Les principales menaces à la cybersécurité des entreprises et comment s'en protéger

Ces dernières années, le passage au télétravail provoqué par la pandémie de COVID-19, combiné à la transformation numérique de nombreuses organisations, a créé de nouvelles opportunités pour les cybercriminels. C'est pourquoi il est crucial pour toutes les entreprises, grandes ou petites, de comprendre les principales menaces à la cybersécurité et les problèmes de sécurité des sites Web, afin de pouvoir prendre des mesures de protection. Lisez ce qui suit pour en savoir plus.

Risque de cybersécurité n° 1 pour les entreprises : les ransomwares

Selon nos informations, 80 % des entreprises dans le monde ont subi une forme d'attaque par ransomware en 2021. Les ransomwares (également appelés rançongiciels) sont des logiciels qui bloquent l'accès des utilisateurs à leur ordinateur ou limitent l'accès aux données en chiffrant ces dernières. L'utilisateur doit alors saisir un code ou une clé spéciale pour rétablir l'accès, et le pirate ne fournira la clé que si la rançon est payée. Les ransomwares les plus malveillants effacent toutes les données des utilisateurs, même si la rançon est payée.

De nombreux propriétaires de petites ou moyennes entreprises estiment que leur société pourrait en être épargnée, au profit des grandes entreprises beaucoup plus attrayantes pour les pirates. Ils se renseignent sur les cyberattaques de grande envergure dont ont été victimes de grandes organisations et se sentent en sécurité par rapport à elles ; cependant, les grandes entreprises ont appris à leurs dépens à renforcer leur protection contre les cyberintrus et à perfectionner leurs systèmes de défense contre de futures attaques.

Les cybercriminels peuvent donc s'attaquer plus facilement aux PME, qui disposent souvent d'une protection minimale et n'ont pas les connaissances nécessaires pour éviter le vol de données sur leurs ordinateurs. Les mots de passe sont faciles à récupérer, tout comme d’autres informations telles que les coordonnées bancaires, les adresses résidentielles et même les numéros de sécurité sociale. Armés de ces informations, les cybercriminels peuvent drainer des fonds, usurper des identités et perpétrer des cyberattaques contre des entreprises, voire des gouvernements.

Comment les entreprises peuvent-elles se protéger contre les ransomwares ?

Superposez les mesures de sécurité : Pour réduire le risque d'attaque par ransomware, adoptez une approche stratifiée de la cybersécurité. Cela signifie qu'il faut utiliser une variété d'outils de sécurité en combinaison les uns avec les autres. Par exemple, utilisez un antivirus de bonne qualité sur chaque appareil et tenez-le à jour, installez un pare-feu, utilisez des filtres anti-spam et un système de prévention des pertes de données dans le cloud. L'utilisation d'une combinaison d'outils implique qu'en cas de défaillance de l'un d'entre eux, d'autres sont en place pour prendre le relais.

Sauvegardez vos données : Assurez-vous que votre entreprise dispose d'une sauvegarde complète hors ligne de votre système, à jour et séparée du réseau principal. Cela vous permettra d'accéder à vos données même si votre entreprise est victime d'une demande de rançon. Testez régulièrement votre sauvegarde pour vous assurer qu'elle fonctionnera lorsque vous en aurez besoin.

Passez en revue votre politique BYOD (Apportez votre propre appareil) : Avec le passage au télétravail, les employés utilisent parfois leurs propres ordinateurs portables ou appareils mobiles pour travailler et accéder au réseau de l'entreprise. Cela comporte des risques, car ces appareils peuvent ne pas être équipés d'un antivirus ou d'un autre logiciel de sécurité approprié. Si les membres du personnel travaillent en déplacement, ils peuvent accéder à des réseaux Wi-Fi publics qui ne sont pas sécurisés. Pour y remédier, vous pouvez limiter l'accès au réseau aux appareils fournis par l'entreprise et exiger des employés qu'ils accèdent au réseau par le biais d'un VPN ou réseau privé virtuel.

Risque de cybersécurité n° 2 pour les entreprises : le phishing

Le phishing (ou hameçonnage) est une autre cybermenace importante à laquelle les entreprises sont confrontées. Le phishing désigne les tentatives d'obtention d'informations sensibles, telles que les noms d'utilisateur, les mots de passe et les coordonnées bancaires, par le biais d'e-mails fictifs conçus comme de véritables e-mails, ou parfois par le biais de faux sites Web. Traditionnellement, les arnaques par phishing se faisaient par e-mail. Cependant, ces dernières années, de plus en plus d'arnaques de ce type ont été réalisées par SMS (encore appelées smishing) et par appels téléphoniques (encore appelées vishing).

Le terme phishing ciblé est utilisé pour désigner les tentatives d'hameçonnage visant une personne ou une entreprise spécifique. Les cybercriminels utilisent des techniques d'ingénierie sociale pour personnaliser les messages destinés à leurs cibles, en les faisant passer pour des e-mails légitimes provenant de contacts connus. Ils utilisent diverses sources d'informations en ligne, comme les réseaux sociaux ou les sites Web des entreprises, pour établir le profil de leurs cibles. Ils peuvent même passer des coups de fil à l'entreprise en se faisant passer pour un client afin d'obtenir les coordonnées de son compte bancaire, etc.

Les e-mails frauduleux s'adressent souvent directement au gestionnaire des comptes d'une entreprise et contiennent une demande de versement de fonds sur le compte bancaire d'un client. L'e-mail fournit les informations sur le compte bancaire et les détails du transfert de fonds. Des gestionnaires non avertis ont envoyé des montants allant de milliers de dollars à des millions de dollars sur les comptes bancaires de cybercriminels.

Comment les entreprises peuvent-elles se protéger du phishing ?

Pensez à votre empreinte numérique : Réfléchissez aux informations que votre entreprise met à la disposition du public en ligne : c'est-à-dire à votre empreinte numérique, et à la manière dont elles peuvent exposer les membres de votre personnel à ce type de délit. Par exemple, le fait de dresser la liste de tous vos cadres supérieurs avec des liens vers leur profil LinkedIn et leurs adresses e-mail et numéros de téléphone augmente le risque de devenir une cible de phishing. (En savoir plus sur les problèmes de confidentialité associés à LinkedIn ici).

Utilisez des filtres pour e-mails : Utilisé seul, un filtre pour e-mails ne bloque pas tous les e-mails de phishing, mais il améliore votre protection. Les fournisseurs de messagerie proposent toute une gamme de filtres anti-spam et anti e-mails indésirables. Il est donc utile d'étudier le marché avant de choisir le fournisseur qui vous convient.

Utilisez un antivirus : L'installation d'un antivirus complet et à jour sur chaque appareil vous aidera à protéger votre entreprise contre les attaques de phishing et toute une série d'autres cybermenaces. Un antivirus doté de capacités anti-hameçonnage analysera les pièces jointes des e-mails pour vérifier si elles présentent un risque.

Soyez vigilant : Prêtez attention aux signes révélateurs d'une attaque de phishing. Par exemple, il est peu probable qu'un e-mail de votre banque vous demandant de mettre à jour vos données personnelles contienne des fautes d'orthographe et de grammaire. Lorsqu’un e-mail tente de créer un sentiment d'urgence, par exemple, en vous laissant croire que votre compte a été piraté et qu'il doit être réinitialisé immédiatement, cela doit attirer votre attention. Lorsqu’un message contient une URL, passez votre souris dessus pour vérifier qu'elle mène à la bonne page. Il est également important de s'assurer que l'URL dispose d'un certificat SSL et commence par HTTPS. En général, lorsque vous recevez un e-mail d'un expéditeur inconnu, n'ouvrez pas les pièces jointes qu'il contient.

Risque de cybersécurité n° 3 pour les entreprises : les mots de passe simples

Les employés qui utilisent des mots de passe simples et faciles à deviner constituent également un risque important pour la sécurité informatique des entreprises. L'utilisation de mots de passe simples ou faciles à deviner, ou l'utilisation des mêmes mots de passe pour plusieurs comptes, peut risquer de compromettre des données sensibles ou des informations financières. Les petites entreprises sont particulièrement exposées au risque lorsque leurs employés utilisent des mots de passe faibles, car elles sont moins sensibilisées aux risques liés à la sécurité en ligne. En moyenne, 19 % des professionnels en entreprise utilisent des mots de passe faciles à deviner ou partagent des mots de passe entre plusieurs comptes.

Les pirates informatiques écrivent des programmes qui appliquent des dictionnaires remplis de millions de mots de passe dans leurs efforts d'obtenir un accès forcé aux systèmes informatiques des particuliers et des entreprises. C'est ce que l'on appelle des attaques par force brute, qui parviennent généralement à pénétrer les ordinateurs. Lorsqu'un pirate trouve la clé d'une application logicielle, la probabilité d'accéder à d'autres comptes avec le même mot de passe est élevée.

Comment les entreprises peuvent-elles se protéger contre des mots de passe faibles ?

Mettez en place une politique de mots de passe robustes et veillez à son application : Un mot de passe fort se compose d'au moins 15 caractères, comprenant un mélange de lettres minuscules et majuscules, de chiffres et de caractères spéciaux. Les utilisateurs doivent éviter d’utiliser de simples séquences de chiffres telles que « 12345 », ou les noms de conjoints, d'enfants ou d'animaux domestiques dans un mot de passe, car un pirate peut facilement obtenir ces informations à partir des réseaux sociaux. Certaines entreprises exigent que les employés changent leurs mots de passe de connexion au moins tous les 90 jours.

Utilisez un gestionnaire de mots de passe : Vos employés devraient envisager d'utiliser un gestionnaire de mots de passe pour générer et conserver des mots de passe longs et complexes qui peuvent être collés dans les pages de connexion des applications.

Activez l'authentification multifactorielle : L'authentification multifactorielle ou AMF garantit que les utilisateurs n'ont pas seulement besoin d'un mot de passe pour accéder aux comptes professionnels. Cela implique des étapes de vérification supplémentaires, comme l'envoi d'un code d'accès à un appareil mobile. Cette couche de sécurité supplémentaire permet d'empêcher les pirates d'accéder aux comptes professionnels, même s'ils devinent correctement un mot de passe.

Changez les mots de passe par défaut : Une erreur courante consiste à ne pas changer les mots de passe d'usine par défaut sur les smartphones, ordinateurs portables et autres types d'équipements informatiques. Changez tous les mots de passe par défaut avant que les appareils ne soient distribués à votre personnel. Vérifiez régulièrement les appareils et les logiciels pour détecter les mots de passe par défaut inchangés.

Risque de cybersécurité n° 4 pour les entreprises : les appareils mobiles

Les entreprises fournissent parfois des smartphones, des ordinateurs portables et des tablettes à leur personnel pour permettre un travail flexible et à distance. Par conséquent, plus que jamais, une grande partie de nos données est stockée sur des tablettes et des smartphones. Ces appareils sont aussi puissants que les ordinateurs classiques et, parce qu'ils sont mobiles et quittent donc la sécurité du bureau et de la maison, nécessitent une protection encore plus grande que les équipements de bureau. Pourtant, dans de nombreuses entreprises, la plupart des terminaux mobiles ne sont pas toujours protégés contre les menaces telles que le phishing, les programmes malveillants et les exploits du système d'exploitation mobile, ce qui en fait l'un des principaux risques de cybersécurité.

Comment les entreprises peuvent protéger les appareils mobiles ?

Activez la protection par mot de passe : Utilisez un code PIN ou un mot de passe complexe pour empêcher le pirate moyen d'accéder à votre téléphone. De nombreux appareils intègrent désormais la reconnaissance des empreintes digitales ou du visage pour verrouiller l'appareil, réduisant ainsi la dépendance aux mots de passe. Ces fonctions ne sont pas toujours activées par défaut, vérifiez donc qu'elles l'ont bien été.

Assurez-vous que les appareils perdus ou volés peuvent être suivis, verrouillés ou que leur contenu peut être supprimé : Lorsqu'un appareil est perdu ou volé à un employé, vous devez pouvoir non seulement le suivre à la trace, mais aussi supprimer à distance tout ce qu'il contient. Les codes d'accès peuvent dissuader les voleurs pendant un certain temps, mais la suppression de toute information précieuse de l'appareil avant qu'ils n'aient l'occasion de la consulter élimine le risque. Assurez-vous toujours que cette fonction est activée sur chaque appareil mobile utilisé par vos employés.

Sauvegardez les données : Tout comme vous sauvegardez régulièrement les données de votre ordinateur, vous devez également sauvegarder les données des appareils mobiles de votre entreprise. En cas de perte ou de vol d'un appareil, il est rassurant de savoir que vos précieuses données sont en sécurité et peuvent être restaurées.

Maintenez vos appareils et vos applications à jour : Assurez-vous que vous disposez des dernières versions des logiciels et des applications pour bénéficier des derniers correctifs de sécurité.

Créez une politique de sécurité mobile : Avant qu'un employé ne commence à travailler à partir d'un appareil mobile, définissez une politique d'utilisation acceptable conforme aux lois et à la réglementation en vigueur. Fournissez des conseils sur la marche à suivre en cas de perte ou de vol d'un appareil afin de savoir quelles mesures prendre et, si possible, dans de brefs délais. Demandez à vos employés de lire et de signer une copie de la politique avant de commencer à utiliser un appareil mobile pour le travail afin de montrer qu'ils sont conscients des risques et des mesures à prendre pour rester en sécurité.

Chiffrez toujours les données : Il est essentiel d'activer le chiffrement sur les téléphones mobiles professionnels. Le chiffrement des appareils mobiles consiste à convertir les données contenues dans votre téléphone en un format illisible. Tout comme pour la protection par mot de passe des téléphones, les utilisateurs doivent saisir le code PIN ou le mot de passe de chiffrement pour déchiffrer les données. Les smartphones modernes sont généralement dotés d'un niveau de protection par mot de passe et de chiffrement, bien que certains soient plus sûrs que d'autres. Par exemple, avec Android, lorsque vous créez votre code d'accès, il vous est demandé d'activer le chiffrement en option. Activez le chiffrement de tous les dispositifs physiques et utilisez un logiciel de chiffrement des données si nécessaire.

Risque de cybersécurité n° 5 pour les entreprises : l'erreur humaine

Selon une étude réalisée par IBM en 2021, l'erreur humaine est responsable de 95 % des violations de la cybersécurité. En d'autres termes, les actions involontaires, ou l'absence d'action, permettent aux violations de se produire. Il s'agit souvent d'erreurs simples, comme le fait de cliquer sur des pièces jointes d'e-mails suspects, de consulter des sites Web douteux ou d'utiliser des mots de passe simples ou le même mot de passe pour plusieurs comptes (il y a donc un chevauchement important avec d'autres risques décrits dans cet article, car l'erreur humaine en est souvent le dénominateur commun). En fait, les cybercriminels exploitent la faiblesse humaine.

Comment les entreprises peuvent-elles se protéger de l'erreur humaine ?

Dispensez des formations : La plupart des erreurs humaines sont dues au fait que les employés ne connaissent pas les risques. Vous pouvez réduire les erreurs humaines grâce à une formation efficace de sensibilisation à la cybersécurité, notamment en informant les employés des risques d'ingénierie sociale. L'objectif consiste à sensibiliser les entreprises aux menaces à la cybersécurité, afin de leur inculquer les bonnes pratiques informatiques. La formation du personnel, l'envoi régulier d'un e-mail ou d'un bulletin d'information sur Intranet, ou encore les cours d'initiation au travail sont autant d'outils qui peuvent vous aider.

Réduisez la charge des mots de passe : Bien qu'une politique de mots de passe robustes soit cruciale, la meilleure façon de limiter l'erreur humaine dans ce domaine est de réduire le nombre de mots de passe en premier lieu. Pour ce faire, il est possible d'utiliser des gestionnaires de mots de passe, avec une authentification multifactorielle pour renforcer la sécurité, et de passer à des appareils dotés d'une authentification biométrique, comme l'identification par empreinte digitale.

Les petites entreprises peuvent être particulièrement vulnérables aux risques de sécurité en ligne

Les PME peuvent être particulièrement vulnérables aux menaces de cybersécurité. En voici quelques raisons :

• Souvent, elles ne pensent pas être des cibles et ne sont donc pas préparées.
• Elles peuvent disposer de systèmes obsolètes ou ne pas avoir de protocoles de sécurité et de formation, ce qui les rend plus vulnérables au piratage.
• Elles sont moins susceptibles de disposer d'équipes informatiques importantes et spécialisées, capables de se tenir au courant des derniers risques de sécurité informatique et des problèmes de sécurité liés aux sites Web.

Évaluez le niveau de risque de cybersécurité pour votre entreprise

Pour évaluer les principales menaces à la cybersécurité pesant sur votre entreprise, commencez par effectuer une évaluation de vos systèmes de sécurité actuels. Dressez un inventaire des actifs, y compris tous les logiciels et le matériel. Dressez une liste des emplacements où les données sont stockées et répertoriez les personnes qui y ont accès. Gardez ces informations en sécurité et limitez nombre de personnes pouvant les consulter. Effectuez une évaluation de vos systèmes de sécurité actuels afin de détecter les éventuels points faibles. Une évaluation des risques de l'entreprise vous aidera à assurer la sécurité de votre entreprise.

Outre les conseils présentés dans cet article, deux autres pratiques en matière de cybersécurité sont recommandées :

• Élaborez un plan de réponse aux cyberattaques : Soyez prêt en cas d'urgence. Vous voulez être en mesure de protéger au mieux votre entreprise, vos employés et vos clients en cas d'attaque ? Préparez donc un plan à l'avance qui détaille les mesures à prendre si le pire se produisait.
• Restez informé des dernières cybermenaces pour les entreprises : Connaître les dernières menaces à la cybersécurité au fur et à mesure de leur évolution vous aidera à garder une longueur d'avance et à déterminer la meilleure façon de vous protéger.

Enfin, la sécurité des terminaux est un aspect essentiel à la gestion des menaces à la cybersécurité des entreprises. Un terminal désigne tout appareil connecté à votre réseau, y compris les ordinateurs portables, les ordinateurs de bureau, les smartphones, les imprimantes, les serveurs, etc. La sécurité des terminaux consiste à protéger les terminaux utilisés à des fins professionnelles des menaces à la cybersécurité. Les logiciels de sécurité des terminaux (Endpoint Security) basés sur le cloud sont idéals pour les PME, car ils nécessitent moins de ressources internes à gérer et moins d'engagements au départ, mais ils offrent une surveillance continue et la possibilité de surveiller vos terminaux de n'importe où.

Pour en savoir plus sur les solutions Endpoint Security de Kaspersky, cliquez ici.

Kaspersky Endpoint Security a reçu trois prix AV-TEST récompensant les meilleures performances, la meilleure protection et la meilleure convivialité pour un produit de sécurité de terminaux d'entreprise en 2021. Dans tous les tests, Kaspersky Endpoint Security a fait preuve de performances, d'une protection et d'une convivialité exceptionnelles pour les entreprises.

Autres articles et liens connexes :

• Qu'est-ce que l'IoT et la sécurité des systèmes IoT ?
• Threat Intelligence
• Qu'est-ce qu'une menace persistante sophistiquée (APT) et quels sont les signes avant-coureurs d'APT ?
• Qu'est-ce que l'Endpoint Security ?

Produits associés :

• Kaspersky Endpoint Security pour les entreprises
• Kaspersky Endpoint Security pour les entreprises (avancée)
• Kaspersky Enterprise Security