, les petites entreprises n’ont pas toujours les moyens de prendre ces mesures.

Une solution simple et efficace pour protéger son activité : l’assurance cyber-risques

Piratage : l’assurance comme réflexe à adopter pour toute société

Certaines entreprises doivent former leurs salariés aux gestes de sécurité au travail. Elles mettent parfois en place des formations aux premiers secours. Mais ces bonnes pratiques n’empêchent pas de souscrire une assurance responsabilité civile professionnelle pour se protéger ! Il y a de nombreuses différences notables entre la rcp et l'assurance cyber-sécurité.

Il en va de même pour les cyber-risques : les mesures techniques ou de sensibilisation en amont ne suffisent pas. Nulle entreprise n’est à l’abri d’un problème, dont les conséquences peuvent être dramatiques. Souscrire une assurance cyber-risques est alors un réflexe essentiel à adopter. Elle ne doit pas être vue comme une option exotique. Il s’agit d’une mesure de protection complémentaire de toutes celles prises en amont.

Les assurances cyber-risques ont l’avantage de protéger financièrement l’entreprise en cas d’attaque. Elles couvrent les frais de remplacement du matériel, de récupération ou de réparation des données, et de réorganisation des systèmes. Cela couvre également les risques d’e-réputation qui peuvent gravement nuire au business. La confiance des utilisateurs et des investisseurs est en effet essentielle pour la bonne santé de l’entreprise.

L’assurance cyber-risques à la portée de tous

Aujourd’hui, vous pouvez souscrire une assurance piratage en 3 minutes ! Les formations des salariés ou les mesures techniques ne sont pas à la portée de toutes les entreprises. Mais l’assurance cyber-risque est, elle, désormais accessible à tous : indépendants, auto-entrepreneurs, startups, TPE-PME…

Tout comme une RC Pro ou une assurance bureau sont incontournables pour les entreprises, l’assurance cyber-risques devrait l’être tout autant. En effet, le confinement nous montre à quel point nos entreprises sont les proies des pirates informatiques.

Il ne faut pas croire que le déconfinement et la fin de l’épidémie mettront fin à ces cyber-menaces. Les experts estiment que de nombreux malwares ont infecté silencieusement les ordinateurs des salariés. Ces logiciels malveillants attendent le bon moment, le retour au bureau, pour infecter l’ensemble du système informatique de l’entreprise. Ainsi, nous sommes peut-être à l’aube d’une autre seconde vague : celle des attaques informatiques !

L’essentiel à retenir sur le piratage des entreprises en confinement :

Tout comme nous avons adopté les gestes barrières contre le Covid-19, nous devrions adopter les gestes anti cyber-risques en entreprise ! Nulle société n’est à l’abri d’une cyber-attaque, et l’avènement du télétravail va entraîner une augmentation de cette menace. C’est pour cela qu’une assurance professionnelle est nécessaire pour compléter efficacement sa protection.

En plus de ces nouveaux réflexes de précaution, souscrire une assurance cyber-risques est un moyen sûr et efficace de se protéger en cas de problème. En effet, les conséquences financières ou de e-réputation peuvent être dramatiques. Il serait dommage de se priver d’une couverture efficace vous permettant de vous concentrer sereinement sur votre activité !