Vous êtes associé dans un cabinet d’avocats de taille petite ou moyenne et vous sous-traitez la gestion de votre système d’information ? Vous pensez passer sous les radars des hackers, ces individus malfaisants en sweat à capuche et masque anonymous qui ne ciblent de toute façon que les grosses entreprises ; quand ce ne sont pas des États qui règlent leurs comptes entre eux !

Et bien détrompez-vous : la CPME (Confédération des Petites et Moyennes Entreprises) estimait qu’en 2019, 40 % des entreprises de moins de 50 salariés avaient été victimes d’une cyber-attaque. Le MEDEF, lui, précisait que 20 % des TPE touchées par une attaque avaient subi un préjudice supérieur à 50 000 euros, et 13 % un préjudice dépassant 100 000 euros. Et les dommages ne sont pas toujours facilement chiffrables : perte de confiance des clients, perte de données irrécupérables, immobilisation durable, etc.

Les cyber-attaques contre les PME et TPE se multiplient ces dernières années. Et quand on y regarde de plus près, les hackers auraient en effet tort de se priver !

Un beau vivier

Les TPE/PME représentent 99,9 % des entreprises françaises, d’après l’INSEE. Et contrairement aux grands groupes, elles ont beaucoup moins de moyens financiers disponibles pour mettre en oeuvre des politiques de sécurité informatique. Elles sont souvent aussi moins sensibilisées, et moins formées.

La preuve : voici quelques questions portant sur votre système d’information.

 De quand date votre dernière formation de sensibilisation à la sécurité informatique ?
 Vous inscrivez-vous sur des sites non professionnels (Netflix, Amazone, forums divers) avec une adresse mail professionnelle ?
 Utilisez-vous votre ordinateur personnel pour travailler ?
 Faites-vous des mises à jour régulières de vos applications et de vos systèmes d’exploitation ? Changez-vous régulièrement vos mots de passe ?
 Avez-vous des sauvegardes de vos données ?

Si ces questions ne vous disent rien, il est peut-être temps de vous inquiéter. Par ce que le hacker, lui, les aura en tête !

En étant moins sensibilisés et moins formés, vous multipliez les points d’entrées. Vous devenez une cible facile.

Des hackers opportunistes

Nous disions donc, le hacker, « cet individu malfaisant en sweat à capuche et masque anonymous ». Le hacker est un être patient, acharné, doté de moyens techniques impressionnants, capable de prouesses en code ; il passe des heures à préparer ses coups, à la Ocean’s Eleven (ou à la Arsène Lupin) ; toute cette préparation, ce n’est certainement pas pour récupérer un simple brevet !, vous dites-vous.

Mais malheureusement pour les TPE et PME (et donc potentiellement pour vous), cette image est très romancée. De la même manière que Jacques Cassandri (le casse du siècle de Nice) ou Bonnie & Clyde coexistaient avec des milliers de petits voleurs et de pickpockets de métropolitains, les hackers de grande envergure (étatiques, hacktivistes ou génies du crime) côtoient des petites mains, des magouilleurs, des bandits du dimanche.

La plupart des piratages sont même de cette eau-là. Il s’agit bien souvent de mail de phishing (hameçonnage), envoyé à des dizaines de milliers d’adresses mail comme des bouteilles à la mer, de manière automatique, en espérant que le plus grand nombre possible d’usagers clique sur le lien ; ou de ransomwares (rançongiciel) qui se propagent de manière sauvage sur internet, avec peu d’action requise de la part des pirates. Voyez par exemple le fameux ransomware « WannaCry », qui a touché plus de 300 000 ordinateurs, parfois de petites entreprises, chiffrant leurs données et les rendant inaccessibles. Qu’importe la cible originelle : les piratages de ce type « ratissent large », les malwares se répandent de machine en machine pour en contaminer le plus possible et à terme, multiplier les usagers infectés et donc les rançons obtenues.

Une nouvelle ère : l’industrialisation des cyber-attaques

Le piratage est entré dans une nouvelle ère, d’automatisation et d’industrialisation des attaques. Des listes d’emails ou d’informations bancaires sont facilement trouvables (moyennant finance !) sur le dark web, des scrappers sont disponibles pour collecter des informations en masse, des scanners peuvent balayer des milliers de ports à la minute, des outils sont proposés « clefs en main » par des hackers chevronnés qui préfèrent vendre leurs créations que risquer la prison (dans le jargon, ceux qui utilisent ces outils sont souvent appelés des scripts kiddies, des « gamins » qui n’ont aucune compétence technique particulière et qui se reposent donc sur des scripts tout faits pour mener leurs piratages)…

Le pirate lance ses outils comme un pêcheur lance ses filets, et à la fin de la journée, il regarde ce qu’il a remonté : des ports ouverts sur des machines non mises à jour, des employés qui ont cliqué sur des liens frauduleux, des virus qui ont été installés avec succès sur des serveurs mal protégés. Qu’importe la taille de l’entreprise, la quantité prime sur la qualité. À ce compte-là, personne n’est à l’abri !

Imaginez un voleur qui peut tester une porte par seconde. Elles défilent toutes devant ses yeux, il n’a qu’à tendre la main pour voir si la clenche s’abaisse, si le verrou est fermé ou non. Si la porte est ouverte, il rentre, il prend ce qu’il trouve à portée de main, il ressort, et il recommence. Cela vous donne une idée approximative de la facilité avec laquelle un hacker peut effleurer votre système d’information.

Vous n’êtes pas « perdus dans la masse », car le hacker sait comment exploiter cette masse. Il la scanne, il la teste, il la parcourt de ses outils. Si vous avez des vulnérabilités, alors il saura pénétrer dans votre système informatique.

Vous n’êtes pas invisible non plus. Si vous possédez un système informatique, alors vous existez dans le cyber-espace. Il est possible de vous trouver, et facilement pour ceux qui possèdent les outils adéquats. La magie de l’internet fait que, la plupart du temps et moyennant quelques microsecondes de différence, vous vous trouvez à égale distance de n’importe qui. Il ne reste plus qu’à savoir si votre porte ferme bien.

Heureusement, cette manière de faire à une grosse faille. Qui dit industrialisation et automatisation dit absence de personnalisation. Face à ces techniques grossières et stakhanovistes, il suffit parfois de moyens de protection simples et peu coûteux pour échapper à la majorité des attaques. Point n’est besoin d’un système de vidéosurveillance et d’alarme dernier cri pour éviter les attaques ; parfois, un simple verrou est suffisant pour décourager le pirate, qui ira voir ailleurs sans perdre plus de temps.

Vous voilà prévenu(e) !