Partie I – Cyber-malveillance : Les clefs de la sécurité numérique pour les TPE et PME

Yann Butillon
30/03/2022
Modifié le 14/02/2023 à 17:29

Pour aider les TPE et PME dans la sécurisation de leur utilisation du numérique, l’Etat propose, sur son site Cybermalveillance, des outils, des contacts et un guide des bonnes pratiques. Un enjeu devenu essentiel pour l’ensemble des entrepreneurs.

Article paru dans le n° 99 de Béton[s] le Magazine

[©cybermalveillance.gouv.fr]
[©cybermalveillance.gouv.fr]

A l’heure du tout numérique, smartphones, ordinateurs et autres tablettes font partie de notre quotidien. De plus, conséquence du Covid, le travail s’est transformé, en s’installant à domicile. Un changement de culture qui semble vouloir s’inscrire dans la durée, mais qui oblige les entreprises à adapter leurs outils de travail. Si les avantages en sont nombreux, les attaques de TPE et PME par ce que le gouvernement nomme la “cyber-malveillance” se sont multipliées. Pour se protéger, les entrepreneurs doivent prendre conscience de la menace et connaître les bonnes pratiques pour éviter une mauvaise expérience.

La cyber-malveillance désigne l’ensemble des infractions liées au numérique. On y retrouve l’usage de moyens de paiements frauduleux, le piratage de compte, l’escroquerie, l’extorsion de fonds, l’usurpation d’identité ou la collecte illégale de données personnelles.

Le site cybermalveillance.gouv.fr relève trois principales techniques utilisées par les cyber-criminels. La première est l’hameçonnage, qui consiste à récupérer des données personnelles et bancaires, en prenant l’apparence d’un tiers de confiance. Pour cela, faux mails bancaires, de réseaux sociaux, d’opérateurs de téléphonie, d’administration… Mais aussi SMS et appels téléphoniques. Et l’époque des logos douteux, des fautes d’orthographe et des traductions aléatoires est passée. Les mails sont de mieux en mieux élaborés et de plus en plus précis.

Offrir un accès aux hackers

Autre technique, le rançongiciel qui bloque l’accès à l’ordinateur ou à des fichiers, en les chiffrant. La victime se voit ensuite réclamer une somme d’argent, en général en monnaie numérique, afin d’avoir à nouveau accès à ses données. Une navigation sur des sites compromis ou un simple clic sur une pièce jointe malveillante peut offrir un accès aux hackers.

Enfin, l’arnaque aux faux supports techniques est une solution en plein boom. Elle consiste à effrayer la future victime par SMS, téléphone, courriel ou par un message apparaissant sur un ordinateur prétextant un problème technique. La victime est incitée à se rendre sur un support technique qui paraît officiel, sur lequel le pseudo-dépannage est payant.

Ces trois techniques peuvent être utilisées indépendamment ou l’une renforçant l’autre. Les données d’une personne sont récupérées par un premier criminel, puis revendues sur le marché noir (darknet), avant d’être utilisées pour construire une attaque plus complexe.

Choyer ses mots de passe

Dès lors, comment les TPE et PME peuvent-elles lutter ? Avec quelques bonnes pratiques, il est possible de réduire les risques…

Premier élément de vigilance, les mots de passe (login). Le conseil principal est d’utiliser un mot de passe différent pour chaque service. Ainsi, si l’un d’eux est corrompu (piraté), il ne rendra vulnérable qu’un seul service. Le choix du mot de passe est aussi important. Il doit comprendre au moins douze signes, avec des majuscules, des minuscules, des chiffres et des caractères spéciaux. Il ne doit pas non plus être devinable : il faut oublier les prénoms des enfants, des animaux de compagnie, de l’équipe de sport préférée… Bien entendu, il n’est pas possible à une personne normalement constituée de retenir tous ses mots de passe. C’est pourquoi le site cybermalveillance.gouv.fr propose le gestionnaire de mots de passe Keepass.

En parallèle, il ne faut pas communiquer les mots de passe à une tierce personne ni les écrire. Il faut éviter aussi de les utiliser sur des ordinateurs partagés. Et, au moindre doute, il faut les changer. Enfin, le mot de passe de la messagerie, logiciel le plus fertile en données, doit être particulièrement choyé !

Retrouvez la partie II de cet article dans notre prochain numéro.

Article paru dans le n° 99 de Béton[s] le Magazine