Aucune entreprise n'est à l'abri d'une cyberattaque

Publié le 07/09/2013 à 00:00

Aucune entreprise n'est à l'abri d'une cyberattaque

Publié le 07/09/2013 à 00:00

Qu'ont en commun Sony, LinkedIn, Lockheed Martin, Google, Yahoo, Global Payments et le Fonds monétaire international ? Toutes ces organisations ont été victimes de cybercriminels à une reprise au moins au cours des trois dernières années.

En mars 2011, après cinq années d'enquête, l'éditeur de logiciels McAfee mettait au jour une importante campagne d'espionnage industriel nommée Operation Shady Rat, qui a touché au moins 72 entreprises, organisations gouvernementales et organismes sans but lucratif dans 14 pays. Au nombre des victimes, 49 étaient américaines et 4 étaient canadiennes, soit deux agences gouvernementales, l'Agence mondiale antidopage et une entreprise de service des TI.

Le vice-président des services de recherches de menaces informatiques de McAfee, Dmitri Alperovitch, avait alors laissé entendre qu'un État pouvait se cacher derrière ces intrusions d'une ampleur jamais vue.

À la lumière de ces informations, on peut conclure que l'époque où le piratage informatique était l'apanage d'adolescents emmurés dans leur sous-sol est révolue. Aujourd'hui, des méfaits virtuels sont perpétrés tous les jours par des organisations criminelles structurées et disposant de moyens quasi illimités. Se protéger des intrusions devient donc un combat de tous les instants.

L'étude «2013 Cost of Data Breach», réalisée par le Ponemon Institute et l'éditeur de logiciels antivirus Symantec, avance que chaque brèche de sécurité informatique a coûté en moyenne 5,4 millions de dollars aux organisations américaines qui en ont été victimes en 2012.

Les attaques criminelles ou malicieuses étaient en cause dans seulement 37 % de toutes les brèches de sécurité, alors que 64 % étaient attribuables au mauvais fonctionnement des systèmes informatiques ou à des erreurs humaines.

«Un employé peut contribuer à ce qu'une attaque réussisse sans même avoir la volonté de nuire à son employeur», souligne Jean Loup Le Roux, conseiller principal en sécurité de l'information à l'entreprise montréalaise In Fidem.

«Un parfait exemple est la clé USB contenant un logiciel malveillant et oubliée dans un stationnement ou un ascenseur, explique-t-il. Dès qu'un employé trop curieux l'aura branchée à son ordinateur personnel, il aura permis à un cybercriminel d'entrer dans les systèmes informatiques de la société.»

Le fléau de l'espionnage industriel

L'espionnage industriel est un fléau dont on sous-estime la portée. «On connaît un pourcentage très réduit des attaques réussies, car dans les cas d'espionnage industriel, les cybercriminels veulent passer sous les radars», explique Stefano Tiranardi, directeur régional technico-commercial chez Symantec.

Aucune entreprise ne devrait se croire à l'abri d'une cyberattaque, des PME aux multinationales, sans oublier les organisations gouvernementales. Les spécialistes en sécurité informatique soulignent qu'un des principaux dangers vient des attaques persistantes avancées (mieux connues sous l'acronyme anglophone APT, pour advanced persistent threat). Selon ce concept, les cybercriminels tenteront de pénétrer dans les réseaux d'une entreprise ou d'une organisation gouvernementale par tous les moyens jusqu'à ce qu'ils parviennent à leurs fins : voler des données hautement confidentielles.

Limites des antivirus

Les employés peuvent aussi avoir un faux sentiment de sécurité. «Certains travailleurs ont l'impression que leur poste de travail n'est pas compromis, puisque l'icône de l'antivirus est verte. Ce n'est pas nécessairement le cas. Certaines grandes organisations criminelles ou gouvernementales ont des moyens presque illimités», dit M. Le Roux.

Les cybercriminels peuvent exploiter des failles de sécurité inconnues. «Les pirates peuvent alors passer sous le radar des antivirus jusqu'à ce que les failles soient découvertes», ajoute-t-il.

Les PME, les plus visées

L'étude «2013 Cost of Data Breach» souligne aussi que 31 % des cyberattaques recensées en 2012 visaient des entreprises comptant moins de 250 employés, par rapport à 18 % en 2011.

«Il arrive que les pirates ciblent d'abord les fournisseurs afin de cibler ensuite la grande entreprise sans éveiller les soupçons», précise Jean Loup Le Roux.

Dominique Plasse, conseiller technique, Est du Canada chez Fortinet, soutient que la sécurité informatique est un perpétuel combat. Selon lui, les entreprises ne peuvent plus se contenter d'avoir un pare-feu pour sécuriser leur périmètre informatique, mais doivent aussi déployer des mécanismes de prévention des intrusions et de détection des fuites d'information, sans oublier des outils de filtrage Web pour empêcher les employés de visiter des sites Internet dont la sécurité aurait été compromise.

«Si l'usager a réussi à accéder à un site compromis et a cliqué sur une pub contenant un logiciel malveillant, il faut une solution globale pour intercepter le code infecté. La tendance actuelle est le sandboxing. Selon cette pratique, on place les codes aux origines inconnues dans un environnement virtuel isolé afin d'en valider la dimension comportementale», précise M. Plasse.

À la une

Grève au CN: Legault demande au gouvernement fédéral une loi spéciale

À son avis, il y a un état d’urgence en raison des risques de pénurie de propane.

Grève au CN: le milieu des affaires souhaite un dénouement rapide

Plusieurs associations du milieu des affaires exhortent l'employeur et le syndicat à dénouer l'impasse.

À surveiller: Metro, CP et Target

Que faire avec les titres de Metro, CP et Target? Voici quelques recommandations d'analystes.