Ondrej Krehel est un expert-conseil en investigation informatique. Comptant plus de dix ans d’expérience dans le domaine de l’investigation informatique, il a effectué des enquêtes tant au niveau international que national dans le cadre d’une vaste gamme de questions liées à la sécurité informatique. Il est membre de la High Technology Crime Investigation Association (HTCIA), de la Information Systems Security Certification Consortium (ISC) et du International Council of Electronic Commerce (EC Council). Il est de plus membre de la Certified Information Systems Security Professional (CISSP) et de la Certified Ethical Hacker (CEH).

Q : Selon la National Cyber Security Alliance, une petite entreprise sur cinq est victime de cybercrime chaque année. Sur ce nombre, 60 pour cent ferment boutique au cours des six mois suivant l’attaque. Pourquoi les pirates informatiques ciblent-ils les petites entreprises?

R : Plusieurs éléments doivent être pris en compte : D’abord, les petites et moyennes entreprises (PME) n’ont généralement pas mis en place les mêmes pratiques en matière de sécurité que les grandes entreprises. Leur personnel ne prend pas le même type de mesures ou de précautions au sujet de la manière de protéger les renseignements. Ces renseignements peuvent être des données financières, des données relatives aux clients, des données d’identification personnelle ou des données liées à la conformité. Les personnes ne considèrent pas les données stockées dans leurs systèmes comme un actif. Si elles perdent cet actif, ces données, elles perdent leurs entreprises. Ensuite, les pirates informatiques sont attirés par les petites entreprises, car ils savent qu’une PME ne peut pas tellement réagir, même lorsque les lois sont mises en application. La plupart des cybercrimes sont menés dans Internet à partir d’endroits où les lois ne s’appliquent pas, ne donnant ainsi aucun pouvoir. Par exemple, il n’existe aucune entente juridique entre les États-Unis et l’Union européenne relativement à la cybercriminalité.

Q : Lorsque des pirates informatiques cherchent à pirater une petite entreprise, quelles particularités cherchent-ils en ce qui a trait aux vulnérabilités?

R : La plupart de ces entreprises ne comprennent pas la complexité des données que contiennent leurs systèmes et ils traitent un nombre important de transactions. Elles sont des cibles de choix. Les PME sont marquées d’un drapeau rouge si :

• elles font de l’import-export (30 à 40 pour cent des PME font des affaires à l’international);

• elles transfèrent de l’argent à l’international;

• elles font du commerce et des paiements par l’intermédiaire de fournisseurs internationaux.

Lorsque les PME échangent par Internet des données avec des banques et des fournisseurs tiers, les pirates informatiques peuvent avoir accès aux systèmes de paie, en général il s’agit d’un seul ordinateur, et verrouiller l’ordinateur de l’entreprise et les comptes de la banque afin de faire leurs propres transferts. Avant que l’entreprise ne soit informée du problème, le tiers des transactions financières ont été détournées vers les comptes des pirates informatiques et les données de l’entreprise sont perdues. Par exemple, l’entreprise Hillary Machinery Inc, basées à Plano au Texas a perdu dans un délai de 48 heures un montant de 800 000 $ en transferts bancaires non autorisés. La banque a pu récupérer 600 000 $, mais une poursuite judiciaire s’en est suivie en ce qui a trait aux pratiques en matière de sécurité. Les transferts ont été demandés à partir de plusieurs pays de l’Europe de l’Est.

Q : Comment les pirates informatiques déterminent-ils qu’une PME est vulnérable?

R : Ils dressent le profil des PME et portent une attention particulière à deux types de cibles : la première est les PME qui font du commerce électronique et la seconde les PME qui font du commerce international.

Les PME qui font du commerce électronique utilisent des systèmes de gestion de contenu en ligne assez bien définis. Ces systèmes de gestion de contenu sont souvent personnalisés sur des plateformes en ligne comme Drupal, Mambo et Joomla pour un montant variant entre 4 000 et 50 000 $. Les personnes responsables de la personnalisation n’effectuent souvent pas de codage sécurisé. Ainsi le résultat final est un portail disponible sur l’Internet, sans authentifiant de gestion ou avec des authentifiants d’administration inadéquats. Il s’agit d’un outil utilisé par les PME, mais ce dernier n’a jamais fait l’objet d’un examen en profondeur. Selon le rapport d’enquête 2012 de Verizon sur la violation de données, lorsque nous prenons en considération les fraudes en général, près de 60 pour cent de celles-ci sont rattachées au commerce électronique.

Les PME faisant du commerce international d’import-export sont souvent enregistrées auprès d’un État et détiennent un statut d’entreprise d’import-export. Les sociétés étrangères faisant des affaires avec des entreprises installées en territoire américain doivent aussi s’enregistrer auprès des États concernés comme des entités commerciales en activité aux États-Unis. Les pirates informatiques obtiennent ainsi la liste de ces sociétés dans les rapports publiés, ils font des recherchent et ils déterminent lesquelles sont les meilleures cibles. Puis les pirates informatiques talonnent les sociétés qui font des transferts d’argent.

Ensuite, ces mauvais garçons examinent les sites de l’entreprise, ses systèmes de gestion de contenu et ils découvrent l’endroit où elle est située, les personnes qui en sont responsables et ainsi de suite. Il s’agit de gestes tout à fait opportunistes. Une personne ne prend que quelques minutes pour faire les recherches, puis se dit « Voici comment je peux rentrer ». Ils envoient des courriels d’hameçonnage à divers employés de l’entreprise. Lorsque l’employé l’ouvre, le système est compromis. Ils vont directement vers les ordinateurs utilisés pour les transactions financières à partir de l’ordinateur compromis. En général, c’est l’ouverture d’un document joint par l’employé qui engendre le problème.

Q : Il y a plusieurs définitions de PME, mais celles-ci font souvent mention d’un certain nombre d’employés et de certains montants de revenu annuel. Le rapport Internet Security Threat Report 2013 de Symantec Corp. porte une attention particulière aux entreprises dont le nombre d’employés et inférieur à 2500. Comment les pirates informatiques évaluent-ils la grosseur des PME?

R : L’une des caractéristiques utilisées par les pirates informatiques pour cibler les PME est leur niveau de revenu. Ils examinent les gains par employé des entreprises cotées en bourse. Les pirates informatiques ne visent pas en général la pizzéria du coin de la rue dont les revenus risquent de ne pas être très élevés. Ils ciblent les PME branchées qui acceptent les cartes de crédit des clients (données PCI DSS) et qui utilisent des transferts électroniques pour faire leurs paiements. Par exemple, les pirates informatiques ont récemment attaqué une PME qui importe des tapis d’Eurasie. La PME, située à New York faisait beaucoup de profit. Elle n’avait que deux propriétaires et deux employés. Bien que l’entreprise avait une protection contre la cybercriminalité, ce n’était pas suffisant. Ce fut très difficile. De plus, pensez aux fournisseurs d’entreprises comme Macy’s. Les fournisseurs eux-mêmes peuvent ne pas importer de marchandises, mais chapeauter de petites boutiques qui font des importations en provenance de l’étranger.

Q : Quelles mesures doivent prendre les PME pour se protéger?

R : Il est très difficile pour une PME de se protéger toute seule. Elles peuvent changer de système de sécurité et opter pour une solution axée sur l’informatique en nuage plutôt que d’essayer de l’héberger à l’interne, car il est probable qu’à l’interne les personnes ne seront aptes à supporter la pression. Il faut chercher d’autres outils disponibles. L’État dans lequel elles sont en activité offre peut-être des programmes de cybersécurité auxquels elles peuvent faire appel. Par exemple, au lieu d’utiliser un système de paiement sur leur site, elles peuvent rediriger les paiements vers un système tiers en faisant appel à des outils auxquels les pirates informatiques ne peuvent avoir accès. L’objectif des PME est d’écarter la responsabilité. Parfois, la meilleure option est d’examiner ce qu’elles ont en main, chercher qui peut faire la tâche pour elle de manière plus sécuritaire, puis d’évaluer les coûts.

Les cyberattaques ont obligé plusieurs PME à mettre la clef sous la porte. La principale raison est que pratiquement aucune d’entre elles n’était suffisamment protégée contre la cybercriminalité. Autre mesure importante : Les PME doivent s’assurer d’avoir une politique sur la violation de données qui les protège contre les coûts élevés auxquels elles pourraient faire face pour se conformer aux lois fédérales et aux lois de l’État, de même que pour faire face aux poursuites intentées par les victimes. Les PME doivent s’assurer de choisir une protection qui offre des avantages à valeur ajoutée comme l’accès à des services d’experts-conseils qui fournissent, de manière proactive, des évaluations de données pour se protéger contre une violation ainsi que des solutions afin de résoudre les situations de violation.

Il existe deux types de police de base : une couverture des risques propres et une assurance de tiers qui est habituellement ajoutée à la police de risque propre. La couverture des risques propres garantit les coûts de base auxquels doit faire face une entreprise lorsqu’elle doit réagir à une violation comme l’envoi des avis aux clients concernés. Une assurance de tiers offre une protection aux entreprises qui doivent faire face à des recours en responsabilité de tiers, comme des dommages causés à un fournisseur. Une couverture est essentielle. Par exemple, une PME subit une violation de ses données et 50 000 numéros de carte de crédit sont divulgués. Cette situation va coûter à l’entreprise environ 250 000 $ pour remédier au problème et ce montant n’inclut même pas les amendes et les pénalités des autorités de réglementation et de l’organisme gérant la norme PCI DSS. C’est peut-être la somme totale de ce que gagne le propriétaire de l’entreprise en une année. Ce peut être beaucoup trop pour que la PME puisse éponger ce coût.