Cybersécurité - Innovations digitales et numériques

Pour évaluer la capacité de résistance de son système informatique, on peut évidemment faire effectuer un test d'intrusion. A une petite entreprise, il en coûtera aux alentours de 7000 euros. Une facture qui peut paraître prohibitive. " Evidemment cela ne s'adresse pas à tout petit entrepreneur , se défend Philippe Humeau, dont la société propose de tels tests. Mais si l'on a des secrets de fabrication, la dépense est justifiée. Nos interventions se déroulent encore malheureusement trop souvent en post-mortem, nous faisons peu de prévention. "

Plusieurs réflexes peuvent vous éviter d'être le prochain sur la liste. " Sensibilisez vos salariés en leur demandant de ne jamais accepter ce type de demande. Spécifiez-leur aussi qu'ils ne seront pas punis s'ils refusent d'effectuer un tel virement ", conseille Jean-Louis Di Giovanni. Bien souvent, les fraudeurs frappent lors des périodes de vacances du dirigeant ou la veille de week-end allongés. " Une fois que le virement est parti, vous disposez dans le meilleur des cas de moins de 48h pour le bloquer. " Restez vigilant lors de ces périodes propices.

Vous pouvez aussi limiter les virements manuels à certains collaborateurs seulement, ou instaurer des procédures spéciales pour les règlements en urgence. Désigner un référent en interne alerté en cas de suspicion de fraude est une autre possibilité. Enfin, sachez que les escrocs rivalisent d'imagination et peuvent vous duper en se faisant passant pour votre avocat, un responsable de l'administration fiscale, votre banquier.... " Depuis janvier, on observe une recrudescence des fraudes liées au passage au format Sepa, via des supposés tests de virements. Une PME de moins de 150 salariés s'est ainsi récemment fait dérober plus d'un million d'euros... ", dévoile Jean-Louis Di Giovanni. Mieux vaut donc redoubler de vigilance.

Ce pôle correspond à l’axe 4 du pacte Défense cyber présenté par le ministre de la Défense, Jean-Yves Le Drian, début février 2014. Paul-André Pincemin, chef de projet du pôle d’excellence cyber, explique : « Le pôle se structure autour de deux composantes indissociables. La première est consacrée à la formation initiale, la formation continue et l’enseignement supérieur. L’autre concerne la recherche, garante d’un enseignement supérieur de qualité, et le développement d’un tissu industriel avec une attention particulière pour les PME/PMI. Il doit également s’appuyer sur l’organisation technico-opérationnelle pour mettre en place les plates-formes nécessaires à la formation, l’entraînement à la gestion de cyberattaques et l’expérimentation de nouveaux produits de sécurité informatique. »

Beaucoup de petites et moyennes entreprises et de start-ups ont fait le choix de l'innovation technologique car, plus libres, elles ne sont pas enchaînées aux systèmes existants. Dans ce dossier, nous passons en revue les meilleures pratiques technologiques et les opportunités de transformation qu'elles offrent pour les PME, poumon de notre économie.

Au-delà, la question interpelle également sur la manière dont le sujet sécurité est traité au travers du cloud. La nature même du modèle fait qu’il peut s’avérer difficile de le rendre conforme aux exigences, ou à la stratégie sécurité du client, sur la base d’un modèle « tout inclus ». Ce problème renvoie à la flexibilité des solutions de cloud :

- A supporter des contrôles de sécurité en production :

• Suis-je capable de positionner mon dispositif de sécurité système d’entreprise et le gérer ?
• Est-il possible de provisionner mon cloud avec mes propres solutions et services de sécurité réseaux ?

- A être intégrées de manière transparente dans les modèles de gestion du risque en continu, de conformité et de gouvernance :

• Comment collecter et intégrer les logs de mon cloud dans mon système de cyber-surveillance ? Et quels types de logs suis-je capable de collecter ?
• Comment puis-je m’assurer que les contrôles de sécurité sont conformes à ma politique de sécurité (règles de firewall, couverture anti-virus, gestion des vulnérabilités et des correctifs…) ?

C’est à ce niveau, à mon sens, que se situe le débat le plus intéressant, renvoyant à des principes de séparation des responsabilités et de spécialisation sur le sujet sécurité dans l’intégralité de ses dimensions.

Installé principalement dans le Grand-Ouest (Caen, Nantes, Rennes, Laval, Rouen, Le Havre), le groupe Alticap propose à une clientèle de PME des solutions et des services pour gérer leur système d'information. Avec OnlyCloud, il a constitué une offre de cloud privé s'adressant à des entreprises ne disposant pas de responsable informatique. Il la décline en deux versions, l'une externalisée, OnlyCloud Hosted, et l'autre installée chez le client, OnlyCloud On Premise. La première s'appuie sur des serveurs virtuels hébergés dans un datacenter situé près de Caen, les entreprises étant en relation avec les équipes locales des différentes agences d'Alticap. Ce sont ces dernières qui prennent en charge pour la PME la disponibilité du service, des sauvegardes et de la sécurité.

Un réel besoin exprimé par les collaborateurs
L'étude montre que les solutions actuelles proposées par les PME sont loin de répondre aux besoins des collaborateurs de la Génération Cloud. Le PME qui n'adoptent pas ces nouvelles méthodes de travail flexible et collaboratif risque de perdre le contrôle de leurs réseaux et de les rendent potentiellement vulnérables.
·41% des salariés déclarent que les outils de travail collaboratif sont interdits sur leur lieu de travail (9% les utilisent quand même).
· 83% pensent qu'ils n'utilisent pas une solution Cloud officiellement approuvée par leur structure
· 43% n'ont pas les outils de partage d'informations avec les personnes extérieures à l'entreprise.
· 39% déclarent que leur entreprise n'a pas de politique officielle dans le partage d'informations professionnelles en dehors du réseau interne et 19% des salariés ne savent pas s'il en existe une.
·  67% des employés partagent encore les informations en support papier.
·  13% des salariés téléchargent des solutions de travail collaboratif si leur entreprise ne leur en fournit pas.

Symantec met en garde contre l’émergence d’une nouvelle tactique d’hameçonnage ciblé documentée depuis 2011, soit celle du «plan d’eau», que les anglophones appellent watering holes. Selon cette méthode, les cybercriminels vont faire du profilage social et analyser les sites Internet fréquentés par leur cible. Ils vont ensuite trouver une faille de sécurité sur un de ces sites légitimes et vont y intégrer un code malicieux. L’étape suivante est d’attendre que la victime visite à nouveau le site et d’en profiter pour installer un logiciel malveillant sur son ordinateur ou son appareil mobile, un peu comme un prédateur attend sa proie près d’un plan d’eau, sachant qu’elle devra tôt où tard venir s’y abreuver.

Le programme se divise en trois entités. D’abord, le projet Box@PME réunissant Airbus et quatre PMI et ETI de sa supply chain, dont CGX Aero. Un programme labellisé par le pôle de compétitivité Aerospace Valley début mars 2014. Ensuite, une entité de veille fédérant plusieurs laboratoires de recherche haut-garonnais. Enfin, une entité travaillant à la structuration de l’offre de formation dans le secteur de la cybersécurité. Deux diplômes universitaires sont ainsi en train d’émerger à Toulouse : l’un à l’IRIS dès la rentrée 2014 et l’autre au sein de l’Université Toulouse 1 - Capitole qui ouvrira en 2015. En résumé, il s’agit de mettre en commun les moyens pour répondre à des attaques de mieux en mieux organisées, que mènent des réseaux structurés. "Les donneurs d’ordre des cyber-attaques font appel à des experts en fonction du secteur d’activité pour savoir exactement que chercher !" raconte Didier Bosque, responsable de l’innovation chez Steria.

Paradoxe: les entreprises les moins prêtes à investir pour se protéger sont les PME, précisément les plus vulnérables. Car les cyberpirates savent que la plupart d'entre elles sont la clé d'entrée vers les grandes sociétés dont elles sont les sous-traitants. Le marché reste donc porteur.

Il faut dire que le SEPA va changer la vie des PME sur plusieurs points : trésorerie, juridique, informatique (mises à jour de logiciels de comptabilité et de paie) et gestion achats-commercial-RH (voir encadré ci-dessous). Au niveau des grandes entreprises, ce n’est pas forcément évident non plus de modifier le système d’information aux nouvelles normes de paiement unifié. Ainsi, fin novembre 2013, Silicon.fr signalait chez EDF un bug affectant 40 000 clients d’EDF associé à cette migration.