Cybersécurité : les PME montrent un excès de confiance face aux menaces

Michael Sentonas, président de CrowdStrike partage son expertise et les bonnes pratiques sur le sujet.

Les cybercriminels sont en effet conscients de la vulnérabilité de leurs structures et de la valeur potentielle des données qu’elles détiennent. Il est par conséquent essentiel que les PME soient formées pour faire face aux menaces à venir et savoir s’en protéger.

PME : des cibles facilement exploitables

Les cas de violation concernant les PME ne font pas souvent la une de l’actualité, ce qui peut les conduire à penser qu’elles passent inaperçues aux yeux des attaquants. Toutefois, la réalité est différente.

Elles font souvent partie des cibles facilement exploitables pour les auteurs de menaces, comme l’indiquent les chiffres. Une étude menée en 2022 révèle que 76% des PME interrogées ont été victimes d’au moins une cyberattaque en 2021, contre 55% en 2020, ce qui démontre que les attaques se multiplient. De même, selon un autre rapport, 63% des PME participantes signalent une augmentation des menaces de cybersécurité sophistiquées, telles que les ransomwares et les attaques basées sur l’usurpation d’identité (d’après l’enquête CrowdStrike 2022 sur les PME). 

Les différentes menaces

Ces menaces se présentent sous différentes formes. Selon le rapport Verizon DBIR 2022, les intrusions dans les systèmes, l’ingénierie sociale et les abus de privilèges représentent 98% des violations touchant les petites entreprises.

Par ailleurs, la compromission des identifiants totalise 93% des données exposées lors des attaques ciblant les PME. Au fil du temps, de plus en plus d’organisations redoutent d’être la prochaine cible des cybercriminels : une enquête CNBC menée auprès de plus de 2 000 chefs d’entreprise a ainsi révélé que 61% des petites structures d’au moins 50 employés craignent d’être frappées par une cyberattaque dans l’année à venir.

D’un point de vue financier, ces cyberattaques peuvent exercer une pression considérable sur les PME, ce qui constitue une préoccupation majeure dans un climat macroéconomique difficile. Une étude récente indique ainsi que 60% de PME victimes été contraintes de mettre fin à leur activité dans les six mois suivants l’attaque.

L’ingénierie sociale

Si de nombreuses PME se disent familiarisées avec les logiciels malveillants et ont installé ce qu’elles considèrent comme des mesures de sécurité (par ex., des logiciels antivirus de base) pour lutter contre ce type d’attaques, le paysage des menaces est nettement plus complexe et sophistiqué aujourd’hui qu’hier. Les cybercriminels continuent de faire évoluer rapidement leurs stratégies pour contourner les outils de sécurité traditionnels, ce qui rend les systèmes antivirus historiques de plus en plus inefficaces pour protéger les PME.

De nombreux adversaires emploient des méthodes d’ingénierie sociale ciblant les employés pour s’introduire dans des entreprises de toutes tailles. L’année 2022 a été marquée par une multiplication des attaques basées sur l’identité et par le développement de techniques sophistiquées sans fichier, contournant les défenses traditionnelles d’authentification multi-facteurs. Les attaquants ne se contentent plus simplement de voler les identifiants, mais emploient désormais diverses techniques (Pass-the-Cookie, Golden SAML, ingénierie sociale exploitant la fatigue due à l’excès de requêtes MFA, etc.) pour compromettre les identités. Selon les données sur les menaces recueillies par CrowdStrike en 2022, 71 % des violations se passent de logiciels malveillants pour contourner les logiciels antivirus obsolètes qui ne recherchent que des logiciels malveillants connus sur la base de fichiers et de signatures.

L’évolution des techniques d’attaque ne montre aucun signe de ralentissement pour 2023. Dans ce contexte, les PME doivent à tout prix exploiter au mieux leur temps et leurs ressources pour tenir tête aux adversaires même les plus avancés et ce, malgré des budgets et des effectifs restreints.

Les bonnes pratiques du dispositif de défense

Une bonne action offensive est une excellente mesure défensive. Au-delà de détecter les menaces, les PME doivent également se focaliser sur la prévention de ces menaces. Compte tenu du temps, des ressources et de l’expertise limités dont elles disposent, nombre de PME misent sur des services managés pour augmenter leurs capacités.

En outre, les bonnes pratiques suivantes peuvent avoir un impact conséquent sur la robustesse de votre dispositif de défense.

• Sensibilisez les employés

Tous les collaborateurs doivent être conscients des types de menaces de sécurité et d’attaques par ingénierie sociale (phishing, smishing, honey trapping, etc.) auxquelles ils sont confrontés sur leur lieu de travail.

• Appliquez l’authentification multifacteur (MFA)

À l’heure où l’identité devient une composante fondamentale pour les cyberattaques, la MFA fournit une couche de défense supplémentaire pour garantir qu’il s’agit bien d’un employé accédant aux systèmes et aux ressources, et non un attaquant.

• Sauvegardez régulièrement les données critiques

En cas de violation de données de votre entreprise, une sauvegarde dans le cloud peut aider à limiter l’impact sur l’activité de l’entreprise. Le cloud améliore l’accessibilité et la visibilité sur les sauvegardes de données, et accélère les exécutions, ce qui minimise davantage les interruptions. Il est important de noter que les sauvegardes peuvent également être chiffrées par un attaquant s’il parvient à accéder aux systèmes. C’est pourquoi il est crucial de mettre en place une défense solide.

• Restez à jour sur les correctifs logiciels

Une violation de données commence généralement par l’exploitation d’une vulnérabilité non corrigée. Maintenir les logiciels à jour permet de bloquer ce vecteur. L’agence américaine de cybersécurité et de sécurité des infrastructures (CISA) dispose d’une liste actualisée des failles de sécurité connues connues exploitées.

• Verrouillez les environnements cloud

La mise en œuvre de l’authentification multifacteur (MFA) et du principe du moindre privilège permettent de protéger les espaces de stockage cloud (Box, Google Drive, etc.), et de veiller ainsi à ce que les collaborateurs n’aient accès qu’aux ressources dont ils ont besoin pour leur travail.

• Implémentez et testez le système de détection et réponse

L’analyse de l’environnement et des comportements des utilisateurs permet une détection plus rapide des activités malveillantes ou anormales. Il est important de rester constamment informé des acteurs malveillants, des techniques utilisées et des indicateurs d’attaques, tout en définissant et documentant un processus de réponse aux incidents efficace et en le testant régulièrement. Cela permet de se préparer au « quand » et non au « si » une attaque survient.

La cyberveille

Une fois que les fondamentaux sont maîtrisés, il faut mettre en place une défense fondée sur la cyberveille pour les besoins de détection et de réponse. Cerner les auteurs de menaces n’a pas à être complexe ou chronophage, tant que l’on dispose des bonnes données de cyberveille. L’attribution des attaques permet aux équipes en charge de la sécurité de comprendre leur véritable posture de risque en identifiant les cybercriminels susceptibles de les cibler, les méthodes qu’ils pourraient utiliser, et d’ajuster leur stratégie en conséquence.

La cybersécurité est un défi de taille pour les PME, mais il est possible de construire une posture de sécurité solide et de protéger les systèmes contre les menaces actuelles, même avec des ressources limitées. En réexaminant les stratégies de sécurité et en renforçant les défenses dès maintenant, cela peut faire une énorme différence dans la capacité de l’entreprise à faire face à une cyberattaque, que ce soit en cas ou lorsqu’elle se produira.