Par David Carasso, le 1 février 2022 - 9 min de lecture
Le confinement a montré une explosion du piratage et des attaques informatiques en entreprise. Celles-ci sont clairement devenues la cible privilégiée pour les hackers. Quels sont ces piratages ? Comment se protéger efficacement ? Quelles assurances contre les cyber-risques ?
Le piratage d’entreprises et les cyber-attaques augmentent tous les ans, à mesure que sommes de plus en plus connectés. En 2019, près de 600 milliards de dollars – 1% du PIB mondial ! – ont été détournés via des attaques informatiques. Mais ce phénomène s’est amplifié de manière drastique pendant le confinement. Avec une concentration massive de celles-ci sur le thème de coronavirus.
Les cyber-attaques ayant pour thème le Covid-19 sont passées de 1 200 à 380 000 entre janvier et avril 2020. Une augmentation de plus de 30 000 % en l’espace de quelques mois ! Cette augmentation exponentielle est due au fait que les hackers ont flairé la bonne opportunité, et redirigé leurs attaques sur le coronavirus.
Quoi de plus efficace en effet que de jouer sur la corde sensible d’un virus qui inquiète la population ? Et qui, en généralisant le télétravail, nous expose à davantage de risques ?
Le travail à distance se développe depuis quelques années, mais de nombreuses entreprises n’avaient pas encore franchi le pas. Certaines l’envisagaient, mais pas immédiatement, ni aussi massivement. D’autres ne l’envisagaient pas, en raison d’un manque d’équipements ou par peur d’une perte de productivité.
La majorité des dirigeants se disaient prêts à basculer rapidement vers le télétravail en confinement. Mais certains se sont sentis dépourvus face aux problématiques de sécurité informatique que cela implique.
Les entreprises ont dû faire le maximum pour permettre aux salariés de poursuivre l’activité. Priorité au business ! Mais ça n’est pas sans poser problème à plus long terme… Ces adaptations à marche forcée exposent naturellement à davantage de failles de sécurité.
Les cyber-attaques exploitent tout autant les failles informatiques de nos systèmes que celles psychologiques des salariés. La plupart des attaques proviennent de « Botnet », des serveurs pirates qui se comportent comme des robots. Ils automatisent certaines tâches, comme l’envoi massif d’e-mails corrompus à des centaines de milliers d’adresses.
Voici une liste non exhaustive des principaux types de cyber-attaques :
L’entreprise Verizon estime que 67% des piratages proviennent de vol d’identifiants, d’erreurs humaines ou d’attaques par ingénierie sociale (source : Verizon, Rapport d’enquête 2020 sur les compromissions de données (DBIR)). L’ingénierie sociale (social engineering en anglais) exploite les interactions sociales pour obtenir des informations sensibles sans même que la victime ne réalise son erreur. Le phishing en est l’exemple le plus courant, et les conséquences peuvent être dramatiques.
En Australie, des hackers ont ainsi réussi à détourner 8,7 millions de dollars d’un fonds d’investissements grâce à une fausse invitation Zoom. En cliquant sur le lien corrompu, l’un des co-fondateurs a permis aux hackers de pénéter dans le système de l’entreprise. Ceux-ci ont alors pu envoyer des e-mails depuis les adresses officielles de l’entreprise. Et ont pu demander à des comptables d’effectuer des virements, avec succès !
Autre exemple : une simple image publiée sur Twitter a permis à un journaliste néerlandais d’accéder à une réunion en ligne confidientielle d’un Conseil de Défense de l’Union européenne !
L’humain est malheureusement la première faille de nos systèmes informatiques. En effet, ce sont souvent les salariés qui font entrer le loup dans la bergerie ! Principalement par manque de vigilance. Le lieu du crime est alors la boîte de réception : faux e-mails, logiciels malveillants cachés dans une pièce-jointe…
Pendant ce confinement, de très nombreux e-mails corrompus exploitaient le thème du coronavirus. Cartes interactives sur la progression de l’épidémie, recommandations sanitaires, appels aux dons pour les soignants, bons plans d’achats de masques, publicités pour des produits qui permettraient de se protéger du virus… L’imagination des pirates informatiques n’a pas de limite !
Les hackers jouent sur notre sensibilité et notre fragilité. Et le problème est que nous faisons preuve de moins de vigilance en cette période ! La surabondance de fake news accentue ce phénomène, et l’on ne sait pas toujours à quelle information se fier.
En raison du confinement, de nombreux commerces dits « non-essentiels » ont dû fermer. Certains ont alors décidé de lancer un site de e-commerce pour poursuivre leur activité. Le but est évident : limiter la perte de chiffre d’affaires pour sauvegarder son business. Cela passe le plus souvent par le click & collect ou la livraison à domicile.
Ces sites ont malheureusement été construits dans l’urgence, et sont parfois non-sécurisés. Ils représentent une proie facile pour les pirates. Ceux-ci peuvent par exemple récupérer les informations bancaires des clients au moment de la validation du panier.
Le premier point faible de nos systèmes reste… la personne qui tient la souris ! En effet, l’enquête de Verizon affirme qu’un piratage sur cinq est la conséquence d’une erreur humaine. Pourtant, 52% des salariés n’ont pas été formés aux cyber-menaces avant ou pendant le confinement (source : étude de CrowdStrike a été réalisée entre le 14 et le 29 avril, par le biais d’une enquête en ligne auprès de plus de 4 000 chefs d’entreprise en Australie, en France, en Allemagne, en Grande-Bretagne, en Inde, au Japon, aux Pays-Bas, à Singapour et aux États-Unis) !
Il est très simple pour un hacker de glisser un logiciel malveillant dans une pièce-jointe. Et de compter sur nous pour télécharger, sans nous rendre compte du danger ! Le risque étant renforcé par l’utilisation de son matériel personnel pour travailler.
La formation des salariés aux cyber-réflexes est donc essentielle. De grandes entreprises ont déjà mis en place une formation en ligne offrant un certificat. Celui-ci doit être passé chaque année pour que le salarié reste vigilant. Malheureusement une seule erreur peut mettre en péril les données de toute l’entreprise.
L’erreur étant humaine, la sensibilisation des salariés ne suffit pas. Les moyens technologiques sont donc essentiels pour protéger correctement les données de l’entreprise. Depuis 2018, la RGPD oblige également à prendre des mesures de sécurisation des données, notamment concernant la vie privée des utilisateurs. Cela constitue un premier niveau de protection.
Le recensement est également nécessaire pour localiser les données. Cela permet d’évaluer leur niveau de sensibilité, et de mettre en place une politique adaptée. La sauvegarde, le cryptage des données ou l’authentification à facteurs multiples sont des solutions.
La supervision des téléphones et des ordinateurs des salariés permet également de détruire les données à distance. C’est un moyen efficace de se protéger en cas de perte ou de vol de matériel. Malheureusement, les petites entreprises n’ont pas toujours les moyens de prendre ces mesures.
Certaines entreprises doivent former leurs salariés aux gestes de sécurité au travail. Elles mettent parfois en place des formations aux premiers secours. Mais ces bonnes pratiques n’empêchent pas de souscrire une assurance responsabilité civile professionnelle pour se protéger ! Il y a de nombreuses différences notables entre la rcp et l'assurance cyber-sécurité.
Il en va de même pour les cyber-risques : les mesures techniques ou de sensibilisation en amont ne suffisent pas. Nulle entreprise n’est à l’abri d’un problème, dont les conséquences peuvent être dramatiques. Souscrire une assurance cyber-risques est alors un réflexe essentiel à adopter. Elle ne doit pas être vue comme une option exotique. Il s’agit d’une mesure de protection complémentaire de toutes celles prises en amont.
Les assurances cyber-risques ont l’avantage de protéger financièrement l’entreprise en cas d’attaque. Elles couvrent les frais de remplacement du matériel, de récupération ou de réparation des données, et de réorganisation des systèmes. Cela couvre également les risques d’e-réputation qui peuvent gravement nuire au business. La confiance des utilisateurs et des investisseurs est en effet essentielle pour la bonne santé de l’entreprise.
Aujourd’hui, vous pouvez souscrire une assurance piratage en 3 minutes ! Les formations des salariés ou les mesures techniques ne sont pas à la portée de toutes les entreprises. Mais l’assurance cyber-risque est, elle, désormais accessible à tous : indépendants, auto-entrepreneurs, startups, TPE-PME…
Tout comme une RC Pro ou une assurance bureau sont incontournables pour les entreprises, l’assurance cyber-risques devrait l’être tout autant. En effet, le confinement nous montre à quel point nos entreprises sont les proies des pirates informatiques.
👉 Il ne faut pas croire que le déconfinement et la fin de l’épidémie mettront fin à ces cyber-menaces. Les experts estiment que de nombreux malwares ont infecté silencieusement les ordinateurs des salariés. Ces logiciels malveillants attendent le bon moment, le retour au bureau, pour infecter l’ensemble du système informatique de l’entreprise. Ainsi, nous sommes peut-être à l’aube d’une autre seconde vague : celle des attaques informatiques !
Et bénéficiez de conseils d’experts, d’une plateforme de gestion sécurisée, des tarifs prénégociés et sans frais de dossier, sans honoraires et sans frais de conseils.
Souscrivez votre assurance professionnelle en ligneDans la même catégorie
Suis-je couvert en cas de non-respect du RGPD ?
Une amende de la CNIL ne peut pas être remboursée par une assurance : c’est une sanction punitive et dissuasive. En revanche, une bonne assurance peut couvrir les coûts déclenchés par un incident RGPD (défense, expertise, gestion de crise, notifications, restauration) et, selon les contrats, certaines réclamations de tiers, avec des limites liées aux exclusions et à l’intention.
Suis-je couvert si je suis victime d'un rançongiciel ?
Un matin, vous allumez vos ordinateurs et tout est bloqué. Vos fichiers sont chiffrés, un message s’affiche, on vous réclame une somme d’argent pour récupérer l’accès. Vous venez d’être touché par un rançongiciel. À ce moment-là, une question devient urgente : « est-ce que mon assurance me protège ? » La réponse est oui dans certains cas, tout dépend du type de contrat que vous avez souscrit...
Suis-je couvert en cas d’intrusion dans mon système informatique ?
Vous ouvrez votre ordinateur, et là, tout déraille. Accès bloqués, messages suspects, données qui disparaissent, activité à l’arrêt. Dans ces moments-là, une question revient toujours : « Suis-je couvert par mon assurance ? » La réponse dépend moins de l’attaque que du type de garanties que vous avez réellement souscrites. Beaucoup de professionnels pensent être protégés alors que leur contrat ne couvre qu’une partie du problème.
