Attaques de systèmes d’information : Menaces et solutions

24 septembre 2018

Les PME et ETI intègrent de mieux en mieux la nécessité absolue de se protéger efficacement contre les attaques de systèmes d’information. En effet, les vols de données, de temps de calcul, les attaques par déni de services ou encore le cryptojacking se répandent de manière inquiétante. Alors quelles solutions ? Essayons d’y répondre.

Par Franck Boccara

Ces attaques de systèmes d’information ont toujours des motivations financières et ce n’est pas nouveau, cependant nous faisons face ces derniers temps à de nouvelles menaces telles que le cryptojacking (ou vol de la puissance de calcul). celui-ci est né du succès des monnaies électroniques et notamment du Bitcoin, qui nécessitent une importante puissance de calcul distribuée pour le « minage », c’est à dire le procédé de sécurisation des transactions de la monnaie. Cette attaque consiste, insidieusement, à pirater de nombreux ordinateurs et à les utiliser pour créer des Bitcoins, ce qui reste difficile à détecter puisque ce processus de minage se réalise en arrière-plan sans mobiliser l’ensemble des ressources.

Autre nouvauté, les objets connectés (ou IoT) augmentent considérablement le périmètre à protéger car cette mise en réseau ou connexion d’objets ouvrent la porte aux attaques par Déni de service (ou DDOS) et les opérateurs de services Cloud en SaaS et IaaS utilisés par de plus en plus d’entreprises de toutes tailles. Mais il faut toutefois préciser que l’écrasante majorité des failles de sécurité Cloud sont à imputer à l’entreprise elle-même plutôt qu’aux prestataires de services, notamment, du fait de la gestion des mots de passe. Les attaques de mai et juin 2017 via les virus Petya et Wanacry ont alerté sur le besoin d’appliquer les mises à jour proposées par Microsoft et de corriger les failles de sécurité.

Des menaces qui évoluent avec la technologie

Les outils numériques que les entreprises utilisent dans leur fonctionnement quotidiens et qui ont de nombreux aspects positifs ont aussi malheureusement une face plus sombre. Par exemple, l’externalisation des données clients et de l’entreprise via le Cloud exposent à d’éventuelles failles de ces fournisseurs de services. De plus, certains dangers viennent aussi de l’énorme utilisation de smartphones et tablettes, à l’insu du service informatique, dans lesquels peuvent être téléchargées des applications non-conformes qui peuvent parfois contenir des malwares et ouvrir de nouvelles failles qui permettront le vol de données. Force est de constater que ces menaces, une fois ciblées, ont déjà évolué….

Les PME et ETI, qui n’ont pas les moyens des grands comptes pour installer des solutions efficaces en interne, vont faire appel de manière croissante à des MSSP (fournisseurs de sécurité managées) pour s’assurer de nombreuses prestations comme la détection d’intrusion ou la fourniture de services de gestion des correctifs.

Promouvoir la culture de la sécurité

Il est tout à fait évident qu’aucun outil de protection ne peut être efficace contre les attaques de systèmes d’information sans que la direction instaure une réelle culture de la sécurité auprès de tous les collaborateurs et à tous les échelons de l’entreprise. Un plan de reprise de l’activité doit être impérativement mis en place pour faire face à une éventuelle attaque qui aurait abouti, c’est à dire de procéder régulièrement à des sauvegardes de données, de prévoir des procédures de retour à la situation antérieure à l’attaque et de dresser une liste des personnes et organismes à contacter.

D’ailleurs, depuis le 25 mai 2018, date à laquelle le RGPD (Règlement général sur la protection des données) est devenu obligatoire, de nombreuses entreprise qui traitent des données personnelles en ont profité pour réaliser un véritable audit sur la gestion des données personnelles et leur exposition aux risques.

Pour les PME et ETI, mettre en place une politique de sécurité efficace représente un véritable défi car elles se focalisent avant tout sur leurs impératifs opérationnels et sur la satisfaction de leurs clients, ce qui relègue souvent la protection contre les attaques de systèmes d’information au second plan. Cependant, la prise de conscience est bien réelle et des efforts constants sont réalisés.

Les 6 recommandations de CPME et de l’ANSSI

La CPME et l’ANSSI (Agence Nationale de la sécurité des Systèmes d’Information) donnent aux entreprises ces 6 conseils de base de prévention contre les attaques de systèmes d’information :

• La création et l’administration d’un mot de passe. Créer des mots de passe complexes et les gérer (règles de communication, d’enregistrement dans les navigateurs, etc.).
• La mise en œuvre d’une politique de sauvegarde pour protéger les données de l’entreprise en cas de virus ou encore d’une prise d’otage par un rançongiciel.
• La sécurisation des réseaux Wi-Fi de l’entreprise. D’une manière générale, le filaire reste plus sécurisé que le Wi-Fi.
• Les précautions d’usage relatives aux tablettes et aux smartphones : ne pas pré-enregistrer les mots de passe, effectuer des sauvegardes régulières, ne télécharger que des applications de confiance.
• Ne pas ouvrir de pièce jointe venant de destinataires inconnus ! Vérifier l’adresse des liens figurant dans le corps d’un mail – vérification dans la barre de navigation.
• La sensibilisation des salariés pour qu’ils comprennent que la cyberattaque est l’affaire de tous

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) met à la disposition un portail d’information cybermalveillance.gouv.fr qui conseille les entreprises victimes et propose un numéro d’appel anonyme et gratuit : 0800 200 000.

CPME

PLUS D'ARTICLES

ÉVÈNEMENTS

Présidence du Medef : la course est ouverte

Geoffroy Roux de Bézieux, actuellement à la présidence du Medef, quittera son poste le 6 juillet prochain après cinq années à la tête de l’organisation patronale depuis son élection en 2018. Les prétendants à sa succession ont commencé à présenter leur candidature depuis le 6 mars. Une campagne électorale de quatre mois s’ouvre dans un cadre bien défini et se clôturera par une élection le 6 juillet durant laquelle plus de 1 100 électeurs désigneront le prochain président du Medef. A ce jour, trois candidats se sont déclarés. Par Franck Boccara Les candidats potentiels à la présidence du Medef ne sont pas pressés puisqu’ils ont jusqu’au 5 mai pour se déclarer avec un dossier complet. Le nouveau président sera élu le 6 juillet prochain au scrutin électronique (au terme d’une campagne de quatre mois) par une assemblée électorale composée du président, des personnalités élues du Conseil exécutif, des représentants des membres associés et de 1 100 délégués représentant les organisations adhérentes (60% d’organisations professionnelles et 40% de Medef territoriaux). Les candidats doivent bénéficier d’un parrainage de 150 membres de l’assemblée générale du Medef ayant voix délibérative afin de valider leurs candidatures via une plateforme de recueil de parrainage qui est ouverte depuis le 13 mars. Voici les 3 candidats à la présidence du Medef d’ores et déjà déclarés à ce jour :

Patrick Martin

Actuel numéro deux du Medef, Patrick Martin, il est estimé comme favori de l’élection. Ancien président du Medef Auvergne-Rhône-Alpes et déjà candidat à la présidence en 2018, il co-préside la commission Souveraineté et sécurité économiques des entreprises, créée par Geoffroy Roux de Bézieux.. Il dirige une l’ETI familiale Martin-Belaysoud de 3 000 salariés (1 milliard d’euros de chiffre d’affaires en 2022) dont l’activité est la distribution de produits et de services destinés au bâtiment et à l’industrie. Il est d’ailleurs fortement engagé dans les enjeux de logement : « on ne parle pas assez du logement, un sujet pourtant central. La pénurie de logements devient socialement dangereuse, parce que cela affecte le pouvoir d’achat, mais aussi parce que cela a des conséquences sur la mobilité professionnelle. »

Dominique Carlac’h

Elle se présente pour la deuxième fois à la présidence du Medef après avoir été l’unique représentante de la gente féminine aux élections de 2018. Cette ancienne athlète de haut niveau, qui dirige l’entreprise D & Consultants, veut renforcer la compétitivité des entreprises françaises en prenant en compte l’évolution du « rapport au travail » et en insistant sur deux autres dimensions qui lui sont chères : le « sociétal » et le « social ». Depuis la précédente élection, elle a occupé les postes de vice-présidente et porte-parole du Medef. Elle a fait partie de la délégation Medef participant à la négociation sur le télétravail dans le contexte de la crise sanitaire du Covid-19.

Pierre Brajeux

Président délégué de la Fédération Française de la Sécurité Privée, Pierre Brajeux annonce le cap lors de sa déclaration de candidature « Ma conviction profonde, c’est que le vent s’est levé, la mer s’est creusée et qu’il faut un changement de cap ». Alors patron du Medef des Hauts-de-Seine, il s’était déjà présenté à l’élection de 2018 mais s’était rallié en cours de campagne à Patrick Martin. Dirigeant de Torann, une ETI spécialisée dans le gardiennage de près de 3 000 salariés, Pierre Brajeux a choisi trois axes pour sa stratégie de campagne : la simplification, la valeur du travail et la fiscalité. « Le logiciel sur lequel on vit depuis des années, c’est pour les entreprises toujours plus de contraintes, toujours plus de contrôles, toujours plus de sanctions. Il faut qu’on change de logiciel », déclare-t-il. Il faudra certainement compter avec deux autres candidats potentiels ne se sont pas encore déclarés pour le moment : Olivier Klotz (Medef Alsace), et Alexandre Saubot, le leader de France industrie qui avait été défait de peu par à Geoffroy Roux de Bézieux en 2018…A suivre !

Recrutement

Entretien de recrutement : les temps ont changé

Si dans les années 80, le candidat à un entretien de recrutement devait d’abord écrire une lettre de motivation, manuscrite bien sûr, pour laisser les graphologues deviner ses traits de psychologie les plus profonds grâce à sa façon de faire des barres sur les « T ». Puis, se faire intimider par un ou plusieurs recruteurs essayant délibérément de le sortir de ses gonds en mettant le plus de pression possible lors d’entretiens interminables, voire embarrassants ou hostiles. Les entretiens d’aujourd’hui, sont souvent très différents de ces stéréotypes où le recruteur se mettait sur un piédestal. Par Céline Cherqui – Fondatrice de OneWay Quel est le défaut principal de Bernard ? Il est égoïste ! ça, tout le monde le sait 😉 Ou alors, … quels sont vos 3 défauts ? Qu’en est-il de vos candidats, est-ce encore des questions à poser en entretien de recrutement ? Bien évidemment que ces questions sont dépassées par le seul fait que le candidat s’y attend et les a préparées depuis qu’il est entré sur le marché du travail. Il vous apportera une réponse cohérente avec le poste visé et surtout la réponse que vous attendez c’est-à-dire des défauts qui n’en sont pas.

Qui a déjà entendu un candidat répondre, je suis nonchalant, colérique et menteur ? En apprenant à connaitre votre candidat, nul besoin qu’il vous le dise, vous le découvrirez spontanément au détour de vos échanges. Pour cela, il faut savoir écouter, orienter, questionner subtilement, lui permettre d’être créatif, spontané, agile, authentique et lui donner la possibilité d’exprimer pleinement son potentiel. Cette approche différente repose uniquement sur votre façon de mener vos entretiens car, près de 50 ans plus tard, les fondamentaux ne changent pas. La trame de questions reste similaire :

Quelles sont les compétences acquises et celles qui lui restent à développer ?
Quels sont les drivers qui le pousseraient au changement ?
Quels seront ses critères de sélection s’il hésite entre plusieurs entreprises, plusieurs propositions ?
Et l’ultime question, sommes-nous prêts à collaborer ?

Aujourd’hui, nous attachons une importance particulière à mettre en confiance notre candidat, à comprendre ses attentes, à savoir sur quel poste il pourra s’épanouir le plus, pour lui proposer celui qui lui correspond vraiment. Nous avons besoin de connaitre notre candidat, pour savoir s’il s’adaptera à notre ADN et au poste visé. Nous avons besoin d’être rassuré sur ses compétences et d’une manière générale, d’évaluer ses savoir-faire et ses savoir-être. On teste, on évalue, on met en situation, on sélectionne, on recrute le candidat qui correspond à l’ensemble des critères de départ, en proposant à tous, de vivre une expérience positive. Qu’il soit retenu ou non, vous serez garant de l’expérience vécue par votre candidat lors de vos échanges. Passer du rôle de recruteur, à un rôle de facilitateur par le biais d’une approche plus créative, plus agile et plus collaborative lors des rencontres avec votre candidat ne tient qu’à l’expérience que vous lui ferez vivre. Une expérience positive permettra à un candidat de se sentir valorisé, d’être un potentiel ambassadeur de votre marque employeur. Elle ne vous empêchera pas de l’évaluer correctement. Elle vous permettra, en revanche, d’en déduire plus facilement les contours de sa personnalité et pas seulement un discours préparé qu’il vous servira à chacune de vos questions qu’il aura anticipées. Vous l’aurez compris, les techniques sont différentes, les approches s’adaptent au contexte sociétal et la finalité reste toujours la même : savoir si nous sommes faits pour travailler ensemble. 📞 Si cet article vous a donné des idées pour construire un entretien de recrutement mais que tout reste encore un peu flou…Pas de panique, je vous accompagne pas à pas sur toutes les problématiques recrutement que vous pourrez rencontrer. Céline Cherqui – Directrice Recrutement – OneWay

LIFESTYLE

Piaget Polo Quantième Perpétuel Extra-Plate : Le retour d’une Icône

Le célèbre horloger suisse Piaget dévoile son dernier modèle de très haute précision, la Piaget Polo Quantième Perpétuel Extra-Plate. Ce garde-temps hors du commun possède un design impressionnant qui conjugue un finesse extrême et une fiabilité à toute épreuve. Par Serge de Cluny L’extra plat revient en force dans horlogerie de luxe et Piaget, référence dans le domaine de la finesse depuis les années 50, se surpasse littéralement avec la Piaget Polo Quantième Perpétuel Extra-Plate alimentée par le calibre 1255P. Ce nouveau modèle contemporain cache une des complications horlogères les plus prestigieuses, accompagnée d’un affichage phase de lune des plus évocateurs.

Nouvelle Piaget Polo Quantième Perpétuel extra-plate – Luxe & Passions

Le retour d’une icône

Créé en 1960, le mouvement historique 12P représente la première génération des mouvements à remontage automatique Piaget. Dès son lancement, il bat le record du mouvement automatique le plus plat du monde avec seulement 2,3 mm d’épaisseur. En 1979, Yves G. Piaget, décide de lancer le modèle de montre Polo Piaget qui intègre ce mouvement emblématique. Portée à l’époque par des célébrités telles que Ursula Andress, Roger Moore ou encore Andy Warhol, cette montre unisexe en or ou acier rayonne par son charisme unique et par sa touche d’extravagance chère à Piaget qui fut d’ailleurs primé pour avoir bousculé les codes de l’industrie horlogère de l’époque et de sa perpétuelle élégance conventionnelle. L’esprit lifestyle sportif et décontracté de ce modèle a engendré un véritable raz-de-marée aux USA…une star était née.

Piaget Polo FortyFive Quantième Perpétuel | Polo G0A36001 Titane et Or Rose

C’est donc avec la volonté de conserver son statut de précurseur que Piaget accueille aujourd’hui pour la toute première fois un quantième perpétuel mécanique. La maison horlogère suisse a développé une expertise considérable et a mobilisé tout son savoir-faire pour faire naitre cette complication emblématique qui touche l’excellence. Les montres à quantième perpétuel sont capables de corriger le jour, la date et l’heure jusqu’à l’année 2100. Pas étonnant qu’elles attirent les passionnés de haute horlogerie sachant estimer la quantité de savoir-faire et de travail déployée pour créer ces garde-temps.

Un design qui laisse pantois

Pour ce modèle, Piaget présente un nouveau calibre extra-plat 1255P de 4 mm directement inspiré du mouvement 1200P qui associe finesse extrême et fiabilité avec en plus un mécanisme de phase de lune. Dotée d’une épaisseur totale de juste 8,65 mm, cette nouvelle création vous regarde avec un cadran vert émeraude foncé orné d’un motif de godrons et de trois sous-cadrans pour la date, le mois et le jour (à 9, 12 et 3 heures) ainsi qu’une phase de lune à 6 heures.

Montre Piaget Polo extra-plate à quantième perpétuel - Montre de luxe Piaget

Dans la fidèle tradition de Piaget, les sous-cadrans sont légèrement réhaussés de différents finis qui, traversés par la lumière, créent des effets d’une grande richesse visuelle, tout comme les index en SuperLumiNova. L’autre particularité présente dans la variante en caoutchouc réside dans le bracelet est doté d’un système permettant un changement rapide et en toute sécurité. Pour acquérir ce garde-temps d’exception qui peut se porter dans toutes les situations (en journée ou en soirée, en public ou en privé), il faudra vous acquitter de la modeste somme de 60.000 euros. Si vous voulez vous faire une idée, rendez-vous au salon mondial de l’horlogerie et de la bijouterie (Watches and Wonders) qui se tiendra du 27 mars au 2 avril prochain à Genève.