8 min.

Renforcer sa cybersécurité à l'ère des hackers

Publié le
06/2023
Rédacteur
Florent Mongellaz
Chef de projet & Data Privacy Officer (DPA)
Recevez les bonnes pratiques en matière d'ERP et les nouveautés
Vous êtes inscrit ! 
Veuillez réessayer !

Le top 3 des idées reçues

Première idée reçue: les grandes entreprises sont les plus susceptibles de se faire attaquer

Selon Marc Barbezat, directeur de la sécurité numérique, canton de Vaud, “la taille de l’entreprise n’a pas d’impact sur le risque d’attaques, les hackers attaquent par opportunisme sur les cibles les plus faciles”.

Deuxième idée reçue: Les attaques sont marginales

1/3 des PME suisse se sont déjà fait pirater (+44% en 2021) et ce chiffre est en augmentation constante. Cela est d’autant plus inquiétant que seules 50% des PME disposent d’un dispositif de sécurité informatique.

Troisième idée reçue: Une fois attaqué, il est déjà trop tard.

Cela peut effectivement être le cas suivant le piratage en cours mais souvent il est encore possible de limiter les dégâts. La clé se trouve au niveau des employés de l’entreprise. Une personne ayant cliqué sur un lien frauduleux n’osera peut-être pas transmettre l’information si elle n’a pas été mise au confiance au préalable pour le faire. D’autre part, si les employés ont été sensibilisés en amont, ils seront capables d'éviter ce genre de situation (ouverture d’un lien sur un mail frauduleux par exemple) mais ils pourront également reconnaitre des activités suspectes lorsque le piratage est en cours et transmettre cette information au service IT compétent. Pour cette raison, Alain Mowat, Responsable Division Audit, SCRT a appuyé sur le fait que “les employés ont une influence énorme sur le succès de la défense de cybersécurité”.

Se mettre dans la peau d’un pirate informatique

Une fois ces informations connues, mettons-nous dans la peau des pirates informatiques pour mieux comprendre leurs motivations et leurs techniques.

Découvrez les cinq catégories de pirate

• Celui qui le fait pour le fun, il veut se prouver qu’il peut réussir à hacker n’importe quelle base de données
• Les ex collaborateurs mécontents
• L'hacktiviste qui veut faire avancer une cause
• Les groupes de cybercriminel → majorité des pirates dans notre cas
• Le gouvernement

Les éléments recherchés en priorité concernent:

• Les informations bancaires
• L’usurpation d’identité → souvent minimisée dans la part du risque mais très important

Découvrez les méthodes de piratage couramment utilisées

De nombreuses techniques de piratage existent. Nous vous présentons ici les plus couramment utilisées.

Deviner le mot de passe

• Les hackers devinent les mots de passe en fonction des données personnelles qu’ils peuvent trouver sur Internet
• Une fois un mot de passe découvert, ils réutilisent ce mot de passe légitime sur plusieurs interfaces
• La majorité des personnes utilisent le même mot de passe partout


“Pour vérifier si votre email ou numéro de téléphone a été compromis: Have I Been Pwned: Check if your email has been compromised in a data breach

• Attaque via dictionnaire
• Les pirates récupèrent des mots de passe au cours de leur piratage, auxquels ils en ajoutent d’autres, partagés par d’autres pirates sur le dark web. Ils lancent une requête qui va tester tous les mots de passe du dictionnaire sur une interface en particulier en un temps record.
• Identifier tous les employés et tenter des mots de passe fréquemment utilisés de manière automatisée par code
• Le pirate va récupérer les adresses mails de tous les employés. De la même manière que la technique précédente, il va tenter des mots de passe fréquemment utilisés sur toutes les adresses. Une adresse avec un mot de passe suffit pour créer une brèche au sein de toute l’entreprise.
• Attaque par force brute
• Pour trouver un mot de passe de 7 caractères, le pirate a besoin de 2 à 31 secondes grâce à des outils très puissants qui testent des mots de passe différents.

Convaincre de donner le mot de passe

Si les attaques classiques contre les mots de passe faible n’ont pas fonctionné, les pirates s’en remettent parfois à des campagnes de phishing. Cette technique est largement utilisée car très simple à mettre en place. A travers des outils conçus pour cette tâche, des mails peuvent être envoyés via une adresse mail façonnée de toute pièce, à toutes les adresses mails existantes.

Le but peut être double, à travers une manipulation psychologique:

• Le pirate fait du chantage affectif en fonction d’informations qu’il a trouvé sur internet ou des suppositions inventées de toute pièce pour demander des rançons ou vous faire faire des actions qui peuvent mettre en péril d’autres utilisateurs ou l’entreprise toute entière
• Le pirate tente de vous faire cliquer sur un lien frauduleux pour prendre le contrôle de votre ordinateur

Lors du programme Trust4SMEs, des campagnes ont été faites dans ce sens pour tester le niveau des entreprises participantes. Voici les résultats:

Campagne (2562 mails envoyés) Résultats Niveau
Au début du programme 1893 ouvertures - 36% clics
Au milieu du programme 1460 ouvertures - 8% clics
A la fin du programme 1111 ouvertures - 70 mots de passe récupérés
Moyenne mondiale 19,8% de clics

Compromettre des appareils

Plusieurs méthodes existent, parmi les plus connues: virus, cheval de Troie, ransomware.

Tous les jours, 390k nouveaux virus sont recensés. Les techniques sont les suivantes :

Intercepter les communications

Sur un wifi public et sur des sites en http (non sécurisés), tout le monde peut voir tout ce que vous êtes en train de faire et récupérer les données devient plus facile. C’est le cas notamment depuis les ordinateurs mails aussi depuis les téléphones. Néanmoins, les sites non sécurisés sont de moins en moins nombreux et les ordinateurs vous indiquent que vous vous rendez sur un site “dangereux”. Le cadenas indique que le site est sécurisé:

Pirater une application utilisée par l’utilisateur

Lorsqu’un document est envoyé par mail par un pirate, comme cela peut être le cas d’un Excel, des lignes de code sont ajoutées au fichier. Cela n’est pas visible pour vous mais des lignes de code donnent des accès au pirate qui lui permettent de prendre contrôle de votre ordinateur.

Cela est également le cas des applications pour téléphone disponibles sur l’App Store ou sur Android. Pour éviter d’installer des app frauduleuses, pensez à regarder le nombre de téléchargements et avis.

Comme précisé précédemment, les attaques ne sont pas uniquement basées sur les adresses mails mais elles sont également nombreuses sur les réseaux sociaux, via SMS ou Whatsapp.

Pour contrer ces différents éléments, l’anti-virus (même gratuit) est nécessaire mais pas suffisant. Il est en effet indispensable de mettre à jour les navigateurs car les brèches de sécurité découvertes sont résolues à travers ce système de mise à jour.

Les enjeux derrière le piratage

Les enjeux sont nombreux mais il est possible de récapituler les principaux à travers ces quatre types:

• Usurpation d’identité → souvent minimisé mais très important
• Vente des données personnelles / sensibles (informations médicales par exemple)
• Chantage personnel
• Chantage au niveau de l’entreprise

Les bons réflexes à adopter

• Utiliser des mots de passe avec 12 caractères min (avec maj, min, chiffres, caractères spéciaux)
• Penser phrases de passe (ex: ne M’oubl1ez pas)
• Eviter de l’utiliser à plusieurs reprises
• Utiliser un gestionnaire de mots de passe (ex. Bitwarden)
• Utiliser l’authentification multi-facteurs
 • Ne pas chercher à cacher lorsque l’on a cliqué sur un lien frauduleux: avertir les personnes compétentes au service IT
 • Appliquer les mises à jour
 • Ne jamais ignorer un avertissement de sécurité
 • Ne pas hésiter à demander de l’aide
• Eviter l’utilisation des wifi publics

Et AUBEP dans tout ça ?

Vous pourrez retrouver ici les éléments mis en place par AUBEP et découvrez notre politique de sécurité

En bref, nos équipes travaillent en continu sur :

Des hébergements multisites redondants
Une disponibilité maximale des plateformes
Des sauvegardes 3 couches et multisites
Un suivi de l'activité des plateformes
Un contrôle régulier des sauvegardes
Une sensibilisation des équipes
Des canaux de communication pour réagir vite
Un temps de reprise d'activité minimal en cas d'incident
Une perte minimale de donnée en cas d'incident
Une sécurisation du transport et du stockage des données
Des tests d'intrusion par des entreprises externes
Des plans d'action prêts grâce aux programmes de soutien Trust Valley

Et le meilleur pour la fin, AUBEP est certifié Cyber-Safe !

Découvrez les détails de cette certification par le label suisse de sécurité de référence sur notre article dédié

Nos dernières analyses

Nous sommes convaincus que les logiciels ERP peuvent jouer un rôle crucial dans la croissance et le succès de votre entreprise. Alors n'hésitez pas à plonger dans nos articles.
Article

Ingénieur, géomètre ou actif dans un autre métier de services, comment gérer mon entreprise de manière efficiente ?

Un logiciel de gestion d'entreprise performant et qui s'adapte à vos besoins
Samuel Brasey
April 2, 2024
2 min.
Article

La planification à l'ère moderne de l'industrie

Planifier ses lots et anticiper ses besoins est indispensable pour respecter les délais clients
Florent Mongellaz
March 22, 2024
5 min.
Article

Changer de logiciel facilement grâce à une importation facilitée de vos données

Nos outils d'importation vous permettent de gagner du temps lors de votre arrivée sur AUBEP. Cela vous permet notamment de conserver toutes vos données utiles en toute sécurité.
Florent Mongellaz
October 17, 2023
2 min.
Bonnes pratiques

Gestion de projet: l'importance cruciale de la planification des agendas

La gestion de projet est une composante essentielle pour atteindre avec succès les objectifs fixés
Gladys Meyer
August 28, 2023
2 min.
Article

Ingénieur, géomètre ou actif dans un autre métier de services, comment gérer mon entreprise de manière efficiente ?

Un logiciel de gestion d'entreprise performant et qui s'adapte à vos besoins
Samuel Brasey
April 2, 2024
2 min.

keep in touch !

Si vous souhaitez une démo de notre solution ou simplement prendre contact avec nos spécialistes, n'hésitez pas à nous contacter sur la page prévue à cet effet.