La cybersécurité, un facteur clé dans le choix du partenaire commercial

La pandémie mondiale apparue en 2020 a profondément changé le monde dans lequel nous vivons et a particulièrement facilité la tâche aux cybercriminels. Rien n’illustre mieux ce constat que le piratage de SolarWinds, qualifié par Brad Smith, le président de Microsoft, comme l’une des cyberattaques les plus sophistiquées de tous les temps et dont les répercussions se faisaient encore sentir en 2021.

Par Mischa Kemmer Information Security, Banque Julius Baer

Télétravail, numérisation progressive de la société et «déplacement en ligne» de notre vie sont autant d’opportunités pour les pirates informatiques, les escrocs et autres maîtres chanteurs. Et nous n’entrevoyons aucun signe laissant présager une amélioration de la situation en 2022. Les entreprises et les particuliers doivent donc impérativement être conscients de l’augmentation constante du nombre d’attaques et doivent connaître les possibilités dont ils disposent pour réduire les risques!

Nous nous proposons donc de vous présenter les tendances majeures et de vous donner des conseils pratiques qui vous éviteront d’en être victime.

Cybersécurité

Comparitech estime le coût de la cybercriminalité en Suisse à 728 millions de dollars. À titre de comparaison: au niveau mondial, les dommages s’élèvent à 318 milliards de dollars. Avec le Règlement général sur la protection des données (RGPD), l’Union européenne s’est dotée d’une loi qui prévoit de lourdes amendes en cas d’erreurs dans la sécurité de l’information. Dès lors, il est impératif d’analyser très minutieusement tous les partenaires susceptibles d’avoir accès aux données ou aux systèmes de son entreprise. Les entreprises qui ne sont pas en mesure de répondre aux questions concernant les précautions qu’elles prennent en matière de cybersécurité et les évaluations auxquelles elles procèdent dans ce domaine perdront des marchés.

Ransomware

Lors d’un ransomware, les pirates infectent généralement les appareils avec un logiciel malveillant qui crypte les fichiers, puis exigent une rançon, souvent en cryptomonnaie intraçable. Depuis peu, ils menacent également l’entreprise de publier les données, ce qui représente non seulement un risque de réputation pour celle-ci mais l’expose aussi à d’énormes amendes.

Les pirates tentent d’amener les gens à faire des choses qu’ils ne veulent pas vraiment faire en les manipulant. Une pratique appelée ingénierie sociale dans le jargon technique. Le scénario choisi à cet effet vise à toucher la victime potentielle sur le plan émotionnel ou à éveiller son intérêt. Par exemple, un ransomware peut être installé par le biais d’attaques de phishing incitant les employés d’une entreprise à cliquer sur un lien et infectant ainsi leur ordinateur avec un logiciel malveillant.

Il existe deux armes pour faire face à ce type de menace: la sensibilisation et la formation. Des études ont montré que les employés conscients des dangers risquent bien moins d’être victimes de ce genre d’attaques.

Sur demande, Julius Baer propose à ses EAM des formations de sensibilisation qui abordent notamment de manière ciblée les thèmes de l’ingénierie sociale et de ransomware.

IoT

Le nombre d’appareils connectés, ce que l’on appelle l’Internet des objets (IoT), devrait se chiffrer à quelque 75 milliards d’ici 2025. Autant de points d’accès potentiels pour les cybercriminels qui souhaitent accéder à des systèmes numériques sécurisés. En effet, les appareils IoT sont particulièrement vulnérables aux cyberattaques, car ils présentent de multiples failles: ils fonctionnent souvent 24 heures sur 24, sont toujours en ligne et, surtout, sont mal entretenus, ne sont pas actualisés avec des mises à jour logicielles et sont rarement surveillés. On a déjà recensé des cas où les pirates ont utilisé des appareils électroménagers connectés pour accéder à des réseaux d’entreprise ou domestiques et, de là, à des ordinateurs ou à des téléphones contenant de précieuses données.

Lorsque l’on recourt à l’IoT, il est recommandé de déconnecter d’Internet les appareils non utilisés. Il convient également de mettre régulièrement à jour le logiciel ou le micrologiciel. Et enfin, il faut veiller à définir correctement les paramètres de protection des données et de sécurité du routeur, par exemple en changeant le mot de passe par défaut et en renonçant à l’Universal Plug and Play (UPnP).

Intelligence artificielle

À l’instar de la détection des fraudes dans le secteur des services financiers, l’intelligence artificielle (IA) peut contrer la cybercriminalité en identifiant les modèles de comportement trahissant une activité inhabituelle. Ce pouvoir prédictif de l’IA s’avère très utile; de plus en plus d’entreprises vont donc investir dans ces solutions à l’avenir. Malheureusement, les cybercriminels connaissent eux aussi les avantages de l’IA et conçoivent de nouvelles menaces basées sur des technologies telles que l’apprentissage automatique (machine learning, une forme d’IA) pour contourner les mesures de cybersécurité. Mais c’est précisément ce qui rend l’IA d’autant plus importante, car elle constitue le seul moyen de contrer les cyberattaques basées sur l’IA!

Protégez votre entreprise

La direction d’une entreprise reste responsable de la cybersécurité, que son expertise personnelle s’étende ou non à ce domaine. Même si des mesures techniques contribuent largement à garantir la sécurité de l’information, elles doivent s’accompagner de mesures organisationnelles. Dans ce contexte, nous recommandons la consultation de l’aide-mémoire Sécurité de l’information pour les PME du Centre national pour la cybersécurité (NCSC).

En plus des offres déjà mentionnées dans le domaine des formations de sensibilisation, Julius Baer propose à ses clients EAM qui le souhaitent un accès à des audits de cybersécurité via un partenaire externe.


Biographie

Mischa Kemmer dirige l’équipe Awareness & Consulting de la Banque Julius Baer, chargée de la formation et du conseil des employés dans le domaine de la sécurité de l’information. Il a rejoint la Banque Julius Baer en 2013 et a notamment exercé auparavant la fonction d’Information Security Officer dans deux autres grandes banques universelles suisses.