Les PME contribuent considérablement à l’économie mondiale : selon l’Organisation mondiale du commerce, elles représentent plus de 90 % de toutes les entreprises dans le monde. Les cyberattaques peuvent causer de nombreux dommages aux entreprises: fuite de données confidentielles, perte de capitaux et de parts de marché précieuses, etc.; les cybercriminels ne manquent pas de moyens pour atteindre leurs objectifs. Les recenser est le moins que l’on puisse faire. Définir les risques auxquels les PME peuvent être exposées, et les moyens de s’en protéger, semble aujourd’hui une priorité.

C’est pourquoi dans un contexte de fin d’année, et de bonnes résolutions pour la rentrée, les experts de Kaspersky font le point sur les 5 principales menaces que les cadres dirigeants de PME doivent surveiller.

Risque #1 : Les fuites de données causées par les employés

Les données d’une entreprise peuvent être divulguées de différentes manières, et dans certains cas, de manière involontaire.

Pendant la pandémie, de nombreux travailleurs à distance ont utilisé leurs ordinateurs professionnels dans le cadre de leurs loisirs, que ce soit pour jouer à des jeux en ligne, regarder des films ou utiliser des plateformes de cours. Cette nouvelle habitude est un facteur de risques pour les entreprises, d’autant plus que cette tendance est appelée à perdurer: en 2020, 46 % des employés n’avaient jamais travaillé à distance, tandis qu’aujourd’hui deux tiers d’entre eux déclarent ne pas souhaiter retourner au bureau, et le tiers restant se dit en faveur du travail hybride.

Le niveau de cybersécurité depuis l’adoption massive du télétravail s’est amélioré. Néanmoins, les ordinateurs professionnels utilisés à des fins de divertissement demeurent l’un des principaux moyens d’obtenir un accès initial au réseau d’une entreprise. En cherchant des sites pour télécharger le dernier épisode d’une série ou un film récemment sorti, les internautes peuvent rencontrer divers types de logiciels malveillants, notamment des chevaux de Troie, des logiciels espions, des portes dérobées, et des logiciels publicitaires. Selon les statistiques de Kaspersky, 35 % des utilisateurs qui ont été confrontés à des menaces par le biais de plateformes de streaming ont été affectés par des chevaux de Troie. Si ces logiciels malveillants se retrouvent sur un ordinateur professionnel, les attaquants peuvent pénétrer dans le réseau de l’entreprise, rechercher et voler des informations sensibles.

D’autre part, il n’est pas rare de voir attribuer d’éventuelles fuites de données à d’anciens employés. Pourtant, selon une étude récente, seuls 40% des dirigeants de PME interrogés ont répondu être convaincus que leurs anciens employés n’ont pas accès aux données de l’entreprise stockées dans les services cloud, ou ne peuvent pas utiliser les comptes de l’entreprise. Il arrive que ces ex-collaborateurs ne se souviennent même pas avoir eu accès à telle ou telle ressource. Mais un contrôle de routine effectué par les responsables pourrait permettre de révéler que des personnes non autorisées ont effectivement accès à des informations confidentielles, une raison suffisante pour justifier une amende.

Et même si vous êtes absolument certain de vous être séparé en bons termes avec tout le monde, cela ne signifie pas que vous êtes sorti d’affaire. Qui peut garantir que vos anciens collaborateurs n’ont pas utilisé des mots de passe faibles, ou toujours identiques, pour accéder aux systèmes de l’entreprise, que des cyberattaquants pourraient trouver par force brute, ou découvrir dans une fuite sans rapport ? Tout accès à un système, qu’il s’agisse d’un environnement collaboratif, d’une messagerie professionnelle ou d’une machine virtuelle, augmente la surface d’attaque. Même une simple discussion entre collègues sur des sujets non professionnels peut être exploitée pour des attaques par ingénierie sociale.

Risque #2 : Les attaques DDoS

Les attaques par déni de service distribué tirent parti des limites de capacité spécifiques qui s’appliquent à toutes les ressources du réseau, comme l’infrastructure qui permet la mise en place du site web d’une entreprise. L’attaque DDoS envoie de multiples requêtes à la ressource web attaquée, dans le but de dépasser la capacité du site web à traiter toutes les requêtes et ainsi empêcher le site de fonctionner correctement.

Les cyberpirates recourent à différentes sources pour agir sur des organisations telles que les banques, les médias ou les détaillants, fréquemment victimes d’attaques DDoS. Récemment, des cybercriminels ont pris pour cible le site Takeaway.com (Lieferando.de), et exigé deux bitcoins (environ 11 000 dollars) pour mettre fin à l’afflux de trafic. A noter que les attaques DDoS contre les sites de vente en ligne ont tendance à augmenter pendant les vacances, périodes où les clients sont plus actifs.

Une tendance à la hausse est également observable du côté des entreprises de jeux vidéo. Les centres de données nord-américains de Final Fantasy 14 ont été attaqués début août. Les joueurs ont rencontré des problèmes de connexion, d’ouverture de session et de partage de données. Les jeux multijoueurs de l’éditeur Blizzard (Call of Duty, World of Warcraft, Overwatch, Hearthstone et Diablo : Immortal)  ont également fait l’objet de nouvelles attaques DDoS.

Il convient de souligner que de nombreuses attaques DDoS ne sont pas signalées, car les montants versés sont généralement peu élevés.

Risque #3 : La chaîne d’approvisionnement

Être attaqué par le biais d’une chaîne d’approvisionnement signifie généralement qu’un service ou un programme utilisé par une entreprise depuis longtemps est devenu malveillant. Il s’agit d’attaques menées par l’intermédiaire des vendeurs ou des fournisseurs de l’entreprise: il peut s’agir d’institutions financières, de partenaires logistiques, ou encore d’un service de livraison à domicile. Ces attaques peuvent varier en complexité et en puissance.

Par exemple, les attaquants ont utilisé ExPetr (alias NotPetya) pour compromettre le système de mise à jour automatique d’un logiciel de comptabilité appelé M.E.Doc, le forçant à diffuser un ransomware à tous ses utilisateurs. En conséquence, ExPetr a causé des millions de pertes, en infectant aussi bien des grandes entreprises que des petites.

Prenons CCleaner, l’un des programmes de nettoyage de registre les plus populaires, utilisés aussi bien par des particuliers que par des administrateurs systèmes. Il est arrivé que des attaquants compromettent l’environnement de compilation du développeur du programme, le dotant alors de plusieurs versions d’une porte dérobée. Pendant un mois, ces versions compromises ont été distribuées à partir des sites Web officiels de la société, téléchargées 2,27 millions de fois, et au moins 1,65 million de copies du malware ont tenté de se connecter aux serveurs des criminels.

Parmi les événements récents ayant interpellés les experts, on peut citer l’incident DiceyF, qui a eu lieu en Asie du Sud-Est, prenant pour cibles un développeur et un opérateur de casino en ligne, et une plateforme de service client, attaqués sur un mode à la Ocean 11. On peut aussi penser à l’incident SmudgeX : une APT inconnue a compromis un serveur de distribution et remplacé un installateur légitime par un trojan, propageant ainsi le PlugX malveillant dans toute une nation d’Asie du Sud, en le distribuant à tous les employés fédéraux qui devaient télécharger et installer le nouvel outil requis. De toute évidence, le support informatique gérant le serveur de distribution et les développeurs ont été affectés.

Risque #4 : Les malwares

Les fichiers malveillants peuvent se cacher partout : si vous téléchargez des fichiers illégitimes, assurez-vous qu’ils ne puissent pas vous nuire. Alors que plus d’un quart des petites et moyennes entreprises optent pour des versions piratées ou sans licence des logiciels professionnels afin de réduire leurs coûts, il convient de mentionner que ces logiciels peuvent contenir des fichiers malveillants ou indésirables susceptibles de compromettre les systèmes de l’entreprise.

En outre, les dirigeants de PME doivent se méfier des brokers d’accès, car il est probable que ces groupes causent beaucoup de torts aux entreprises en 2023. Leurs clients, demandeurs d’accès illégaux, comprennent aussi bien des personnes adeptes de cryptojacking que des voleurs d’identifiant bancaires, des ransomwares, des voleurs de cookies et d’autres logiciels malveillants problématiques. On peut citer Emotet, un logiciel malveillant qui vole les informations d’identification bancaires de ses victimes et cible les organisations du monde entier; mais aussi DeathStalker, surtout connu pour ses attaques contre des entités juridiques, financières et touristiques. Les principaux objectifs du groupe reposent sur le pillage d’informations confidentielles relatives à des litiges impliquant des personnalités et des actifs financiers importants, des renseignements commerciaux concurrentiels ainsi que des informations sur les fusions et acquisitions.

Risque #5 : L’ingénierie sociale

La suite Office 365 de Microsoft est de plus en plus utilisée et, sans surprise, ses utilisateurs sont de plus en plus ciblés par tentatives de phishing. Les fraudeurs ont recours à toutes sortes d’astuces pour inciter les utilisateurs professionnels à saisir leur mot de passe sur un site Web illégitime ressemblant à la page de connexion de Microsoft.

Les experts de Kaspersky ont mis au jour de nombreuses nouvelles façons dont les cybercriminels spécialisés en phishing tentent de tromper les dirigeants d’entreprises. Ces stratagèmes s’avèrent parfois très élaborés: certains imitent des services de prêt ou de livraison, en partageant un faux site Web ou en envoyant des e-mails contenant de faux documents comptables.

Certains attaquants se font passer pour des plates-formes en ligne légitimes afin de tirer profit de leurs victimes. Il peut même s’agir de services de transfert d’argent très populaires, tels que Wise Transfer.

Les chercheurs de Kaspersky ont aussi signalé un lien vers une page traduite à l’aide de Google Translate, utilisé pour contourner les mécanismes de cybersécurité. Les expéditeurs de l’e-mail prétendent que la pièce jointe est une sorte de document de paiement disponible exclusivement pour le destinataire, qui doit être étudié pour une « réunion de présentation de contrat et de paiements ultérieurs. » Le lien du bouton Ouvrir pointe vers un site traduit par Google Translate. Cependant, le lien mène à un faux site créé par les attaquants dans le but de voler de l’argent à leurs victimes.

En résumé, les cybercriminels mettent tous les moyens en œuvre possibles pour arriver à leurs fins : logiciels sans licence, sites Web ou e-mails de phishing, brèches dans le réseau de sécurité de l’entreprise, attaques DDoS massives, etc. Tout n’est cependant pas noir dans ce tableau, puisqu’une étude de Kaspersky a démontré que 41 % des PME disposent d’un plan de prévention des crises, et se soucient donc sérieusement des enjeux liés à la cybersécurité. Cette tendance donne de l’espoir pour l’avenir, et, espérons-le, devrait se traduire par la mise en œuvre de mesures de protection fiables au sein de ces organisations.

Pour que les entreprises puissent se protéger au mieux contre les cyberattaques, Kaspersky fait les recommandations suivantes :

• Mettez en place une politique de mots de passe forts, exigeant que le mot de passe d’un compte utilisateur standard comporte au moins huit lettres, un chiffre, des lettres majuscules et minuscules et un caractère spécial. Veillez à ce que ces mots de passe soient modifiés en cas de suspicion de compromission. Pour mettre cette approche en pratique sans efforts supplémentaires, utilisez une solution de sécurité dotée d’un gestionnaire de mots de passe complet intégré.
• N’ignorez pas les mises à jour qui vous sont proposées. Celles-ci apportent généralement non seulement de nouvelles fonctionnalités et des améliorations de l’interface, mais elles apportent également des correctifs aux vulnérabilités découvertes.
• Assurez-vous que vos employés soient hautement sensibilisés aux enjeux cyber. Encouragez vos employés à en savoir plus sur les menaces actuelles et les moyens de protéger leur vie personnelle et professionnelle et suivez des cours gratuits adaptés. La mise en place de programmes complets et efficaces de formation des employés par des tiers est un bon moyen de faire gagner du temps au service informatique et d’obtenir de bons résultats rapidement.