L’humain, la faille de la sécurité informatique

Les pirates informatiques le savent bien : les salariés sont le maillon faible de tout système de cybersécurité. Heureusement, une bonne connaissance de la sécurité informatique permet de déjouer les pièges et d’éviter les clics malencontreux.

Que faire quand son tableur Excel plante ? Souvent, quelques conseils glanés sur Internet permettent de remédier au problème. Mais parfois, impossible de relancer le programme. C’est ce qui est arrivé au dernier employeur de Michael Rempfer, une entreprise de génie mécanique du sud de l’Allemagne. Une de ses collègues, en cherchant de l’aide pour Excel, a cliqué sur un fichier vérolé. Une demi-heure plus tard, les raccourcis sur le bureau ne répondaient plus. L’entreprise a découvert qu’un virus était en train de chiffrer clandestinement tous ses disques durs. « Nous avons vite identifié le problème et interrompu tous nos serveurs », raconte Michael Rempfer. Heureusement, la société disposait de copies de sauvegarde à jour. Dès le lendemain, le cauchemar était terminé.

Aujourd’hui, Michael Rempfer est directeur technique chez Kallfass, un fabricant de machines d’emballage. Mais il n’a jamais oublié cette journée d’anxiété. Il met tout en œuvre pour éviter que son nouvel employeur soit victime d’une attaque semblable. Un pare-feu repousse toutes les menaces potentielles. Les salariés se voient interdire l’accès aux pages suspectes, et ne peuvent installer aucun logiciel. « Nos collaborateurs n’ont absolument aucun droit d’administrateur », résume-t-il.

Cette prudence est loin d’être infondée. Selon une étude menée en 2019 par la société d’audit et d’expertise comptable RSM, près de 40 % des entreprises européennes ont subi des attaques informatiques au cours des cinq dernières années. Et ce ne sont là que les sociétés qui ont repéré lesdites attaques ! Sur les 597 dirigeants d’entreprises interrogés dans 33 pays européens, 64 % affirment avoir pu être piratés sans le savoir.

Près de la moitié de ces attaques visaient des salariés insuffisamment sensibilisés à ces questions, indique l’étude. Selon l’éditeur de logiciel de sécurité Kaspersky, le ratio est même probablement plus élevé. Plus de 80 % des incidents de sécurité découlent d’une erreur humaine. Un groupe se trouve dans la ligne de mire des hackers : les petites et moyennes entreprises, qui pensent ne pas être des cibles suffisamment alléchantes. Persuadées d’être en sécurité, elles omettent d’informer leurs salariés du problème.

Des stratagèmes simples mais efficaces

« L’argent est toujours un piège », affirme Markus Schließ, avocat de Stuttgart spécialisé dans la réglementation informatique. Une salariée de l’un de ses clients a été appâtée par un pseudo-concours avec 5 millions d’euros à la clef. Sans le vouloir, elle a ainsi transmis des données à des pirates informatiques. Il est inquiétant de constater que certaines entreprises ne se donnent même pas la peine de mettre en place les mesures de sécurité élémentaires : chez un autre client de l’avocat, une société d’informatique, les voleurs sont simplement entrés par une porte non sécurisée, et ont récolté des informations sur une clef USB. « C’est l’astuce la plus simple au monde. Cela ne devrait jamais arriver. »

 

En fin de compte, ces deux incidents n’ont eu aucune conséquence grave : l’avocat a pu démontrer que ces salariés n’avaient pas agi délibérément. Mais Markus Schließ nous met en garde : « Les autorités sont désormais très attentives au respect du règlement général sur la protection des données. » Son cabinet traite régulièrement des cas de salariés (ou d’anciens salariés) mécontents qui cherchent à porter préjudice à un employeur en dérobant des informations. La cible de l’attaque doit alors démontrer qu’elle avait pris en amont toutes les mesures techniques nécessaires pour limiter les risques.

Il est essentiel de suivre régulièrement des formations sur la cybersécurité. 

Un projet pionnier : la Charte de confiance

Pour empêcher de telles situations de se produire, Markus Schließ encourage les entreprises à édicter un code de conduite pour leurs salariés et à leur faire suivre des formations régulières. C’est également l’approche recommandée par la Charte de confiance, une initiative lancée en 2018 par Siemens, IBM, Airbus, TÜV Süd, Allianz et bien d’autres sociétés et organismes de recherche. Les membres de ce projet allient leurs forces au sein de nombreux groupes de travail qui étudient différents aspects du problème. L’un de ces groupes réfléchit aux types de formations et de supports d’apprentissage qui empêchent les salariés de devenir des proies faciles pour les cybercriminels. Les règles sont bien connues — bien qu’elles semblent se perdre dans l’effervescence du quotidien professionnel : ne pas ouvrir les pièces jointes envoyées par des adresses inconnues, utiliser des mots de passe sécurisés, et rester vigilant quand quelqu’un que l’on ne connaît pas se présente dans les locaux.

C’est la raison pour laquelle il est essentiel de suivre régulièrement des formations. À cet égard, Siemens fait figure de modèle : depuis plusieurs années, l’entreprise a mis en place une session en ligne que tous les salariés travaillant sur ordinateur doivent suivre au moins une fois par an. En plus d’explorer les thématiques classiques de la cybersécurité (les dangers de l’hameçonnage par e-mail ou du Wi-Fi public, par exemple), ce cours traite d’autres sujets, notamment le vol d’information sur les réseaux sociaux et les exigences qui s’appliquent aux produits et services sécurisés de Siemens, de ses partenaires et de ses fournisseurs. Un cursus dédié permet également aux salariés d’approfondir le sujet — de la sécurité informatique « classique » à son pendant dans les environnements de production ou de développement de produits.

 

Mais l’erreur est humaine : Siemens protège donc son infrastructure informatique au moyen de filtres anti-hameçonnage pour les e-mails et les sites Internet, et encourage ses partenaires à faire de même.

Une formation efficace

Markus Schließ, lui aussi, a remarqué que les petites et moyennes entreprises s’intéressent de plus en plus à la problématique de la cybersécurité. Ses formations sur le sujet suscitent un intérêt grandissant. Les retours de ses clients montrent d’ailleurs que ces cours portent leurs fruits : « Les attaques sont moins fréquentes. »

 

Pour en savoir davantage sur les risques informatiques que courent les petites et moyennes entreprises et apprendre comment les éviter — notamment avec l’assistance de Siemens — cliquez ici.

Notre série de cinq articles porte sur les moyens qui permettent aux PME de se prémunir contre les risques informatiques. Cet article est le troisième. Cliquez ici pour accéder au premier. La série se consacre à expliquer pourquoi les petites entreprises sont plus souvent touchées par les attaques, et quel est le rôle des salariés. Elle donne également des conseils aux entreprises pour se protéger des attaques moyennant un budget raisonnable, et intégrer cette question dans leur stratégie globale — par exemple, avec l’aide concrète de Siemens. Un lien vers chaque nouvel article sera intégré à celui-ci dès leur publication.

 

Partie 1 : Marge de progression

Partie 2 : Des cibles faciles

Partie 3 : L’humain, la faille du système informatique

Bernd Müller

Abonnez-vous à la newsletter

Restez à jour à tout moment : ce que vous devez savoir sur la transformation numérique au sein des infrastructures et des industries.