Cybersécurité des entreprises : où en est-on ?

Le risque cyber est aujourd’hui une composante centrale dans les risques auxquels doivent faire face les entreprises. Vol de données, piratage des systèmes, demande de rançon après un chiffrement malveillant des données… Les méthodes utilisées par les cybercriminels sont variées, et exploitent des défaillances humaines ou matérielles. Tour d’horizon avec Pierre Rangdet, en charge des opérations chez LockSelf, entreprise qui fournit des solutions de sécurité informatique à des professionnels.

Pierre Rangdet. La maturité cyber des entreprises s’améliore. Il y a une vraie prise de conscience des chefs d’entreprise de TPE, de PME, mais aussi de grandes entreprises, que tout le monde est une cible. Il y a des efforts qui sont faits à la fois sur la sensibilisation des collaborateurs, mais aussi sur les mesures concrètes mises en place, en termes d’outils, en termes d’accompagnement. Le risque cyber est de plus en plus important, et connu.

En revanche, il y a une hétérogénéité en termes de maturité. Cela est en partie lié à des problématiques budgétaires. En effet, même si on est sensibilisé, même si on est conscient du risque, cela coûte de l’argent de prendre en compte ce risque. Il y a donc parfois des arbitrages faits en interne. Il y a aussi une hétérogénéité en fonction des secteurs. Certains sont plus matures que d’autres. Les secteurs de la défense, et le secteur public, avec lesquels on travaille beaucoup, sont plus sensibilisés, tout comme les entreprises de services numériques.

P. R. Aujourd’hui, on remarque qu’il y a des mauvaises pratiques qui subsistent : des mots de passe stockés dans des navigateurs, des post-it, des documents avec de nombreux mots de passe stockés en clair. Ces pratiques subsistent car, parfois, les gens ont du mal à changer leurs habitudes, et utiliser un gestionnaire de mots de passe nécessite d’intégrer un nouvel outil. On voit malgré tout une évolution dans le bon sens, avec une prise de conscience de l’importance d’avoir des mots de passe solides.

P. R. La première menace, c’est le phishing. Un email supposé vrai, est envoyé par des personnes se faisant passer pour un tiers (banque, assurance, client) par exemple, et renvoie vers un site visant à voler des identifiants. C’est la première menace, car elle cible les collaborateurs, qui sont une cible facile. Les pages de phishing sont plus vraies que nature, et il y a une vraie montée en gamme de ce type d’attaques. On constate des envois massifs, ou plus ciblés, avec des pages frauduleuses difficilement détectables. C’est pour ça que les entreprises investissent de plus en plus dans des solutions anti phishing, et essayent de sensibiliser les collaborateurs face à cette menace. Il y a vraiment deux volets dans la protection : un volet sensibilisation, et un volet outillage. Il existe des solutions d’anti-phishing, qui permettent de contrôler que l’expéditeur est vérifié. Chez LockSelf, notre gestionnaire de mots de passe identifie que la page de connexion est fausse, et donc ne renseigne pas l’identifiant, qui n’est ainsi pas récupéré par l’attaquant.

P. R. Sur les outils à mettre en place, il y a plusieurs niveaux : au niveau du réseau informatique, où on va pouvoir mettre en place des solutions pour détecter les attaques, et au niveau des utilisateurs finaux. Avec LockSelf nous aidons les collaborateurs à adopter de bonnes pratiques sur la gestion de leur mots de passe et nous permettons aux DSI de mettre en place un cloisonnement strict sur le qui a accès à quoi. Grâce au chiffrement nous apportons également une couche de sécurité indispensable pour la protection des assets de nos clients.

On a aussi d’autres solutions sur le partage de documents. Un des leviers est de venir chiffrer les données, comme le préconisent les directives européennes NIS2 et DORA. Aujourd’hui, les grandes entreprises haussent leur niveau d’exigence envers leurs prestataires et sous-traitants, en leur demandant de mettre en place des mécanismes de protection des données. Chez LockSelf, avec nos offres LockTransfer, qui permet de transférer des données de manière sécurisée, et notre coffre-fort numérique LockFiles, on répond à ce genre de problématiques.

P. R. Le risque zéro n’existe pas, mais nous mettons tout en œuvre pour réduire les risques en cas d’attaque. Cela passe par la robustesse de notre application et par notre utilisation de mécanismes de chiffrement certifiés par l’ANSSI. Nous sommes d’ailleurs le seul gestionnaire centralisé de mots de passe à avoir obtenu la CSPN en 2018 (en cours de renouvellement). Notre approche nous permet également de garantir à nos clients qu’à aucun moment nous ne pouvons accéder à leur donnée et nous positionner ainsi comme un vrai tiers de confiance.

Enfin, nous avons fait le choix de nous appuyer sur des cloud providers français pour nos offres d’hébergement cloud (Outscale, Scaleway) et nous proposons aux entreprises qui déploient nos solutions de le faire OnPremises, sur leurs propres serveurs.

P. R. Le paysage législatif et normatif européen est en pleine mutation depuis plusieurs années sur la partie cybersécurité et la France est évidemment moteur de ces évolutions. En plus du RGPD qui concerne toutes les entreprises, la transposition récente des directives NIS2 et DORA dans le droit français vient densifier les exigences en matière de sécurité de la donnée avec des sanctions possibles en cas de non-respect de celles-ci.

Nous accompagnons d’ailleurs de nombreux projets de conformité en ce début d’année puisque nous adressons plusieurs pans de ces directives autour du chiffrement, de la gestion des accès, du PRA (Plan de reprise d’activité) ou de la sécurisation de la supply chain.