Avec un nombre de malwares ciblant les entreprises qui a augmenté de 80 % en 2018, les organisations sont devenues la cible privilégiée des pirates informatiques, selon un rapport de Malwarebytes. Notamment en raison d’un manque d’hygiène numérique et d’un déficit d’actions préventives.
Le nombre de programmes malveillants (malwares) ciblant les entreprises dans le monde entier a augmenté de près de 80 % entre 2017 et 2018, selon le rapport annuel de la société de cybersécurité Malwarebytes. Avec notamment une augmentation colossale de l’activité des chevaux de Troie (132 %) et des logiciels espions (142 %), le monde du travail est la cible privilégiée des cybercriminels – qui considèrent les sociétés comme étant plus rentables (et plus faciles) à attaquer que les institutions ou les particuliers.
Failles et vols de données
Selon l’étude de Malwarebytes, les chevaux de Troie Emotet et TrickBot ont été particulièrement utilisés par les hackers contre les entreprises. Les cybercriminels ont aussi exploité des failles de sécurité pour dérober des données, notamment à de grands groupes comme Marriott, Facebook et Quora. Avec des centaines de millions de clients touchés, le vol de données issues de ces « brèches » des systèmes d’information des entreprises a augmenté de 133 % en 2018, par rapport à 2017.
Nombre de pirates informatiques ont aussi profité de l’explosion de la valeur du Bitcoin début 2018 pour mener des campagnes de « cryptomining » – il s’agit de pirater des ordinateurs de bureau grâce à des virus et des attaques via les navigateurs web, afin de les transformer en machines « zombies » et d’exploiter leur puissance de calcul pour créer de la monnaie virtuelle. Mais cette menace a fini par ralentir à la fin de l’année, le Bitcoin perdant de sa valeur.
Hygiène numérique et vulnérabilités
« La réalité, c’est que les organisations ne pratiquent pas l’hygiène numérique de base, ou ne s’attaquent pas à leur cyber-exposition, laissant les vulnérabilités connues non corrigées et prêtes à être exploitées. Cependant, c’est plus facile à dire qu’à faire. Les entreprises doivent trier chaque jour un nombre toujours croissant de vulnérabilités critiques, avec des failles favorisées par les attaquants qui passent à travers les mailles du filet », indique Gavin Millard, expert en sécurité informatique chez la plateforme de gestion des « cyber-risques » Tenable. « Mais il reste un espoir, car les entreprises peuvent faire beaucoup pour se protéger contre les menaces. Si l’on examine la majorité des brèches récentes, presque toutes peuvent être attribuées soit à l’exploitation de vulnérabilités connues dans des systèmes non corrigés (via des campagnes ciblées ou malveillantes), soit à de mauvaises pratiques de gestion des mots de passe », ajoute-t-il.
Selon Gavin Millard, les entreprises ont notamment tout intérêt à se concentrer sur les « vulnérabilités qui comptent », comme les failles Flash, Microsoft ou WordPress. « Trouver et corriger les failles qui posent le plus de risques (c’est-à-dire les vulnérabilités militarisées) est essentiel pour améliorer la cyber-exposition d’une organisation », indique l’expert en cybersécurité.
Selon le baromètre de la cybersécurité des entreprises publié par le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) en janvier 2019, 80 % des entreprises françaises ont subi une cyberattaque au cours des 12 derniers mois.
« Pour s’engager en cybersécurité, les réponses à apporter ne sont pas uniquement budgétaires. La prise de conscience est là. La culture du risque émerge, mais elle se heurte encore à une forte culture d’entreprise concentrée autour de la productivité. En effet, dans les représentations collectives, le budget sécuritaire a souvent été perçu comme un frein à la productivité des entreprises. Aujourd’hui, il est devenu la condition sine qua non de la productivité. Mais aussi la garantie de la pérennité des structures d’entreprises. Un retour à la culture papier en cas d’attaques est impossible. Il faut pouvoir assurer que le système perdure », commente René Thiel, de l’entreprise de sécurité informatique SII, dans Les Echos. L’expert conseille notamment de sensibiliser les salariés, de « repenser les modèles archaïques », et de « polariser la productivité autour de la sécurité d’une entreprise dans un contexte où la menace ne manque ni de créativité ni de portée. »
Pour aller plus loin
Surcharge mentale, fatigue chronique, burn-out… Les ravages de l’hyperconnexion décryptés
L'hyperconnexion entraîne des effets pervers qui touchent autant les salariés que les entreprises. Multitâche, interruptions constantes, mails nocturnes… Ces pratiques, désormais banalisées, nuisent à l’efficacité au travail et à la santé des collaborateurs. Elles menacent aussi l’équilibre entre vie professionnelle et vie personnelle. Découvrez les conseils de Paul Brazzolotto, docteur en psychologie cognitive chez Cog'X, pour préserver votre bien-être et mieux travailler. Il explique aussi le rôle crucial des managers dans la mise en place de pratiques qui favorisent une utilisation plus saine des outils numériques.
29 novembre 2024
Télétravail et cybersécurité : attention dangers !
Avec l’essor du télétravail et des environnements hybrides, les entreprises font face à de nouveaux risques en matière de cybersécurité, allant des cyberattaques aux fraudes internes. Loin de se limiter à des enjeux techniques, ces défis impliquent directement les comportements humains et nécessitent une vigilance accrue. Caroline Diard, professeur associé au département Droit des Affaires et management des RH, TBS Education, et Nicolas Dufour, docteur en sciences de gestion, professeur associé au CNAM LIRSA et également directeur adjoint des risques d’un groupe diversifié, analysent ces problématiques émergentes et proposent des solutions pour renforcer la résilience des organisations face à ces menaces croissantes.
27 novembre 2024
