Les nouveaux défis pour les infrastructures critiques en 2023

Les cyber-organisations en ont profité pour multiplier les campagnes de cyberattaques, et pour développer de nouvelles menaces visant principalement l'activité des infrastructures dites critiques. Pour lutter et endiguer ces attaques, le gouvernement à voulu développer des solution de cyber-résilience pour tester, éprouver et renforcer les systèmes de défense de nos SI.

Les menaces en sécurité informatique pour 2023

Si on analyse les différentes menaces informatiques qui se développent, on peut penser que nos prochains points d'attention de défenses se porteront sur :

Protection de la vie privée renforcée grâce au Web3 sur la blockchain

A ce jour, 40% des consommateurs pensent qu'il ne savent pas protéger leurs données personnelles et la plus part d'entre eux ont décider de prendre des mesures concrète. Ils souhaitent une plus grande transparence sur l'usage de ses données et un contrôle plus accru pour 2023. Cela s'inscrit dans la dynamique mondiale du Web3 (ou Web 3.0), un nouveau type de service internet, construit à l’aide de blockchains, qui décentralisera l’infrastructure technologique. Toutefois, cette approche étendra aussi la surface d’attaque des applications financières de manière significative. Les cybercriminels s'attaqueront aux échanges de cryptomonnaies et les ponts vulnérables reliant la blockchain au reste du réseau. Méthode utilisée en 2022 par des hacker contre le réseau Ronin et dérober 615 millions de dollars.

Multiplication des attaques contre les infrastructures critiques à cause des tensions géopolitiques

Cette tendance observée en 2022, sera exacerbée par la poursuite du conflit entre la Russie et l'Ukraine. Certains groupes criminels intensifieront leurs attaques pour réaliser d’importants gains et devraient s’intéresser en priorité aux infrastructures décentralisées. Ces attaques s'étendront ensuite en Europe et les attaques contre les établissements clés se multiplieront pour accroître les prix mondiaux de l’énergie.

Recours aux anciennes méthodes d’attaque

Depuis le séisme provoqué par la découverte de la vulnérabilités Log4j, de nombreux experts estiment qu’une nouvelle vague d’attaques est inévitable. Toutefois, le prochain évènement majeur n'exploitera peut-être pas cette fois-ci une faille Zero-Day massive. Les hacker auront recours à d’autres moyens pour infiltrer les organisations et atteindre leurs cibles de manière latérale. Alors que ces vulnérabilités dépassent les 10 millions de dollars sur le darknet. Il paraît peu probable que les cybercriminels dépensent de telles sommes pour ce type d’attaque. Des pratiques, certes plus classiques, mais également plus éprouvées telles que le phishing, le vol d’identifiants et l’ingénierie sociale leur permet de toucher plus largement des personnes et entreprises vulnérable pour quelques lignes de code, quelques heures de recherche avant de voir des millions d'euros créditer leur compte sous la forme d'une cryptomonnaies intraçable.

Le hacking-as-a-service (HaaS)

2023 sera particulièrement propice aux néophytes en cybercriminalité puisqu'ils n'auront plus besoin d'apprendre comment effectuer des attaques informatiques. Ces aspirant criminels pourront faire leur achats directement sur les places de marché et remplir leur chariot d'identifiants et des cookies volés, ou même des rançongiciels et des kits de phishing prêts à l’emploi à bas prix. Toutefois, les équipes de cybersécurité adopteront adeptes de l'approche de défense en profondeur, pourraient faire pencher la balance en leur faveur. En effet, en ayant pas de compétences informatiques poussées, les cybercriminels pressés de s’enrichir, commettront alors des erreurs ou multiplieront leurs traces sur le réseau et déclenchera les sondes et faisant ainsi échouer leurs plans. 

L'importance de bien former et informer son personnel

La sécurité informatique nous concerne tous : entreprises, associations, établissements publics. En effet, personne n’est à l’abri d’un problème de sécurité informatique, puisque dans la grande majorité des cas, ces soucis résultent d’erreurs humaines. Phishing, hameçonnage ou encore fuites de données, ces fléaux nous touchent quelque soit leur taille et son secteur d’activité. Il est donc urgent d’agir ! 

Conscientes des risques qu’elles encourent, les entreprises ne savent pas toujours comment s’en prémunir. Si investir dans des pare-feux, des antivirus ou d’autres systèmes de protection est un indispensable, sensibiliser et prévenir l’ensemble du personnel est également un incontournable mais il a un coût. Nous devons donc le rationaliser et l'inscrire dans une réflexion à long terme. Rome ne s'est pas construite en un jour ! Il en est de même pour la sécurité, il est important de procéder par étape et surtout ne pas oublier de fermer les portes dérobées les plus évidentes en premier. Moins notre surface d'attaque est importante plus notre système peut se montrer résillient.

Pourquoi sensibiliser le personnel à la sécurité informatique ?

Sensibiliser votre personnel à la sécurité informatique compte de nombreux bénéfices tant sur le plan technique, financier que juridique :

• Vous diminuez ainsi les risques d’atteinte à votre système d’information ;
• Vous limitez les pertes de vos données ;
• Vous réduisez les pertes financières inhérentes à ces compromissions.

En sensibilisant vos employés à ce sujet, vous leur apportez de nouvelles compétences, et développez la cyberculture de votre entreprise et les bons réflexes à avoir avant de cliquer sur un lien, répondre à une adresse email ou fournir des informations sensibles.

Les risques d’une faille dans la cybersécurité des entreprises

Selon l’Autorité Nationale en matière de Sécurité et de défense des Systèmes d’Information (ANSSI), leur nombre d'attaques informatiques a quadruplé entre 2019 et 2022 et il ne cesse d’évoluer.

Selon une étude d’IBM, acteur majeur du numérique, l’erreur humaine serait à l’origine de 90% des incidents liés à la sécurité informatique. Ce pourcentage s’explique par différents facteurs :

• Le personnel n’est pas ou est mal informé des réels dangers ;
• La formation permettant de comprendre les techniques de piratage et d’agir pour en limiter les risques fait défaut ;
• Les travailleurs font parfois preuve de naïveté, de distraction et, plus grave, de malveillance ;
• Les risques sont souvent difficiles à appréhender : comment savoir, en surfant sur un site, que celui-ci est en train d’infecter votre ordinateur ?

Comment sensibiliser les collaborateurs à la sécurité informatique ?

La sensibilisation des travailleurs nécessite la rédaction d’une charte informatique, une formation adéquate ainsi que des mises en situation.

Mettre en place une charte informatique

L’une des étapes essentielles à la sécurité informatique est d’instaurer une charte informatique au sein de votre structure. Cette dernière doit être rédigée par le RSSI (Responsable de la Sécurité des Systèmes d’Information) ou pour les PME par votre responsable informatique. Ce document présente la ligne de conduite à respecter par tous les salariés de l’entreprise. Il regroupe les règles ainsi que les bonnes pratiques inhérentes à l’utilisation de l’informatique de façon générale dans l’organisation.

La charte, créée afin d’éviter au maximum les cyberattaques, doit définir :

• Les outils informatiques mis à la disposition du personnel (postes de travail, imprimantes, smartphones, tablettes numériques, etc.) ;
• Les usages qui peuvent être faits de ces outils ;
• Les logiciels et applications disponibles (logiciels de gestion, administratifs, etc.) :
• Les précautions d’usage d’Internet, de la téléphonie, des e-mails, des partages de fichiers, etc. ;
• Les mesures à respecter en matière d’utilisation des données ;
• Les sanctions en cas de non-respect des directives.

Dans l’idéal, la charte informatique doit intégrer les usages liés au télétravail ainsi qu’à la mobilité (voyage professionnel, travail à distance, etc.). Notez que la charte informatique doit également comporter un volet juridique, et être conforme au Code du travail et au RGPD (Règlement Général sur la Protection des Données). Cette charte sera ensuite soit annexée au contrat de travail des salariés, ou jointe au règlement intérieur de l’entreprise et enfin inclus dans les contrats avec les prestataires extérieurs.

Parce que le matériel professionnel n'est pas un outil personnel, il est important de bien séparer les usages de vos salariés et surtout d'interdire l'installation, l'exécution d'outils qui n'ont pas été validé par votre personnel informatique.

Former votre personnel

La formation est également une étape dans la sensibilisation de vos employés et surtout de vos futures nouveaux collaborateurs. Ils seront ainsi conscients des principaux risques liés à la sécurité numérique. Ils pourront apprendre à les détecter et comprendre comment les limiter.

Ces formations contribueront à l’amélioration continue de votre structure et à sa cyberculture. En présentiel ou à distance, les formations devront aborder tous les aspects de la sécurité informatique en entreprise : postes de travail, risques d’Internet, travail à distance, comportements à adopter en cas d’attaque, etc. En plus de ses formations, il est essentiel de prévoir des séances de mise à jour ou l'envoie des bulletins d’information pour les alerter sur de nouveaux risques liés aux usages d'internet et de l'informatique.

Réaliser des mises en situation

La meilleure façon de sensibiliser les collaborateurs à la sécurité informatique est de les confronter aux risques. Dès lors, nous vous invitons à réaliser des mises en situation où vous pourriez, par exemple, proposer un test à l’insu des participants... Vous envoyez un courriel depuis une adresse hébergées par n'importe quel fournisseur de service, en dehors de votre propre nom de domaine, à l'ensemble de salariés. Ce mail contient un lien vers un site au couleur de votre entreprise, contenant dont le nom de domaine contient des mots comme "piratage", "fake", "hack" pour indiquer l’aspect malveillant et demandant à l'utilisateur de s'identifier avec son compte nominatif (Windows / Linux). Une fois ses informations saisies, l'utilisateur est redirigé vers une page lui signalant que son poste est compromis. Ce lien vous permettant d'avoir le suivre au niveau statistique (anonyme) du le nombre de clics effectués et vous pourrez ainsi vous faire une idée du niveau de maturité cyber de vos collaborateurs.

Il est important que ces tests soient portés sur les principaux risques auxquels les salariés sont exposés comme le hacking (intrusion) ou le phishing (hameçonnage). Après le test, vous réunissez votre personnel, de manière a faire un débriefing et aborder les bonnes pratiques à adopter dans ce type de situation.

N'hésitez pas à leur remettre (de manière numérique pour la préservation de la planète) les brochures réalisées et mises à disposition par l'ANSSI sur son site internet.