StoïkBlogCyberattaque

Comment connaître sa vulnérabilité face aux cyberattaques ?

Alexandre Grisey
Dernière mise à jour :

Les cyberattaques sont de plus en plus fréquentes, et c'est encore plus vrai dans le monde de l'entreprise, notamment chez les TPE x PME. S'en prémunir est donc essentiel, sous peine de devoir faire face à de lourds dégâts.

Pour se protéger efficacement de ce type d'attaque, la première étape consiste à identifier ses vulnérabilités, ses failles, qu’un potentiel attaquant pourrait utiliser pour s’introduire dans le système informatique (SI). L'étape suivante consiste à venir combler ces vulnérabilités pour se protéger efficacement.

vulnérabilités cyberattaque

En quoi est-il important de connaître sa vulnérabilité aux cyberattaques ?

Avant de passer en revue les techniques pour connaître son niveau de vulnérabilité, il est bon de rappeler l'importance de le détecter.

Mieux vaut prévenir que guérir : repérer ses failles avant l’attaquant

Pour assurer la cybersécurité de son entreprise, il est important de mettre en place un monitoring du risque en continu. En effet, le risque cyber évolue très vite et ce n’est pas parce qu’un audit a été réalisé une fois qu’il n’y aura derrière aucun risque de se faire attaquer. De nouvelles failles sont découvertes régulièrement et le facteur humain reste le premier facteur de risque.

Aussi, utiliser des outils pour repérer ses failles a un avantage principal : celui de repérer et de résoudre ses failles avant qu’un attaquant les découvre et les exploite.

Trop nombreux sont encore les chefs d’entreprise qui décident de mettre en place un tel monitoring après avoir subit une attaque. Pourtant, grâce à un monitoring simple, il est possible d’éviter les cyberattaques les plus courantes.

Protégez-vous contre les cyberattaques les plus courantes
Stoïk vous accompagne en continu avec ses outils de monitoring : scan externe, simulation de phishing.
Tester mon risque

Avoir une visibilité sur sa surface d’attaque pour réduire son risque

Les outils disponibles pour monitorer son système permettent également de cartographier sa surface d’attaque : lister toutes les portes d’entrées potentielles qu’un attaquant pourrait utiliser pour s’introduire dans le système informatique. Ainsi, plus la surface d’attaque est importante, plus le risque de se faire attaque l’est également.

Avoir une bonne visibilité sur sa surface d’attaque, c’est aussi savoir prioriser les actions de sécurité qui vont permettre de la réduire. L’idée est de limiter en continu et très fortement les risques de cyberattaques qui peuvent toucher tout type d'entreprise et causer des dégâts irréparables.

Chiffre clé
60% des PME victimes d'une cyberattaque mettent la clé sous la porte dans les 18 mois qui suivent (source : L’Usine Digitale)

Ne pas négliger le facteur humain

L'humain est un des maillons les plus sensibles de la chaîne de la cybersécurité, le phishing étant le premier vecteur d’attaque. Détecter les failles humaines permet de sensibiliser les collaborateurs concernés et ainsi prévenir le risque d’attaque par phishing. Plus il y a de collaborateurs, plus le risque est élevé. Et certains collaborateurs peuvent être moins sensibilisés au risque cyber que d’autres. Il existe aujourd’hui des outils qui permettent d’avoir une visibilité sur les vulnérabilités humaines de son entreprise.

Sensibilisez vos collaborateurs au risque de phishing
Notre outil de sensibilisation au phishing envoie régulièrement des faux mails de phishing à vos collaborateurs pour les sensibiliser.
Découvrir

Identification des vulnérabilités : comment procéder ?

Il existe plusieurs façons de procéder et elles mènent toutes au même but : faire la synthèse du niveau de vulnérabilité informatique d'une entreprise. Elles vont venir définir ce qu'on appelle sa surface d'attaque : l'ensemble des points faibles d'un système, par lesquels un attaquant va potentiellement pouvoir s'introduire dans le système informatique.

surface d'attaque informatique

L'audit des vulnérabilités de l'entreprise

Un des moyens courants d'identifier d'éventuelles vulnérabilités, c'est de faire appel à un prestataire externe qui va venir faire un audit complet d'une entreprise, de son système d'information, pour en détecter les failles.

Une entreprise spécialisée dans ce domaine peut réaliser plusieurs types d'audits, notamment :

  • de réseau interne, pour détecter les failles internes au SI ;
  • organisationnel, pour analyser les pratiques de sécurité organisationnelles d’une entreprise (les procédures, les documents) ;
  • intrusif, en tentant de se mettre à la place de l'attaquant et en essayant de pénétrer le système de l'entreprise.

Ces audits permettent de lister les éventuelles failles, d'établir des rapports complets et ainsi de savoir comment les combler, pour protéger l'entreprise des risques de cyberattaques.

Notre conseil
Un audit de vulnérabilité repère les failles techniques à un instant T. Il est intéressant de réaliser régulièrement un audit de vulnérabilités poussé en complément d’un outil de monitoring qui tourne en continue pour assurer une sécurité optimale.

Le scan de vulnérabilités

Une autre façon de savoir si l’infrastructure informatique est vulnérable, c'est d'utiliser un scan de vulnérabilités. Un scan de vulnérabilités est un logiciel, qui va analyser la sécurité de différents éléments qu’un SI expose vers l’extérieur (ordinateurs, serveurs, objets connectés, etc.) pour en déterminer les failles.

Via des modèles de tests pré-définis, il va analyser le système, exécuter des actions offensives, pour essayer de détecter les vulnérabilités en analysant la réponse à ces actions.

Si l'utilisation seule du scan à des avantages par rapport à l'audit (notamment son coût et sa vitesse d'exécution), elle possède certaines limites. Le scan, pour détecter les portes d’entrées potentielles depuis l’extérieur, ne fait que suivre des modèles et reste donc générique dans ses tests ; il ne s'adapte pas aux particularités d'un système et ne peut pas non plus tester tous les défauts d’autorisation entre utilisateurs.

Alors qu'un audit, via par exemple des tests d'intrusion, va permettre de savoir comment, techniquement, une attaque peut être rendue possible dans un système en particulier, et surtout, les conséquences (financières, techniques, etc.) que celle-ci va avoir sur l'entreprise.

Bon à savoir
Les vulnérabilités détectées dépendent bien sûr des outils et logiciels utilisés par une entreprise, mais aussi de son secteur d'activité. Une entreprise opérant dans le secteur du e-commerce n'aura pas les mêmes vulnérabilités qu'une entreprise créant des logiciels, par exemple.

Les outils de simulation de phishing

Pour lutter contre le premier vecteur d’attaque, des entreprises se sont spécialisées dans la simulation de phishing. L’idée est simple : l’utilisateur reçoit régulièrement des faux mails de phishing. Par exemple un mail aux couleurs de Google qui va inciter à renseigner ses identifiants.

Lorsqu’un collaborateur se fait piéger, il est informé qu’il s’agissait d’un faux mail de phishing et il est incité à faire plus attention la prochaine fois car si c’était un attaquant, les dégâts pourraient être fatals pour l’entreprise.

Le dirigeant d’entreprise a accès aux résultats des campagnes de simulations et peut, en fonction, réaliser des sessions de sensibilisation auprès des plus collaborateurs les plus vulnérables.

Assurance cyber + outils de protection
Stoïk propose de vous assurer contre le risque cyber et de réduire votre risque en continu grâce à des outils de cybersécurité inclus dans l'assurance.
Découvrir

Comprendre les vulnérabilités en entreprise

Même si une analyse d'un système permet de mettre en avant et de corriger l'ensemble de ses failles, il est important d'en comprendre ses vulnérabilités, pour éviter que de nouvelles apparaissent. Voici quelques vulnérabilités courantes en entreprise.

Bon à savoir
Les vulnérabilités ont des degrés de criticité différents en fonction du danger qu’elles représentent pour l’entreprise. Il y a les vulnérabilités critiques, les vulnérabilités élevée et les vulnérabilités faibles. Les plus critiques doivent être résolues en priorité.

Une mauvaise configuration du serveur

L'apparition de failles peut être liée à une mauvaise configuration d'un serveur. Cela peut être une mauvaise configuration du pare-feu, par exemple.

Notre conseil
Après avoir repéré les mauvaises configurations via un audit ou un scan informatique, faites appel à votre responsable informatique pour vous accompagner dans la résolution de ces vulnérabilités.

Des mises à jours non effectuées

Une négligence technique peut également être à l'origine de ces vulnérabilités. C'est le cas lorsqu'on ne met pas à jour les différents maillons techniques susceptibles de provoquer des failles : systèmes d'exploitation, logiciel du serveur, du pare-feu, du CMS (système de gestion de contenu, tel que WordPress) ou d’un plug-in de paiement par exemple.

Les vulnérabilités humaines

Une négligence des utilisateurs, très souvent involontaire, est une des causes principales de problèmes de cybersécurité.

Par exemple, cela peut être un utilisateur pas assez méfiant qui tombe dans le piège du phishing, cette pratique visant à récupérer des données ou identifiants d'une personne en se faisant passer pour une source de confiance (banque, administration, etc.).

L'utilisateur peut également être la source d'une faille si son mot de passe n'est pas assez sécurisé, ou trop facile à deviner. Dans ce cas-là, un attaquant n'aura même pas besoin d'utiliser la ruse pour s'introduire dans le système.

Sources :