Les cyberattaques sont de plus en plus fréquentes, et c'est encore plus vrai dans le monde de l'entreprise, notamment chez les TPE x PME. S'en prémunir est donc essentiel, sous peine de devoir faire face à de lourds dégâts.
Pour se protéger efficacement de ce type d'attaque, la première étape consiste à identifier ses vulnérabilités, ses failles, qu’un potentiel attaquant pourrait utiliser pour s’introduire dans le système informatique (SI). L'étape suivante consiste à venir combler ces vulnérabilités pour se protéger efficacement.
Avant de passer en revue les techniques pour connaître son niveau de vulnérabilité, il est bon de rappeler l'importance de le détecter.
Pour assurer la cybersécurité de son entreprise, il est important de mettre en place un monitoring du risque en continu. En effet, le risque cyber évolue très vite et ce n’est pas parce qu’un audit a été réalisé une fois qu’il n’y aura derrière aucun risque de se faire attaquer. De nouvelles failles sont découvertes régulièrement et le facteur humain reste le premier facteur de risque.
Aussi, utiliser des outils pour repérer ses failles a un avantage principal : celui de pouvoir résoudre ses failles avant qu’un attaquant les découvre et les exploite.
Trop nombreux sont encore les chefs d’entreprise qui décident de mettre en place un tel monitoring après avoir subi une attaque. Pourtant, grâce à un monitoring simple, il est possible d’éviter les cyberattaques les plus courantes.
Les outils disponibles pour monitorer son système permettent également de cartographier sa surface d’attaque : lister toutes les portes d’entrées potentielles qu’un attaquant pourrait utiliser pour s’introduire dans le système informatique. Ainsi, plus la surface d’attaque est importante, plus le risque de se faire attaquer l’est également.
Avoir une bonne visibilité sur sa surface d’attaque, c’est aussi savoir prioriser les actions de sécurité qui vont permettre de la réduire. L’idée est de limiter en continu et très fortement les risques de cyberattaques qui peuvent toucher tout type d'entreprise et causer des dégâts irréparables.
L'humain est un des maillons les plus sensibles de la chaîne de la cybersécurité, le phishing étant le premier vecteur d’attaque. Détecter les failles humaines permet de sensibiliser les collaborateurs concernés et ainsi prévenir le risque d’attaque par phishing. Plus il y a de collaborateurs, plus le risque est élevé. Et certains collaborateurs peuvent être moins sensibilisés au risque cyber que d’autres. Il existe aujourd’hui des outils qui permettent d’avoir une visibilité sur les vulnérabilités humaines de son entreprise.
Il existe plusieurs façons de procéder et elles mènent toutes au même but : faire la synthèse du niveau de vulnérabilité informatique d'une entreprise. Elles vont venir définir ce qu'on appelle sa surface d'attaque : l'ensemble des points faibles d'un système, par lesquels un attaquant va potentiellement pouvoir s'introduire dans le système informatique.
Un des moyens courants d'identifier d'éventuelles vulnérabilités, c'est de faire appel à un prestataire externe qui va venir faire un audit complet d'une entreprise, de son système d'information, pour en détecter les failles.
Une entreprise spécialisée dans ce domaine peut réaliser plusieurs types d'audits, notamment :
Ces audits permettent de lister les éventuelles failles, d'établir des rapports complets et ainsi de savoir comment les combler, pour protéger l'entreprise des risques de cyberattaques.
Une autre façon de savoir si l’infrastructure informatique est vulnérable, c'est d'utiliser un scan de vulnérabilités. Un scan de vulnérabilités est un logiciel, qui va analyser la sécurité de différents éléments qu’un SI expose vers l’extérieur (ordinateurs, serveurs, objets connectés, etc.) pour en déterminer les failles.
Via des modèles de tests pré-définis, il va analyser le système, exécuter des actions offensives, pour essayer de détecter les vulnérabilités en analysant la réponse à ces actions.
Si l'utilisation seule du scan à des avantages par rapport à l'audit (notamment son coût et sa vitesse d'exécution), elle possède certaines limites. Le scan, pour détecter les portes d’entrées potentielles depuis l’extérieur, ne fait que suivre des modèles et reste donc générique dans ses tests ; il ne s'adapte pas aux particularités d'un système et ne peut pas non plus tester tous les défauts d’autorisation entre utilisateurs.
Alors qu'un audit, via par exemple des tests d'intrusion, va permettre de savoir comment, techniquement, une attaque peut être rendue possible dans un système en particulier, et surtout, les conséquences (financières, techniques, etc.) que celle-ci va avoir sur l'entreprise.
Pour lutter contre le premier vecteur d’attaque, des entreprises se sont spécialisées dans la simulation de phishing. L’idée est simple : l’utilisateur reçoit régulièrement des faux mails de phishing. Par exemple un mail aux couleurs de Google qui va inciter à renseigner ses identifiants.
Lorsqu’un collaborateur se fait piéger, il est informé qu’il s’agissait d’un faux mail de phishing et il est incité à faire plus attention la prochaine fois car si c’était un attaquant, les dégâts pourraient être fatals pour l’entreprise.
Le dirigeant d’entreprise a accès aux résultats des campagnes de simulations et peut, en fonction, réaliser des sessions de sensibilisation auprès des plus collaborateurs les plus vulnérables.
Même si une analyse d'un système permet de mettre en avant et de corriger l'ensemble de ses failles, il est important d'en comprendre ses vulnérabilités, pour éviter que de nouvelles apparaissent. Voici quelques vulnérabilités courantes en entreprise.
L'apparition de failles peut être liée à une mauvaise configuration d'un serveur. Cela peut être une mauvaise configuration du pare-feu, par exemple.
Une négligence technique peut également être à l'origine de ces vulnérabilités. C'est le cas lorsqu'on ne met pas à jour les différents maillons techniques susceptibles de provoquer des failles : systèmes d'exploitation, logiciel du serveur, du pare-feu, du CMS (système de gestion de contenu, tel que WordPress) ou d’un plug-in de paiement par exemple.
Une négligence des utilisateurs, très souvent involontaire, est une des causes principales de problèmes de cybersécurité.
Par exemple, cela peut être un utilisateur pas assez méfiant qui tombe dans le piège du phishing, cette pratique visant à récupérer des données ou identifiants d'une personne en se faisant passer pour une source de confiance (banque, administration, etc.).
L'utilisateur peut également être la source d'une faille si son mot de passe n'est pas assez sécurisé, ou trop facile à deviner. Dans ce cas-là, un attaquant n'aura même pas besoin d'utiliser la ruse pour s'introduire dans le système.
Sources :