...

Attaques de systèmes d’information : Menaces et solutions

PARTAGER

Facebook
Email
WhatsApp

Les PME et ETI intègrent de mieux en mieux la nécessité absolue de se protéger efficacement contre les attaques de systèmes d’information. En effet, les vols de données, de temps de calcul, les attaques par déni de services ou encore le cryptojacking se répandent de manière inquiétante. Alors quelles solutions ? Essayons d’y répondre.

Par Franck Boccara

Ces attaques de systèmes d’information ont toujours des motivations financières et ce n’est pas nouveau, cependant nous faisons face ces derniers temps à de nouvelles menaces telles que le cryptojacking (ou vol de la puissance de calcul). celui-ci est né du succès des monnaies électroniques et notamment du Bitcoin, qui nécessitent une importante puissance de calcul distribuée pour le « minage », c’est à dire le procédé de sécurisation des transactions de la monnaie. Cette attaque consiste, insidieusement, à pirater de nombreux ordinateurs et à les utiliser pour créer des Bitcoins, ce qui reste difficile à détecter puisque ce processus de minage se réalise en arrière-plan sans mobiliser l’ensemble des ressources.

Autre nouvauté, les objets connectés (ou IoT) augmentent considérablement le périmètre à protéger car cette mise en réseau ou connexion d’objets ouvrent la porte aux attaques par Déni de service (ou DDOS) et les opérateurs de services Cloud en SaaS et IaaS utilisés par de plus en plus d’entreprises de toutes tailles. Mais il faut toutefois préciser que l’écrasante majorité des failles de sécurité Cloud sont à imputer à l’entreprise elle-même plutôt qu’aux prestataires de services, notamment, du fait de la gestion des mots de passe. Les attaques de mai et juin 2017 via les virus Petya et Wanacry ont alerté sur le besoin d’appliquer les mises à jour proposées par Microsoft et de corriger les failles de sécurité.

Des menaces qui évoluent avec la technologie

Les outils numériques que les entreprises utilisent dans leur fonctionnement quotidiens et qui ont de nombreux aspects positifs ont aussi malheureusement une face plus sombre. Par exemple, l’externalisation des données clients et de l’entreprise via le Cloud exposent à d’éventuelles failles de ces fournisseurs de services. De plus, certains dangers viennent aussi de l’énorme utilisation de smartphones et tablettes, à l’insu du service informatique, dans lesquels peuvent être téléchargées des applications non-conformes qui peuvent parfois contenir des malwares et ouvrir de nouvelles failles qui permettront le vol de données. Force est de constater que ces menaces, une fois ciblées, ont déjà évolué….

Les PME et ETI, qui n’ont pas les moyens des grands comptes pour installer des solutions efficaces en interne, vont faire appel de manière croissante à des MSSP (fournisseurs de sécurité managées)  pour s’assurer de nombreuses prestations comme la détection d’intrusion ou la fourniture de services de gestion des correctifs.

Promouvoir la culture de la sécurité

Il est tout à fait évident qu’aucun outil de protection ne peut être efficace contre les attaques de systèmes d’information sans que la direction instaure une réelle culture de la sécurité auprès de tous les collaborateurs et à tous les échelons de l’entreprise. Un plan de reprise de l’activité doit être impérativement mis en place pour faire face à une éventuelle attaque qui aurait abouti, c’est à dire de procéder régulièrement à des sauvegardes de données, de prévoir des procédures de retour à la situation antérieure à l’attaque et de dresser une liste des personnes et organismes à contacter.

D’ailleurs, depuis le 25 mai 2018, date à laquelle le RGPD (Règlement général sur la protection des données) est devenu obligatoire, de nombreuses entreprise qui traitent des données personnelles en ont profité pour réaliser un véritable audit sur la gestion des données personnelles et leur exposition aux risques.

Pour les PME et ETI, mettre en place une politique de sécurité efficace représente un véritable défi car elles se focalisent avant tout sur leurs impératifs opérationnels et sur la satisfaction de leurs clients, ce qui relègue souvent la protection contre les attaques de systèmes d’information au second plan. Cependant, la prise de conscience est bien réelle et des efforts constants sont réalisés.

Les 6 recommandations de CPME et de l’ANSSI 

La CPME et l’ANSSI (Agence Nationale de la sécurité des Systèmes d’Information) donnent aux entreprises ces 6 conseils de base de prévention contre les attaques de systèmes d’information :

•  La création et l’administration d’un mot de passe. Créer des mots de passe complexes et les gérer (règles de communication, d’enregistrement dans les navigateurs, etc.).
•  La mise en œuvre d’une politique de sauvegarde pour protéger les données de l’entreprise en cas de virus ou encore d’une prise d’otage par un rançongiciel.
•  La sécurisation des réseaux Wi-Fi de l’entreprise. D’une manière générale, le filaire reste plus sécurisé que le Wi-Fi.
•  Les précautions d’usage relatives aux tablettes et aux smartphones : ne pas pré-enregistrer les mots de passe, effectuer des sauvegardes régulières, ne télécharger que des applications de confiance.
•  Ne pas ouvrir de pièce jointe venant de destinataires inconnus ! Vérifier l’adresse des liens figurant dans le corps d’un mail – vérification dans la barre de navigation.
•  La sensibilisation des salariés pour qu’ils comprennent que la cyberattaque est l’affaire de tous

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI)  met à la disposition un portail d’information cybermalveillance.gouv.fr qui conseille les entreprises victimes et propose un numéro d’appel anonyme et gratuit : 0800 200 000.

PARTAGER

Facebook
Twitter
LinkedIn
Email
LinkedIn
WhatsApp
PLUS D'ARTICLES
Beaucoup de choses ont été écrites et théorisées sur la RSE. La Loi PACTE, promulguée le 22 mai 2019, a consacré la RSE dans le Code civil (Article 1833). Le Covid a accéléré les attentes sociétales en matière de santé et d’environnement… En fait, aujourd’hui, la RSE est devenue un sujet incontournable pour toutes les organisations, y compris pour les PME et ETI. Mais comment faire pour avancer sur ces sujets quand on est une petite entreprise, déjà en proie à ses problématiques opérationnelles du quotidien ? Il y a plusieurs stratégies dont une qui mérite vraiment d’être explorée; celle de la gamification. Par Pierre-Alain Gagne – Gérant Co-Fondateur de DOWiNO Des budgets et des ressources faibles pour la RSE Comme le montre le Baromètre 2022 de la RSE réalisé par Vendredi, les PME et les ETI accordent un budget très faible à leur plan d’action RSE : 60% des PME et 35% des ETI y consacrent moins de 20 000€ par an. C’est la même chose en termes de ressources humaines où il est rare dans ces structures d’avoir des personnes entièrement dédiées à ces sujets (Responsable RSE, Mission Handicap, chargé de projet RSE…). Le temps manque donc pour mettre en place et piloter les actions dans ces structures.  Pourtant, quand on sait que 93% des personnes qui se sont engagées sur le sujet souhaitent poursuivre leurs actions car elles donnent du sens à leur travail, cela fait réfléchir (Étude du Collectif de l’engagement, 2022) ! D’un autre côté, on ne parle pas de RSE comme on parle d’un sujet métier par exemple. Sur ces sujets (handicap, sexisme, impact carbone, prévention…), il ne s’agit souvent pas uniquement de transmettre des informations et des connaissances brutes mais plutôt d’éveiller les consciences ! Car c’est cet éveil des consciences qui permettra la mise en action individuelle et collective… Quelles solutions ont les PME/ETI pour avancer sur le sujet de la RSE ? Du coup, les PME et ETI doivent redoubler d’inventivité pour trouver des solutions engageantes à moindre coût ! Et pour cela, elles doivent piocher dans des outils existants qui leur permettront d’animer leur RSE tout au long de l’année et auprès de tous leurs salariés ! Voici quelques exemples d’outils très pertinents pour aller dans ce sens : Les fresques et les ateliers Ces ateliers collectifs sont d’excellents moyens de sensibiliser et de favoriser la cohésion d’équipe ! Fresques (fresque du climat, du numérique, de l’eau…), l’atelier 2 tonnes, ateliers sur les Violences sexistes et sexuelles… ces ateliers d’une durée de 2-3h ont l’avantage de mêler sensibilisation et Team Building et de mêler une réflexion à la fois individuelle et collective ! Car une équipe soudée autour des sujets RSE, c’est la sécurité d’avancer sur votre plan d’action ! Les plateformes RSE Ces plateformes comme Vendredi, Micro-don ou encore Zei cumulent plusieurs fonctionnalités allant de l’évaluation de la RSE d’une entreprise, à son pilotage opérationnel et à l’engagement des collaborateurs sur un plan d’actions précis (arrondi sur salaire, soutien aux associations, sensibilisation etc…). Leur point fort est de pouvoir suivre au quotidien l’ensemble des actions des salariés et de communiquer leurs résultats au sein d’une même plateforme ! Les serious games RSE Le serious game (ou gamification) est un format intéressant pour parler de RSE car il permet justement de faire jouer le levier émotionnel important sur ces sujets. En se mettant dans la peau de personnages au caractère bien trempé, en suivant une intrigue particulière, la gamification permet de parler du sujet en contournant un peu les freins et biais cognitifs que chacun peut avoir. Par exemple, The Impact Agency, la gamme de serious games RSE clé en main propose une sensibilisation originale et divertissante. Plongés dans les aventures d’une agence de détectives privés, vos équipes sont amenées à prendre du recul et à s’interroger sur différentes thématiques (QVT, santé mentale, égalité professionnelle, numérique responsable…) mais également à résoudre une enquête au suspense haletant ! Toutes ces solutions de gamification sont à la fois clés en main et personnalisables selon vos enjeux et vos besoins spécifiques. Elles sont donc tout à fait abordables pour des PME-ETI et permettent de lancer une démarche RSE à moindre coût ! S’agissant de solutions digitales, le suivi est également facilité grâce à des interfaces de données et de reporting en ligne. Alors prêts à faire de la RSE une expérience ludique et positive pour vos équipes ? Car pour aller plus loin dans la RSE, sensibiliser et mobiliser ses salariés n’est pas une option : c’est une nécessité ! Au final vous en sortirez gagnants… et le monde aussi !    
ADRA x PME-ETI.fr : un partenariat pour valoriser le poste achats et ouvrir des opportunités
Le poste achats est un levier stratégique encore trop peu exploité par de nombreuses PME et ETI. C’est la raison pour laquelle l’ADRA, l’association des directeurs et responsables achats, et PME-ETI.fr ont décidé de mettre en place un partenariat inédit, fondé sur un échange de visibilité fort entre les deux structures, un partage de contenus et l’organisation d’événements communs. Dans ce film, les intervenants vous partagent leur vision de l’intérêt de ce rapprochement.
  • Sylvie Noël, Présidente de l’ADRA, insiste sur la nécessité de mieux faire connaître la fonction achats au sein des PME-ETI et de leur transmettre quelques clés sur ce poste de plus en plus complexe.
  • Christian Galichon, Directeur Achats chez LVMH, explique la perception que les grands groupes ont de leurs PME fournisseurs et comment celles-ci pourraient mieux comprendre les attentes, l’état d’esprit et le cahiers des charges des services achats de ces grands groupes.
  • Enfin, Franck Boccara, Président de PME-ETI France, revient quant à lui sur l’enthousiasme et l’élan avec lequel est né ce partenariat, et souligne les bénéfices directs qu’il apporte aux entreprises référencées sur PME-ETI.fr en leur offrant une visibilité privilégiée auprès des décideurs achats des grands groupes.
Ces interventions illustrent parfaitement l’intérêt commun de ce partenariat inédit, promettant d’apporter une vraie valeur ajoutée aux adhérents et lecteurs de PME-ETI.fr. Une collaboration à suivre de près !  

La communication corporate de Danone a marqué un point décisif lorsqu’à la suite d’une assemblée générale, le groupe est officiellement devenue une «entreprise à mission ». Cette belle démarche apparait en décalage avec le quotidien des PME et ETI. Et pourtant, la progression de la confiance dans les PME ralentit par rapport aux autres catégories puisque en une année, elle a gagné 5 points contre 19 pour les grandes entreprises, 18 pour les banques et 13 pour les medias (deux catégories suscitant habituellement la défiance). Les PME et ETI doivent repenser leur stratégie et renforcer la prise en compte des attentes de leurs publics.

Par Pierre-Henri de Longcamp, expert en communication corporate et spécialiste des enjeux sensibles

«Tout ça c’est de la com’» ! Récurrent, cet apriori péjoratif tente de synthétiser des actions diverses et des réponses à des enjeux spécifiques. Derrière la vision approximative traduisant un besoin secondaire voire futile, la mécompréhension s’avère risquée. Dirigeants de PME ou d’ETI, vous considérez sans-doute optionnel le management de la réputation :
«un jour si j’ai le temps et le budget, pourquoi pas, mais aujourd’hui ma priorité c’est mon chiffre d’affaires». Toute compréhensible qu’elle soit, la réaction ne doit pas faire perdre de vue une réalité si bien résumée par CCI France: L’entreprise, organisation ouverte sur l’extérieur, ne se définit pas seulement par sa production ou ses services mais aussi par sa personnalité, son image, ses valeurs, sa réputation. Elle doit répondre aux attentes de ses publics internes et externes représentant l’ensemble de ses parties prenantes. Elle doit définir son identité, s’affirmer publiquement, promouvoir son histoire, ses valeurs et sa culture. La question n’est plus pourquoi communiquer mais comment adapter sa communication à ces différents enjeux et ces multiples publics ?

Ni marketing, ni publicité, la communication corporate ou institutionnelle ne se limite pas à la diffusion d’un message. Elle couvre une réalité précise : la gestion des relations avec vos parties prenantes (stakeholders) internes (vos collaborateurs) et, plus largement, externes (autorités et pouvoirs publics, actionnaires et investisseurs, futures employés, ONG…). On pourrait, ici, presque laisser de côté les clients tant il est crucial de sortir de toute logique commerciale de court-terme.

Mettant en musique l’ensemble des enjeux (ressources humaines, juridiques, financiers, RSE…) et des services associés selon la taille de votre structure, la communication corporate pourrait apparaitre comme un nouveau paradigme à certain. Rassurez-vous ! Comme Monsieur Jourdain et sa prose, vous en faites déjà. Au cœur de vos territoires vous êtes en contact avec les élus locaux (maires, députés…) et, certainement, les autorités de l’Etat (sous-préfecture, préfecture…). Vous veillez les évolutions réglementaires et les medias locaux vous connaissent et suivent votre actualité. Vous définissez une politique interne…Vous êtes dans la gestion de vos publics.

Un championnat amateur à professionnaliser

Un constat s’impose pourtant, la célèbre formule de Florian ne répond plus aux exigences d’aujourd’hui. Quelle que soit votre activité, vous ne pouvez plus rester cachés pour vivre heureux. Que votre entreprise soit un fournisseur exclusivement B2B, une experte reconnue de son secteur mais ignorée du grand public ou une success story familiale appréciée dans
son territoire, comme pour les entreprises les plus exposées, les enjeux s’imposent tout autant à vous pour les raisons suivantes. Les ignorer serait fatal.

Les exigences sociétales s’amplifient et ne concernent plus uniquement les grands groupes. 25% des plus de 18 ans estiment qu’aujourd’hui « les PME ont un rôle à jouer pour le changement de la société ». La contribution à l’amélioration de l’environnement, le made in France ou la transparence sont des attentes fortes. Pour 86 % des Français, la «communication for good» valorisant la responsabilité sociale, économique et environnementale de l’entreprise est une bonne chose considérée comme sincère.

La marque employeur doit par ailleurs faire l’objet d’une grande attention. Les réseaux sociaux sont omniprésents dans nos quotidiens. 3,96 milliards de personnes les utilisent soit 65% de la population mondiale, si l’on considère leur utilisation réservée aux plus de 13 ans. Facebook, le plus populaire, dépasse les 2,6 milliards d’utilisateurs actifs par mois 5 . En
termes de recrutement, 79% des candidats sont susceptibles d’utiliser ces réseaux pour trouver un emploi et 67% d’entre eux accepteraient un salaire inférieur si l’entreprise bénéficiait de critiques très positives en ligne.

Parent pauvre, encore souvent négligée face aux relations extérieures, la communication interne demeure stratégique. Considérer les problématiques réputationnelles comme trop sensibles pour être partagées et expliquées serait maladroit. Face aux enjeux des PME et ETI, l’employee advocacy (la mobilisation des collaborateurs pour qu’ils deviennent des
ambassadeurs) est désormais incontournable.

Dans la pratique des petites et moyennes entreprises, la communication est souvent rattachée au marketing ou au service commercial. Il ne faut, pourtant, pas s’y méprendre; les enjeux particuliers de la communication institutionnelle requièrent une expertise spécifique que les PME et ETI ne peuvent plus ignorer.

 

INSCRIVEZ-VOUS À NOTRE NEWSLETTER
AUX DERNIÈRES NOUVELLES
×

Vous êtes dirigeant ou cadre ?
Vous avez une question ou besoin d'une information ?

Le respect de votre vie privée est notre priorité

L’accès au site implique l’utilisation de cookies mais celle-ci est subordonnée à votre consentement.