Une menace importante et croissante pour la cybersécurité pèse sur les entreprises et les administrations, provenant souvent de leurs propres employés ou de partenaires commerciaux, généralement par manque de connaissances ou par négligence. La sensibilisation et l’information deviennent donc essentielles afin de minimiser les risques cyber liés au personnel interne.

Le logiciel rançongiciel, ou logiciel d’extorsion, constitue certes la menace la plus grave pour les réseaux d’entreprise. Mais arrive juste derrière l’hameçonnage (phishing), c’est-à-dire la tentative d’obtenir des données bancaires ou des mots de passe par des courriels falsifiés, ou de prendre le contrôle des réseaux d’entreprise via des pièces jointes ou des liens malveillants. Les cybercriminels comptent ici sur la naïveté ou l’ignorance des employés dans les entreprises, les administrations et les services publics. Ces derniers ouvrent de plus en plus grand la porte aux pirates informatiques, comme le montre une étude internationale menée par l’assureur britannique Hiscox.

Nettement plus d’attaques informatiques

L’étude s’appuie sur un sondage mené auprès de 2 150 cadres dirigeants aux États-Unis, en Allemagne et dans six autres pays européens. Deux tiers des personnes interrogées (67 %), un peu moins en Allemagne avec 60 %, ont indiqué que le nombre d’attaques informatiques avait augmenté au cours des 12 derniers mois.

Après la divulgation d’incidents, 43 % des entreprises concernées ont perdu des clients par la suite. C’est pourquoi des spécialistes de la cybersécurité comme Axians Deutschland insistent sur la nécessité de former les collaborateurs afin d’améliorer leur vigilance face au phishing et aux soi-disant « honeypots » (pièges à miel), prenant la forme d’offres alléchantes sur Internet.

Un pare-feu humain prévient les escroqueries

On parle également de mise en place d’un pare-feu humain. Les entreprises peuvent renforcer celui-ci, comme l’explique un livre blanc sur la sensibilisation à la cybersécurité, publié gratuitement en collaboration avec KnowBe4.

Une technique relativement récente, qui préoccupe de plus en plus les entreprises, est l’escroquerie au président, également appelée fraude au dirigeant ou « fake president ». Il s’agit d’e-mails qui semblent provenir de manière trompeuse de supérieurs hiérarchiques ou directement de la direction, dans le but d’obtenir des données d’entreprise ou même de faire exécuter de gros virements.

Dans le milieu professionnel, on parle ici d’ingénierie sociale. « Cela consiste à manipuler des collaborateurs afin d’obtenir des données sensibles de l’entreprise », explique Gisela Kimmerle, responsable de l’activité assurance cybersécurité chez Hiscox Allemagne.

Auf Geldforderungen einzugehen lohnt sich selten

Des incidents visant à rediriger des paiements vers son propre compte bancaire ne sont pas des cas isolés. Selon une étude réalisée par Hiscox, 58 % des entreprises interrogées ont signalé des dommages parfois considérables dus à des fraudes portant sur les moyens de paiement. Cette forme de préjudice est désormais la plus fréquente, comme le souligne ChannelPartner.

Selon Kimmerle, les ransomwares, autrement dit l’extorsion en ligne, constituent également une menace croissante pour les entreprises. Les attaquants chiffrent alors les réseaux informatiques de l’entreprise et exigent une rançon pour leur déverrouillage, rançon qu’ils refusent souvent d’honorer par la suite, espérant ainsi obtenir davantage de paiements.

Viele Expertinnen und Experten raten daher von Lösegeldzahlungen ab. Und auch Kimmerle stellt fest: „Lösegeldzahlungen lohnen sich in den meisten Fällen nicht.“ Viele betroffene Unternehmen wissen sich allerdings gar nicht anders zu helfen.

Besser ist es, es gar nicht so weit kommen zu lassen und im Vorfeld bereits geeignete Maßnahmen für mehr Cybersecurity zu ergreifen, sowohl durch technische Lösungen als auch durch die spezielle Schulung der eigenen Mitarbeitenden. Dabei erhalten Unternehmen Unterstützung von erfahrenen Partnern wie Axians. Weiterführende Informationen zum Cybersecurity-Portfolio des IT-Dienstleisters finden Sie hier.

Image d’en-tête : Adobe Stock /  ArtCraft