Pour lutter contre un cyberespionnage de plus en plus organisé et compétent, les entreprises doivent changer de paradigme et passer d’un statut de victime à celui de défense. Une évolution qui ne se fera pas sans la création d’un écosystème fort où les entreprises partageront leurs données et informations relatives aux fraudes subies. Parce qu’ensemble on est plus fort ! Laurent Sarrat, co-fondateur et CEO de Sis ID nous livre son analyse.
Face à l’explosion et à la diversité des cyberattaques, les entreprises doivent inverser le rapport de force et ériger de nouveaux remparts pour se protéger. En quelques années, la cybercriminalité est passée de l’amateurisme à des réseaux internationaux, performants et organisés. Aujourd’hui, quels que soient leur taille et leur secteur d’activité, toutes les entreprises sont exposées.
À lire aussi : Ecosystème industriel : Software République comme nouvel exemple à suivre
Selon une étude menée par Euler Hermes et l’Association nationale des directeurs financiers et de contrôle de gestion (DFCG), en 2021, une entreprise sur quatre a subi une fraude avérée; 33% un préjudice supérieur à 10 K€ et 14% un dommage supérieur à 100 K€. Un phénomène accentué par la crise sanitaire puisque près d’une entreprise sur deux a enregistré une recrudescence des attaques suite à la généralisation du télétravail. Quant à la fréquence, 28% des entreprises confient avoir subi au moins une fraude cette année.
Qui sont les hackers ?
Aujourd’hui, la cybercriminalité compte deux grandes typologies de profils. D’un côté, des hackers techniques dont l’objectif est de débusquer les failles informatiques dans les milliards de lignes de codes des logiciels et infrastructures, de l’autre, des profils commerciaux jouant sur la manipulation psychologique de leurs potentielles victimes pour leur soutirer des informations (mots de passe, coordonnées bancaires, codes, etc). Si les premiers parviennent à déjouer tous les outils de cyberdéfense développés par les éditeurs spécialisés qui consacrent des millions de dollars à leur R&D, les seconds, ceux de l’ingénierie sociale, ne cessent d’affûter leurs scénarii et argumentaires pour tromper toujours plus d’interlocuteurs. Il y a cet actif, ce bénéfice de la surprise, de l’absence de règle ou code à suivre qui permettent aux hackers de s’affranchir de tous les freins qu’ont les corporates. L’objectif est donc de créer une arme, un actif, une « cyber intelligence practice » unique que seul les corporates peuvent avoir pour inverser le rapport de force.
Longtemps distincts, ces deux courants opèrent aujourd’hui un rapprochement. Objectif : gagner en efficacité en jouant sur les deux tableaux. Une démarche inédite que les entreprises doivent désormais prendre en compte pour, à leur tour, déployer des stratégies de défense performantes.
Comment lutter ?
Mais face à un tel fléau, que faire ? Comment les entreprises, dont la vocation première est de se concentrer sur leur cœur de métier et non de faire de la sécurité informatique, peuvent-elles lutter contre ces bandes organisées – parfois étatiques – dont l’énergie est focalisée sur la quête de toutes leurs failles de sécurité qu’elles soient d’ordres techniques ou psychologiques ?
Comment prévoir une attaque lorsqu’on ignore sa potentielle vulnérabilité ? Or, aujourd’hui la majorité des entreprises considèrent qu’elles ont déployé toutes les solutions et bonnes pratiques pour se prémunir contre les cyberattaques. Elles estiment être parées contre toutes attaques. Un vrai questionnement lorsque l’on voit que les Microsoft, Amazon, Facebook ou Google n’ont pas été épargnés. Il est donc urgent de se mettre en ordre de marche pour anticiper et répondre à ces malins aux techniques innovantes.
Il est temps, pour les entreprises, d’utiliser les mêmes techniques que celles des attaquants à savoir se regrouper pour créer un écosystème leur permettant de faire bloc. Ainsi, à l’instar d’un Waze ou d’un Coyote, dont l’objectif est de permettre aux différentes communautés de partager des informations en temps réel, les entreprises ont tout intérêt à croiser et partager leurs données relatives aux fraudes et aux cyberattaques. Charge ensuite aux professionnels de la cyberdéfense d’appliquer leurs technologies pour en extraire des « patterns » et analyser les nouvelles habitudes de fraudes. Grâce à cette démarche, les entreprises pourront déployer des schémas de lutte anti-fraude performants et adopter une cyberdéfense agile et réactive.
Toutefois, un tel dispositif contraint les entreprises à jouer la transparence sur leurs cyberattaques, ce qu’elles préfèrent généralement taire craignant pour leur notoriété. Mais ce mutisme, tolérable dans le passé, est devenu contre-productif, voire dangereux au regard de l’explosion du nombre de cyberattaques et de l’impact préjudiciable pour l’image de l’entreprise qui a gardé le silence.
Jouer collectif en créant une communauté qui épouse les mêmes réflexes que ceux des réseaux sociaux, est sans doute la meilleure manière de faire face à la cybercriminalité d’aujourd’hui. Sans partage d’informations sur leurs cyberattaques, les entreprises auront bien des difficultés à changer le rapport de force avec les cybercriminels. Elles perdront à coup sûr la bataille face à des hackers toujours plus nombreux, innovants et mieux organisés.