Plus 400 % en une seule semaine ! Dès l’entrée en vigueur du confinement en mars 2020, les tentatives de phishing(1) ont augmenté de façon alarmante, relate la plateforme gouvernementale Cybermalveillance, qui a constaté, dans la foulée, une augmentation fulgurante des demandes d’assistance des entreprises victimes de piratage de leurs systèmes informatiques et comptes en ligne ainsi que des attaques par rançongiciels(2).
Il faut dire que "80 % des entreprises sont mal préparées au cyberrisqueé, constate le cabinet pure player Synetis (Paris, Rennes, Nantes) qui les accompagne dans la sécurité de la transformation digitale. Par exemple la fraude au président, un grand classique de la cybersécurité (qui consisten à usurper l'identité d'un fournisseur), "touche tout le monde", alerte Sylvain Laborde, responsable du pôle Conseil SSI. "Et les sociétés de transport, de plus en plus interconnectés et digitalisées, sont d’autant plus vulnérables", complète-t-il.
Une charte de bonnes pratiques
Mais il faut reconnaître que, dans ce contexte économique fragilisé, les entreprises contraintes à des arbitrages peuvent avoir tendance à réduire leurs dépenses consacrées à la sécurité de l’information. Il reste toutefois possible d’améliorer sa stratégie avec des moyens plus limités. Sylvain Laborde suggère de mettre en œuvre une approche par les risques et de se concentrer sur ceux identifiés comme "majeurs".
En pleine crise sanitaire, la cybersécurité peut être reléguée au second plan. C’est le cas des Transports Gardon en Ardèche (160 salariés, 150 véhicules, 29 M€ de chiffre d’affaires) qui ne sont pas épargnés par l’augmentation du nombre de fraudes à l’identité. Bien que cette entreprise spécialisée dans le transport de véhicules utilise des solutions de sauvegarde interne et externe, un pare-feu et un VPN (réseau privé virtuel qui permet de sécuriser la connexion de l’utilisateur en la chiffrant et en la délocalisant sur un serveur externe), elle n’a pas réellement mis en place de stratégie de sécurité. Même si ce sujet est pris au sérieux, le dirigeant, Stéphane Gardon, reconnaît qu’il n’est pas prioritaire."Nous ne nous sentons pas réellement concernés, à tort ou à raison." Le transporteur pense rédiger une charte de bonnes pratiques sur l’utilisation informatique.
La crise est une aubaine
Certes, nul besoin de s’affoler, mais il ne faut pas sous-estimer le danger. L’expérience du directeur des systèmes d’information du groupe Mousset (Vendée) en témoigne. "Les tentatives d’intrusion (arnaque au président, usurpation d’identité…) sont constantes, ce qui nous force à accroître notre vigilance, relate Anaïs Babin, qui profite chaque mois du journal interne de l’entreprise pour aborder le sujet. Pas plus tard qu’en décembre dernier nous avons reçu l’appel de plateformes qui se sont fait passer pour des techniciens devant intervenir sur les postes de travail avec des prises en main à distance. Aussitôt le risque identifié, nos collaborateurs ont été avertis."
Avec l’arrivée brutale du confinement et la généralisation du télétravail, qui s’est imposée, notamment dans le secteur du transport routier, l’utilisation des services cloud a fortement augmenté et les attaques, déjà nombreuses, se sont multipliées. "Davantage d’entreprises plus ou moins matures ont ouvert, par nécessité, des flux à l’extérieur pour organiser et permettre le travail à distance", relate Thierry Mottin, chargé du Business Development chez Kh-Corporate, une entreprise de service numérique. Certaines organisations y étaient déjà préparées. C’est le cas chez Mousset.
L'aspect sécurité négligé
Même si le télétravail s’y est imposé à plus grande échelle, tous les sédentaires ont été concernés. Ce contexte a donc incité Anaïs Babin à accélérer certains projets de sécurité existants, comme l’identification unique pour une gestion des accès utilisateur plus efficace et sûre. Mais, pour d’autres organisations, cela a dû se dérouler dans l’urgence, sans réelle maîtrise des mesures de sécurité à mettre en place pour protéger de manière satisfaisante le système d’information.
"Dans la précipitation, beaucoup d’entreprises se sont concentrées sur l’autorisation des accès, en négligeant l’aspect sécurité. Il en résulte une explosion des voies d’accès non sécurisées dans les entreprises", constate Juliette Rizkallah, directrice marketing chez SailPoint, une entreprise spécialisée dans la gouvernance des identités et des accès.
(1) Phishing (ou hameçonnage) : messages (e-mail, SMS, etc.) visant à dérober des informations confidentielles (mots de passe, coordonnées bancaires, etc.) en usurpant l’identité d’un tiers de confiance.
(2) Rançongiciel (ransomware) : attaque qui consiste à chiffrer ou empêcher l’accès aux données de l’entreprise et à généralement réclamer une rançon pour les libérer.
Lire l'intégralité de l'article dans L'Officiel des Transporteurs N°3051 du 22 janvier 2021.