Bien se protéger pour ne pas devenir une cible !
- juin 2024
- Numéro : 587
- Thématique(s) : cybersécurité, data et systèmes d'information
Les entreprises sont de plus en plus victimes d’actes malveillants ayant pour but de récupérer des données ou d’obtenir des rançons. L’ANSSI 1 dénombre 330 000 attaques réussies contre les PME au cours de l’année 2023. La cybersécurité est un enjeu de taille pour les cabinets d’expertise comptable qui ne sont pas épargnés, compte tenu des informations dont ils disposent. Quels sont, au quotidien, les gestes et les habitudes pour se protéger ?
Un moment d’inattention, un instant de fatigue… Et l’on clique sur ce lien que l’on ne devait pas suivre. Plus aucun fichier n’est utilisable. Tous les fichiers, tant sur le poste de travail que sur le réseau, sont cryptés et l’on découvre une demande de rançon. Le cabinet est victime d’un rançongiciel !
L’essor de l’ingénierie sociale
Les attaques exploitent de plus en plus l’ingénierie sociale, cette capacité à nous piéger pour nous faire ouvrir la porte. Il devient de plus en plus simple de s’attaquer aux forteresses technologiques constituées de pare-feu et autres composants d’infrastructure toujours plus sophistiqués que nous mettons entre notre cabinet et Internet. Nous avons beau savoir qu’il faut être prudent, il y a toujours un moment où le piège fonctionne… Que ce soit en analysant notre vie sur les réseaux sociaux, ou en tentant un hameçonnage via des courriels qui, grâce à l’intelligence artificielle, sont de plus en plus crédibles et bien réalisés.
L’oubli d’une mise à jour est également une vulnérabilité facilement exploitable. Le darknet, cet espace de non-droit virtuel, dispose d’outils permettant d’identifier les systèmes qui ne sont pas mis à jour et qui exposent une faille de sécurité exploitable très facilement. Il n’y a plus besoin d’être un hacker chevronné, les plus talentueux ont compris le modèle économique de scalabilité et se sont mis à vendre des kits clé en main permettant d’exploiter cette faille.
L’hameçonnage pour clé d’entrée
Quelle que soit la façon d’entrer, une fois la porte ouverte, les pirates déposent un logiciel qui aura la particularité d’être léger et de se propager très rapidement. Certains seront plus patients que d’autres et se cacheront dans le système pour contaminer les sauvegardes. Parfois pendant plusieurs mois avant de se révéler.Puis viendra l’étape du déclenchement : tout crypter et lancer une demande de rançon. Des demandes parfois alignées sur la police d’assurance du cabinet récupérée sur un espace interne insuffisamment sécurisé.
Du fait de l’envoi de courriels de phishing en masse et de moteurs de recherche de failles non mis à jour, les pirates sont avant tout à la recherche d’opportunités plus que de cibles précises dans une grande majorité de cas. Alors, comment protéger son cabinet, comment ne pas devenir la prochaine opportunité ?
Limiter la vulnérabilité technique
Pour installer un rançongiciel, le pirate doit pénétrer le système d’information du cabinet. Il est donc important de sécuriser son exposition sur Internet. L’infrastructure du cabinet doit être réalisée par un professionnel, avec l’installation d’un pare-feu, mais également une sécurisation des prises internes du cabinet. Est-il imaginable que n’importe quel ordinateur puisse se brancher sur le réseau du cabinet et y naviguer sans problème ?
Nous avons tous le réflexe de protéger l’intrusion extérieure avec un pare-feu, mais il faut aussi penser aux personnes de passage au sein du cabinet qui peuvent prendre place dans une salle et brancher un câble sur une prise réseau. L’acte de départ peut ne pas être malveillant, il s’agit d’un client qui veut juste se connecter à Internet mais qui utilise un ordinateur sans antivirus, par exemple.
Un spécialiste de sécurité vous parlera probablement de réseaux isolés, les fameux vlan 2. Cette technique permet de créer des autoroutes étanches pour isoler des usages différents du réseau informatique du cabinet, comme pour la téléphonie.
Sécuriser le Wi-Fi
La mise en place du Wi-Fi au sein du cabinet doit également être sécurisée. Il est d’ailleurs incontournable de proposer un Wi-Fi aux visiteurs. Ce dernier ne peut être le même que celui des équipes et ne doit pas donner accès aux serveurs du cabinet. Si l’installation par un professionnel est trop lourde, il peut être envisagé de prendre un second abonnement fibre avec une « box » Wi-Fi dédiée aux appareils personnels des équipes et aux visiteurs.
Ces techniques d’infrastructure ont pour objectif de ne permettre qu’aux appareils gérés par le cabinet de se connecter entre eux, car ces derniers sont sécurisés par la politique du cabinet.
L’utilisation d’un antivirus sur chaque poste, sur chaque serveur, est indispensable. S’il n’est pas une garantie contre les rançongiciels, il reste une protection essentielle. L’état de l’art ne cesse de progresser dans cette matière et les derniers antivirus « intelligents » apportent une sécurité renforcée.
La mise à jour de tous les systèmes d’information
« Dis darknet, quel est le serveur sur Internet qui a une faille facile à exploiter ? » Ce n’est malheureusement pas une fiction : il existe un annuaire mis à jour régulièrement des appareils connectés à Internet comme des serveurs, des NAS ou autres solutions qui ne sont pas à jour et qui sont vulnérables à une faille de sécurité.
Il est donc primordial de mettre en place une politique de gestion des mises à jour. Cette politique doit s’appliquer à tous les systèmes, certes les serveurs, les ordinateurs, les smartphones, mais aussi les composants techniques de votre réseau toujours plus complexes (boîtier Wi-Fi par exemple).
Garder un serveur ou un ordinateur avec un système d’exploitation comme Windows qui n’est plus maintenu, c’est utiliser un système avec une faille technique qui ne sera pas corrigée et qui pourra donc être exploitée à tout moment.
L’équipe comme premier rempart
L’ingénierie sociale est aujourd’hui la technique la plus utilisée. Que ce soit via le phishing, en analysant les réseaux sociaux, en collectant des informations sur des sites déjà piratés, il existe mille et une façons de collecter des informations pour mieux pratiquer l’hameçonnage. Pourtant, une équipe sensibilisée et formée constitue le premier rempart contre ces techniques.
On n’est jamais mieux préparé que lorsque l’on s’est fait piéger. La sensibilisation, la formation des équipes, sont essentielles à la protection du cabinet. Il existe de nombreux outils qui permettent de sensibiliser, de tester et de former au phishing en organisant de faux tests. Les participants sont testés, et en cas d’échec il leur est proposé de revoir et de comprendre ce qui s’est passé. Ces outils proposent également que chacun joue le rôle de vigie et signale toute tentative d’hameçonnage. Le courriel est alors partagé au sein de l’équipe pour l’informer. C’est une protection collective.
Par ailleurs, une équipe sensibilisée et formée pourra à son tour sensibiliser les clients du cabinet. Sans se transformer en expert en cybersécurité, les équipes peuvent informer les clients TPE et PME qui n’ont pas conscience des risques. Leur rôle de proximité et d’accompagnement sera encore plus fort.
La gestion des mots de passe
La gestion des mots de passe est un véritable enjeu au sein des cabinets. Il y a en premier lieu les mots de passe des équipes. Un mot de passe doit faire entre 12 et 16 caractères et mélanger des lettres, des chiffres, des majuscules, des minuscules, des caractères spéciaux. Sinon il sera craqué en quelques millisecondes ou quelques minutes. Par ailleurs, un mot de passe doit être unique, il ne doit pas être utilisé sur plus d’un site Internet ou d’une application. En plus de cette contrainte, nous disposons de mots de passe de certains clients, car nous utilisons leurs accès.
Il est en somme impossible de tout retenir. Écrire son mot de passe sur un Post-it ou dans un carnet, même rangé au fond d’un tiroir, c’est laisser ses clés sur la porte. Nous pouvons aussi être tentés de garder les mots de passe sur une note informatique ou dans un fichier. Là encore, c’est s’exposer au risque qu’ils soient compromis.
L’utilisation d’un gestionnaire de mots de passe permet de générer des mots de passe aléatoires et forts, et de les conserver en toute sécurité. Certains permettront également de les partager au sein de l’équipe, voire, pour certains profils, de les utiliser sans les dévoiler. Ainsi, il est possible de donner accès à un stagiaire sans révéler le mot de passe pour un usage temporaire.
Cet outil peut alors devenir une solution de simplification, génératrice de gain de productivité en plus de renforcer la sécurité des usages.
La double authentification
Quelle que soit la robustesse d’un mot de passe, l’attention portée aux phishings, en cas de mot de passe compromis, la double authentification est une solution robuste de renforcement des accès. Cela permet d’alerter l’utilisateur sur l’utilisation de son accès sur un second appareil. Dans le cas où il n’est pas l’initiateur de la connexion, il en est informé immédiatement.
Aucun système n’est infaillible, mais dans un monde où les pirates sont avant tout opportunistes, complexifier l’accès permet de décourager une partie d’entre eux.
Cette solution de double authentification est essentielle sur les systèmes les plus critiques dans nos cabinets. Elle tend à se généraliser sur les accès aux systèmes de messagerie et est mise en place chez certains de nos éditeurs.
Il peut se poser la question du second périphérique à utiliser. Puis-je demander aux membres de mon équipe d’utiliser leur smartphone personnel ? Bien que la jurisprudence indique qu’il n’est pas possible de l’imposer, ce débat semble d’un autre âge. En effet, la question de la cybersécurité n’est-elle pas essentielle ? Par ailleurs, les smartphones personnels ont envahi les espaces de travail, les messages personnels s’échangent à toute heure. Comment refuser d’utiliser son smartphone personnel sans que cela génère un coût supplémentaire, pour sécuriser ses accès professionnels alors que les mondes professionnel et personnel se mélangent de plus en plus ? La conscience professionnelle de nos équipes fera fi de cette question qui n’a probablement pas de raison de se poser.
Les moindres privilèges
La gestion des accès est une contrainte, mais un mal nécessaire. Aborder cette question avec la notion de « moindres privilèges », c’est limiter les accès de chacun à ce qui lui est nécessaire. « Je n’ai pas accès à tous les dossiers, non par envie de cacher, mais si mon accès est compromis alors le risque est limité à mes seuls accès ». C’est une solution permettant de limiter la propagation des attaques.
Si cela est vrai sur nos outils, c’est encore plus important sur les accès aux serveurs et autres partages en réseau.
L’importance des sauvegardes
Quelle que soit la qualité de la préparation, la qualité du plan de reprise (PRA), tout redémarrage « post-attaque » ne peut se faire qu’en partant des sauvegardes. Tout le patrimoine numérique du cabinet est stocké dans ses propres sauvegardes.
Pour faire une sauvegarde efficace, il faut respecter la règle 3-2-1.
Son fonctionnement repose sur du bon sens : on doit avoir trois copies de ses données, soit deux sauvegardes qui sont réalisées sur des supports différents et une de ces sauvegardes est « hors site » ou « hors cloud ». En résumé, les données peuvent par exemple être stockées sur un NAS qui se sauvegarde sur le cloud et dans un second site.On dispose ainsi de trois jeux, deux sauvegardes sur deux supports différents.
Effectuer des tests régulièrement
On oublie trop souvent que les process de sauvegarde peuvent évoluer, et surtout qu’il faut les tester régulièrement. En effet, l’ensemble des espaces peut changer et il est important de vérifier régulièrement que tout est bien sauvegardé. Les spécialistes vous recommanderont de vérifier vos sauvegardes une fois par mois ou par trimestre. Pour être serein, il faut contrôler que ses sauvegardes sont correctes en vérifiant leur contenu ou en testant une procédure de restauration.
Nous avons de plus en plus d’outils en ligne, et cette responsabilité des sauvegardes est déléguée à nos prestataires. Comment faire ? Peut-on imposer une sauvegarde locale ? Dans un premier temps, il est important de vérifier les conditions de sauvegarde dans les conditions générales de l’éditeur, et de vérifier ses engagements. Mettre en place une sauvegarde locale n’est pas toujours possible, néanmoins nous pouvons l’organiser en partie. En effet, certains logiciels permettent l’export des dossiers, il est alors possible d’intégrer dans son process de fin d’année d’exporter le dossier et de le stocker dans sa GED. L’idéal est de stocker ces exports dans un format standard comme un fichier des écritures comptables (FEC) ou un fichier EDI (échange de données informatisé) de déclaration sociale nominative (DSN). Ce format standard permettra d’être repris par n’importe quel outil, mais un export au format du logiciel permet également une reprise et contient plus de données. Les plus « technophiles » pourront recourir à un robot logiciel (RPA) pour exécuter ces exports. Certes, cela ne vaut pas une sauvegarde quotidienne, mais cela permet de prévenir un risque de perte totale de données chez un éditeur. Chacun arbitrera la fréquence de ce traitement manuel au regard de son niveau de risque.
L’avenir est-il à l’isolement ?
Compte tenu des attaques envers les éditeurs ou les hébergeurs et du fait que nous n’avons pas la main sur la sécurité de leur organisation informatique, il est tentant de se poser la question de tout réinternaliser, de réinstaller ses propres serveurs dans son cabinet. L’évolution informatique ne va pas dans ce sens, et penser que nous serons ainsi plus indépendants n’est qu’un leurre. L’indépendance repose sur la connaissance et sur des choix éclairés, sur la mise en place de scénarios alternatifs ou de sécurités complémentaires.
En hébergeant son propre serveur, et en l’exposant sur Internet, il va falloir mettre en place toutes les sécurités à l’identique d’un hébergeur dont c’est le métier. Le dirigeant du cabinet devra également mettre en place le système et s’assurer de sa mise à jour. Comme on l’a vu plus haut, la majorité des attaques sont liées à des opportunités. Héberger son propre serveur, c’est risquer d’être une opportunité si l’on ne consacre pas suffisamment de temps à la sécurisation. Par ailleurs, tourner le dos aux solutions en ligne, c’est aussi se couper de nouveaux logiciels. Réinternaliser tout son système d’information risque donc d’apporter plus de contraintes que de sécurité, et ce n’est plus un choix que nous avons.
L’actualité nous rappelle quotidiennement que les cyberattaques sont de plus en plus présentes et que nous sommes exposés. Avec nos équipes et une bonne organisation, il existe des techniques accessibles pour se protéger. Mais comme il n’est pas possible de supprimer ce risque, l’attention apportée aux sauvegardes permettra de faciliter la reprise en cas de sinistre.
Les attaques cyber en 2023 3
• Le coût moyen d’une violation de données pour une PME s’élève à 130 000 €.
• 41 % des PME ne parviennent pas à récupérer leurs données après une violation.
• 94 % des courriels malveillants sont distribués par le biais de courriers électroniques.
• Un tiers des entreprises ayant versé une rançon ont été confrontées à une nouvelle attaque.
• 330 000 attaques ont été réussies contre les PME au cours de l’année.
1. ANSSI : Agence nationale de la sécurité des systèmes d’information.
2. Vlan : Virtual Local Area Networks.
3. Source : ANSSI.