Protection informatique : à quand des dirigeants exemplaires ?

Ces dernières années ont montré comment les attaques informatiques se sont sophistiquées. De larges et aveugles, elles sont devenues précises et ciblées. Avec dans le viseur, les utilisateurs. Mais pas n’importe lesquels : ceux qui disposent d’accès élargis, et de dérogations à la protection informatique. Suivez mon regard…

Il y a une dizaine d’année, réaliser une attaque informatique était relativement simple : vous achetiez sur le Darknet l’accès à un réseau de machines « zombies », auxquelles vous faisiez exécuter des programmes malveillants en masse. Que ce soit pour envoyer des SPAM par millions, ou pour se connecter simultanément au service en ligne que vous souhaitiez faire « tomber » – le principe des attaques dites de « déni de service ».

Dans l’intervalle, hébergeurs et éditeurs ont progressivement amélioré leurs outils pour se prémunir de ces comportements. Pas au point de les rendre inefficaces, mais suffisamment pour qu’ils soient moins rentables. Et demandent plus d’efforts. A n’en pas douter, les hackers n’avaient aucune envie de voir leurs revenus chuter. Alors, ils se sont adaptés.

On donc vu apparaître plus récemment des attaques plus complexes, telles que les ransomwares. Celles-ci consistent à affecter une organisation en particulier, en bloquant tout ou partie de son système d’information. Si diffuser un rançongiciel à large échelle peut encore avoir des chances d’aboutir, cibler l’attaque s’avère bien plus payant. Car, on l’a vu, les outils de sécurité informatique se sont renforcés. Et surtout, adapter sa tactique à son adversaire est toujours plus efficace.

Des attaques informatiques ciblées

Les pirates informatiques se sont donc attachés à se donner le maximum de chance de réussite. Comment ? En faisant en sorte de rendre l’attaque la plus discrète possible. Et en s’attaquant, comme le ferait tout prédateur, à la proie la plus fragile. Il s’agit fatalement d’un utilisateur, maillon faible par excellence, présentant des caractéristiques toujours identiques : permissions plus larges que la moyenne, et exceptions plus nombreuses que la moyenne.

Il faut admettre que ce profil correspond en général, mais pas uniquement, aux postes les plus élevés dans l’organisation. Pourquoi : parce qu’un directeur devra pouvoir accéder à tous les fichiers de l’entreprise. Et exigera souvent de pouvoir travailler avec un matériel plus exotique que le reste des collaborateurs, ou contourner les règles générales de sécurité informatiques imposées à tous par ces satanés informaticiens…

En matière de sécurité, imposer des exceptions n’est pas raisonnable.

En bon hacker qui se respecte, l’attaquant commencera donc logiquement par identifier ce type de profil pour initier son attaque. La multiplication des cyberattaques par ransomware s’est donc accompagnée de ce qu’on appelle l’ingénierie sociale. Notre présence sur les réseaux sociaux est en effet une manne d’informations inespérée pour cybercriminels. En quelques clics, il est en effet possible de savoir qui dirige telle entreprise, et quels sont ses collègues.

Il est également possible de glaner des informations concrètes comme le prénom et de date de naissance d’un(e) conjoint(e). Et de faire des premières tentatives d’intrusion à l’aide de mots de passe basés sur ces informations. Mais aussi de cibler en premier lieu des collaborateurs qui pourraient, par rebond, laisser accéder aux personnes finalement visées.

La protection informatique commence par soi-même

Une fois le responsable d’entreprise piraté, c’est le bingo. Il a accès aux informations d’entreprise les plus sensibles, et peut aussi faire exécuter des ordres à la majeure partie des employés. Une fois le ver dans le fruit, les possibilités sont donc nombreuses : usurpation d’identité, lancement d’ordres bancaires, cryptage des données de l’entreprise à large échelle, ou encore chantage à la révélation de documents sensibles.

Plus le profil piraté est élevé, plus les chances d’aboutir de l’attaque sont fortes.

On comprend donc aisément que leur position même dans leur entreprise fait porter aux dirigeants une responsabilité accrue quant à la protection des données informatiques. Même sans être plus faillibles que d’autres employés, ils représentent une cible de choix, une sorte de boîte de Pandore que les hackers viseront plus naturellement parce qu’elle sera plus prometteuse si elle vient à s’ouvrir.

Contrairement aux habitudes solidement ancrées dans le PME, les restrictions et les protections devraient donc s’aligner sur le niveau hiérarchique dans l’entreprise. Et imposer l’utilisation d’outils et de bonnes pratiques tels les gestionnaires de mots de passe, le contrôle d’accès basé sur les rôles ou l’emploi de comptes différents à moindres privilèges. Parce qu’un dirigeant est bien plus exposé qu’un employé lambda. D’autant plus s’il n’est pas exemplaire dans l’utilisation de son informatique.

Emmanuel Dardaine