Cyberattaques - Comment protéger mon entreprise des hackers ?

Philipp Jakubowski, Responsable sécurité de l'information pour Trusted Shops et spécialiste de la sécurité sur internet, répond à toutes les questions que nous nous posons en matière d'attaques d'entreprise sur internet. Quelles sont les méthodes des hackers ? Comment protéger les données de mes clients ? La crise que nous traversons actuellement rend-elle nos entreprises plus vulnérables ?
blogTitle-online_safety-1v-w680h280

Toutes les entreprises sont-elles vraiment concernées ? En danger ?

C'est vrai qu'on peut avoir l'impression que les cyberattaques ne nous concernent pas ou ne sont réservées qu'aux grosses entreprises mais ce n'est pas le cas. 

Le risque a toujours été là sur internet, cela va continuer et même s’intensifier.

Les technologies évoluent et avec elles, les possibilités d’attaques. Si vous êtes présent en ligne, alors vous êtes confronté au risque.

"Les entreprises qui ne prennent pas de précautions et ne mettent pas la sécurité au centre de leur préoccupation font une grave erreur."

Quelles sont les principales attaques informatiques contre les entreprises ?

Il faut dissocier les "attaques techniques" des "attaques sociales".

Concernant les attaques "techniques", il s'agit pour les pirates informatique de scanner votre site, vos systèmes et vos réseaux pour y trouver les failles de sécurité et les points d'entée possibles. 

Les attaques sociales, elles, sont toutes celles pour lesquelles les hackers se serviront de vos employés comme intermédiaires. Comment ? En leur envoyant un e-mail de la part d'un collègue leur demandant des informations sensibles ou les invitant à cliquer sur un lien, par exemple.

Comment peut-on protéger son entreprise de ce type d'attaques ?

La plupart des entreprises veillent à se prémunir contre toutes les attaques techniques mais oublient que les employées représentent pourtant leur ligne de défense principale.

Il est, de ce fait, extrêmement important de les sensibiliser à la question de la sécurité en ligne. Proposez-leur des formations régulières pour leur apprendre ou rappeler les bonnes pratiques en matière de sécurité.

Pour vous prémunir du phishing, par exemple, il convient de : 

  • ne pas cliquer sur des liens inconnus
  • ne pas ouvrir de pièces jointes inconnues
  • ne jamais donner aucune information à des inconnus
  • se méfier des e-mails mettant en situation de stress et d'urgence
  • vérifier l'e-mail de l'expéditeur en passant le curseur sur l'adresse sans cliquer
  • Etc.

Les petites entreprises sont toutefois un peu moins confrontées aux attaques techniques. Non pas en terme de probabilité mais plutôt parce qu'il est plus simple pour elles de garder une vue d'ensemble sur leurs potentielles failles de sécurité.

"Plus l'entreprise est grande, plus c'est compliqué.
Il est plus facile d'assurer la sécurité d'un immeuble que d'une ville."

Si vous devez assurer la sécurité d'un immeuble, il est bien plus simple de contrôler vos portes d'entrée, de garder en tête les modifications apportées ou d'avoir l'ensemble de vos systèmes de sécurité bien en tête.

Imaginez maintenant la même chose avec une ville entière ! L'ampleur de la tache n'est définitivement pas la même. Cela s'applique également aux entreprises.

Comment être sûr que mes données clients sont protégées ?

Cryptez vos données. Le chiffrement de vos données clients est le seul moyen d'assurer leur protection que cela soit sur le serveur où vous les stockez ou en cas de transfert. 

Il existe de nombreux cas où, sans chiffrement, la sécurité de vos données clients peut être compromise.

  • Si vous les stockez sur un disque dur, alors tout ceux qui y ont accès ont accès aux données clients.

  • Si vous changez de système de stockage, d'ordinateur ou même d'hébergeur web alors là encore, vous n'avez aucun contrôle sur ce qu'il adviendra des données qui y sont stockées. Ça peut paraître évident et pourtant, c'est arrivé à des agences gouvernementales par le passé.

  • Le serveur sur lequel vous stockez vos données peut aussi être vendu ultérieurement et vous ne pouvez pas savoir entre quelles mains il atterrira. Sur ce point, faîtes bien attention aux termes d'annulation de votre contrat. 

"Un seul mot d'ordre : le chiffrement ! Vous devez être le seul à avoir le contrôle sur les données clients."

Seul vous devriez avoir la clé pour lire ces données. Tant que vous ne perdez pas la clé vous êtes du bon côté !

Suivre les recommandations du RGPD, est-il LE moyen de s'assurer de la sécurité des données clients ?

Oui et non.

Bien sûr le RGPD vous donne de nombreux et précieux conseils mais il ne s'agit que d'un cadre. Il existe un grand nombre d'autres détails auxquels vous devriez faire attention en matière de protections des données clients. Le chiffrement, par exemple, même si hautement recommandé, ne fait pas partie des exigences obligatoires du RGPD.

Comment rassurer mes clients quand à la fiabilité de mon site ?

Il existe un grand nombre de possibilités à votre disposition qui n'ont pas toutes directement à voir avec la sécurité informatique. Voici une liste non exhaustive de ce que vous pouvez mettre en place :

  • Un site « user friendly » est un premier signe de confiance important.

  • Le protocole HTTPS. Rares seront les internautes prêts à entrer leurs données bancaires sur un site non protégé par ce protocole.

  • Les conditions générales de ventes et mentions légales, bien en évidence. Bien entendu cela ne peut garantir la fiabilité d’un site mais leur présence participe à un sentiment de réassurance nécessaire.

  • Des avis clients authentiques provenant de clients réels (plateforme d’avis fermée).  90% des internautes les consultent avant de passer commande. Il s'agit, en effet, d'un élément de réassurance sûr et donc persuasif. Je vous conseille tout de même, pour encore plus de sécurité, de consulter le profil de la boutique en ligne sur le site du fournisseur d'avis. Si le site utilise les services de Trusted Shops, vous pouvez alors googler "NomDuSite + avis + Trusted Shops" pour trouver la page profil.

  • Un sceau de confiance reconnu comme la marque de confiance Trusted Shops. La marque de confiance Trusted Shops est décernée aux boutiques en ligne qui répondent aux critères de qualité définis par les experts Trusted Shops. En l’obtenant, vous affichez le Trustbadge© sur votre site. Un élément discret mais facilement reconnaissable qui permet aux clients d’identifier votre site comme étant digne de confiance.

Et en tant que consommateur ?

Je vous recommande de faire attention au sites affichant des prix particulièrement bas et de "Googler" le nom du site associé à des mots-clés comme "faux site" ou "arnaque".


💡 À lire aussi - Cybercriminalité - Apprenez à démasquer les faux sites et arnaques sur Internet !


Comment dois-je réagir si quelqu'un me contacte pour me faire part d'une faille de sécurité ?

Si quelqu’un vient vous faire part de failles de sécurité de votre site, n’allez pas droit à la police, écoutez le et demandez lui même d'approfondir ses recherche. Certes ce n'est pas gratuit mais il ne s'agit pas de millions de dollars, bien souvent 25$ suffisent.

"La plupart de ces "hackers" ne sont pas des êtres malveillants du darknet, s'attaquant parallèlement à Facebook pour réclamer des millions de dollars."

Ce sont bien souvent des étudiants en informatique, des passionnés ou encore des personnes en besoin de reconnaissance.

Ils ont même un nom : on les appelle les security researcher.

Chez Trusted Shops, nous prenons en compte leurs informations et les analysons. 

C’est un business que j'aime appeler du « consulting non sollicité ».

En tout cas, soyez ouvert à cela : appeler la police ne réglera pas le problème, vous ne serez juste pas au courant de vos failles.

La crise actuelle du COVID-19 va t-elle entraîner de nouvelles formes de cyberattaques ?

Il n’y aura pas de méthodes révolutionnaires mais les hackers vont utiliser la crise comme base de travail.

Je pense toutefois que le risque d'attaques sociales est aujourd'hui un peu plus élevé à cause de la hausse du télétravail. La communication devenant de plus en plus virtuelle, tout se passe par e-mail et téléphone.

D'un point de vue "attaques techniques", si les gens utilisent leur propres ordinateurs, alors toutes les précautions prises ne seront plus viables (chiffrement, antivirus, etc.).

De même, si un hacker a déjà pris possession d’un ordinateur personnel et que votre employé l’utilise pour travailler, alors c’est un problème pour votre entreprise.

Demandez à vos employés d'utiliser leurs ordinateurs professionnels ou assurez vous qu'aucune données sensibles ne soient stockées par vos employés sur leur ordinateurs personnels.

Merci Philipp !

Prenez soin de vous, de votre entreprise et restez connecté ! 👇

inscription newsletter Trusted Shops

0 Commentaires