La sécurité n’est pas un état instantané, mais plutôt un processus

9 octobre 2019 upsa-agvs.ch – Talonnant l’Allemagne, la Suisse occupe la deuxième place du classement des attaques perpétrées par des hackers en Europe. Les grandes entreprises telles que Swisscom ou Ruag ne sont depuis longtemps plus les seules cibles puisque les PME sont également visées. L’ancien hacker et actuel expert en sécurité Gunnar Porada connaît les détails.

hacker-artikel_1.jpg

jas. De nombreux garages et PME suisses s’intéressent à la sécurité. Ce ne sont plus seulement les banques, les compagnies d’assurances et les grandes entreprises qui sont dans le collimateur des hackers. Les petites entreprises sont depuis longtemps également visées par ces criminels. Chaque jour, environ huit millions d’ordinateurs sont attaqués dans le monde, ce qui coûte des centaines milliards de francs à l’économie chaque année. Plus le nombre de prestations utilisées sur Internet augmente, plus il faut se prémunir d’attaques et de manipulations. Bien que la numérisation soit à l’origine de maintes simplifications, elle ouvre également la porte à des attaques potentielles. «Derrière l’Allemagne avec 42 % des attaques de ransomeware entre janvier et juin 2019, la Suisse arrive en deuxième position en Europe avec 26 %, devant l’Angleterre, à 18 %», comme l’expliquait début octobre Gunnar Porada, l’un des principaux experts mondiaux de la cybersécurité, lors d’un événement de l’Union suisse des arts et métiers.

L’ancien hacker travaille depuis plus de 25 ans dans le secteur de la sécurité informatique. Mais souvent, quand il reçoit l’appel téléphonique, il est déjà trop tard. «Pour moi, en tant qu’entrepreneur, c’est bien sûr idéal, car les patrons acceptent mon offre sans discuter. Il serait toutefois bien moins cher et plus simple de mettre en place une bonne sécurité informatique en amont», révèle le directeur d’innoSec GmbH de Weggis. Et pour démontrer à quel point il est facile de duper des solutions de banque électronique d’apparence sûre, M. Porada s’est connecté en quelques minutes «en direct» à un compte bancaire qui ne lui appartient pas. Il a mis en évidence la facilité avec laquelle il est possible de déclencher des transactions de plusieurs millions de francs malgré la procédure du TAN photographique, un jeu d’enfant pour le spécialiste de la sécurité.

M Porada met en garde depuis des années contre les risques, il a identifié des failles de sécurité dans les empreintes digitales sur les passeports et s’est introduit dans les bases de données et les systèmes de cloud pour le compte d’entreprises clientes. Il a réalisé des pentests, un terme technique désignant un test de sécurité exhaustif sur des ordinateurs isolés, sur des serveurs ou sur des réseaux entiers, pour diverses banques suisses. «On m’ignore souvent lorsque je pointe du doigt des failles», déclare l’ancien hacker, «la prise de conscience de la sécurité est malheureusement souvent associée à une certaine inertie ou à de l’ignorance.» Il estime que la Suisse doit se rattraper, y compris ses PME. Gunnar Porada trouve toutefois le terme tout à fait inadapté, tant il est vrai qu’il existe des PME disposant de peu d’ordinateurs tout en brassant des milliards de francs.

hacker-artikel_2_0.jpg

L’expert en sécurité et ancien hacker Gunnar Porada s’entretien avec le spécialiste de la communication Fidel Stöhlker et avec le conseiller national UDC et directeur de l’Union suisse des arts et métiers Hans-Ulrich Bigler (de g. à dr.)

Contrairement à la Suisse et à l’Europe, d’autres pays investissent dans la sécurité numérique depuis des années. «Nous sommes en perte de vitesse constante sans raison visible. Nous avons pourtant de bons informaticiens.» L’expert estime que la sécurité ne doit jamais gêner les relations commerciales de l’entreprise. Il se demande dans le même temps si tous les ordinateurs doivent vraiment être connectés à Internet ou si toutes les données doivent être envoyées sur le cloud. «Un virus ou un hacker n’a besoin que d’une seule faille. Et il emprunte toujours le chemin de moindre résistance», avertit M. Porada. Les maliciels actuels sont devenus si petits qu’ils sont à peine visibles. Ils peuvent pratiquement être joints à n’importe quel document et à n’importe quelle page Internet. Le maliciel crypte en quelques minutes les données de l’utilisateur sans que celui-ci ne s’en rende compte, il écrase également le Master Boot Record, si bien que l’utilisateur ne peut plus rebooter son ordinateur et affiche simplement une note indiquant à l’utilisateur où payer la rançon pour libérer les données. Bien que les ransomware ne chiffrent généralement que des fichiers, les virus font un pas de plus en mettant tout le système hors service. Les dégâts sont énormes dans les deux cas!

«Dans la mesure du possible, il faut toujours manipuler ses données avec parcimonie. Et il est parfaitement possible d’utiliser un ordinateur muni du système d’exploitation Linux pour la comptabilité ou pour des données délicates. Il existe moins de virus pour Linux», explique M. Porada. Pour lui, la sécurité n’est pas un état instantané, mais plutôt un processus. C’est pourquoi il faut systématiquement mettre à jour ses ordinateurs.

Les trois principales règles de sécurité de base pour les PME
1. La sécurité des données est l’affaire du patron. Celui-ci ne doit pas simplement la confier à son CTO (Chief Technology Officer) lorsque l’entreprise est si grande qu’un tel poste existe. Les patrons cherchent souvent à déléguer ou à externaliser ce dossier. Ce faisant, nombre d’entre eux oublient qu’en cas de sinistre, les conséquences se feront ressentir le plus vivement à l’étage de la direction.
2. Il faut toujours manipuler les données avec parcimonie et ne pas les partager généreusement. Le cloud n’est pas obligatoirement la bonne solution pour tous et pour tout.
3. La sécurité n’est pas un état instantané, mais plutôt un processus. La plupart des attaques sont réalisées à l’aide de chevaux de Troie à l’ancienne et de ransomware qui trouvent de nouvelles portes dérobées. Il est possible de s’en prémunir. Des mises à jour régulières des logiciels, et pas seulement des antivirus, constituent déjà une bonne barrière.
 
 

Restez informé et abonnez-vous à la newsletter AGVS !
S'abonner maintenant


Feld für switchen des Galerietyps
Bildergalerie

Ajouter un commentaire

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Commentaires