France: Entreprise: La prise de conscience du problème de hacking

Sécurité informatiqueDébut février, 800.000 clients d’Orange ont eu la mauvaise surprise de se faire pirater. Noms, prénoms, adresses, téléphones, tel est en gros le butin accumulé par les hackers. Minimisant l’ampleur des dommages, l’opérateur a assuré que ni les numéros de CB, de RIB, ou les mots de passe n’avaient été volés. « Nous chiffrons nos données sensibles », certifie Laurent Benatar, directeur technique d’Orange France. La mésaventure d’Orange rappelle à quel point la cybercriminalité est une réalité. « Le nombre d’attaques a doublé en un an », confirme Laurent Benatar. « Chaque jour, nous sommes scannés par des robots. En janvier, nous avons détecté 10 tentatives de “phishing” [hameçonnage], 3 ou 4 nouveaux virus, et deux attaques en déni de service », témoigne Raymond Bunge, directeur informatique du réseau Société Générale. En ce moment, certains clients de la Banque Populaire sont victimes d’un virus d’usurpation d’identité.

Cartographier les risques

Face à cet inquiétant fléau, les entreprises ne prennent plus les choses à la légère. « Il y a une vraie prise de conscience. Certaines entreprises, notamment dans la grande Cybersécurité 2013distribution, disaient il y a quelques années ne pas être concernées. Ce n’est plus le cas », se félicite Michel Van Der Berghe, à la tête d’Atheos, racheté par Orange début janvier, et qui a donné naissance à Orange Cyberdéfense. En témoigne la hausse des dépenses annuelles dans la sécurité (lire ci-contre).

Si les activités les plus exposées – banques, opérateurs télécoms, aéronautique – ont très tôt investi dans des systèmes de sécurité, les entreprises ou les systèmes d’information qui étaient le moins présents sur le Net, comme dans l’industrie, sont plus démunis. Ainsi, les hackers des magasins Target aux Etats-Unis, où les données de 400 millions de comptes clients ont été dérobées, ont pénétré l’entreprise par les systèmes de climatisation. Les PME, qui n’ont ni les moyens ni les compétences en interne, sont les plus fragiles.

Pourtant, les stratégies de cyber-défense ne s’avèrent pas toujours très efficaces. « Les entreprises ont des systèmes de sécurité trop centrés sur leur périmètre : elles bloquent l’entrée, mais, une fois à l’intérieur, c’est facile », explique Mathieu Poujol, consultant chez PAC Online. «  Quand on réalise des tests d’intrusion dans les grandes entreprises, on entre à chaque fois », assure Jonathan Brossard, qui a fondé Toucan System, une société qui travaille pour les grands groupes. Principal problème : les systèmes d’information ont été conçus à une époque où il n’y avait ni mobile, ni tablette, ni réseaux sociaux. Aujourd’hui, le nombre de points d’entrée est infini. « Grâce à l’ingénierie sociale [identifier des profils sur les réseaux sociaux, NDLR] , certains tentent de se faire passer pour un dirigeant majeur [comme Frédéric Oudéa] pour faire effectuer des virements vers des pays lointains », témoigne Raymond Bunge, de la Société Générale.

Comment faire alors ? «  Il faut réfléchir à la sécurité dès la conception des réseaux », tranche Jonathan Brossard. «  Même si les banques sont en avance, elles doivent faire évoluer leur réseau, car elles sont de plus en plus ouvertes au public  », considère Philippe Courtot, fondateur de Qualys, une société de cybersécurité.

« On ne peut pas tout protéger. Il faut avoir une cartographie des personnes critiques et des données ultrasensibles », explique Michel Van Der Berghe. Atheos trace les administrateurs des logiciels sensibles, comme les outils de paie, afin de suivre tous leurs mouvements grâce à un système de mots de passe enfermés dans des coffres-forts électroniques. Même sur le devant de la scène, la cybersécurité reste taboue – ni Carrefour ni Voyages-sncf n’ont souhaité témoigner – et les entreprises réfléchissent à deux fois avant de porter plainte. « Elles ont souvent peur que la procédure pénale ne leur échappe, et que cela ne leur fasse de la mauvaise publicité », explique Isabelle Renard, avocate au cabinet Derriennic.

Auteur: Sandrine Cassini
Source: http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203323985078-la-difficile-lutte-des-entreprises-contre-les-hackers-651425.php