Cyberattaques : les petites entreprises, cibles de choix pour les pirates informatiques

Une explosion sans précédent du nombre de cyberattaques. Voilà ce que dévoile l’Agence nationale de la sécurité des systèmes d’information (Anssi) dans son dernier « Panorama de la cybermenace ». Selon ses auteurs, le nombre d’attaque informatique contre les entreprises privées et publiques a augmenté de 30 % en 2023 par rapport à 2022.

Des attaques qui ne sont évidemment pas sans conséquences : selon une autre étude, menée cette fois par l’IFOP, 14 % des entreprises visées déclarent qu’elles ont dû dépenser plus de 50 000 euros pour se remettre en ordre de marche, et même plus de 100 000 euros pour 6 % d’entre elles. Conséquence : 70 % des PME victimes d’une attaque informatique déposent le bilan dans les trois ans¹.

POURQUOI LES ENTREPRISES SONT-ELLES PRISES POUR CIBLE ?

77 % des cyberattaques ciblent les PME et TPE. À cela, plusieurs explications. D’abord, ces structures sont rarement pourvues d’experts en sécurité informatique. Et quand bien même elles seraient équipées d’un logiciel de sécurité, il est souvent non optimal (pas de mise à jour des bases virales, licence d’utilisation périmée…), voire trop souvent non activé. Conséquence : les cybercriminels parviennent à percer les différents rideaux défensifs des PME dans 96 % des cas…

POURQUOI LES PROFESSIONNELS DE SANTÉ DOIVENT-ILS ÊTRE PARTICULIÈREMENT VIGILANTS ?

Le secret professionnel est l’un des piliers de l’activité des professionnels de santé. Il couvre l’ensemble des communications verbales ou écrites échangées avec leurs patients. Toutefois, face à la professionnalisation et l’évolution permanente des cyber-attaques, il devient de plus en plus difficile d’en garantir la sécurisation. Or, parce que ces échanges regroupent des informations « exploitables » telles que le nom, les coordonnées, le numéro de Sécurité sociale, les antécédents médicaux, le nom du médecin traitant, etc., ils peuvent être utilisés à de nombreuses fins frauduleuses, comme l'usurpation d'identité (qui peut permet la souscription de crédit au nom d'autres personnes).

LES ATTAQUES PAR RANÇONGICIELS (RANSOMWARE) PRIVILÉGIÉES PAR LES PIRATES INFORMATIQUES

En 2023, les attaques par rançongiciels ont atteint des niveaux inégalés (supérieurs de 30 % à ceux constatés sur la même période en 2022). Pour les moins avertis, ce type d’attaque est réalisé à l’aide de logiciels malveillants qui bloquent l’accès à l’ordinateur ou à ses fichiers. Les victimes se voient ensuite réclamer le paiement d’une rançon par les pirates informatiques pour pouvoir de nouveau accéder à leur matériel et ses données.

Dans 41 % de cas, les entreprises attaquées ne parviennent pas à récupérer leurs données. Plus inquiétant encore : un tiers de celles ayant versé une rançon ont été confrontées à une nouvelle attaque dans les mois suivants.

L’HAMEÇONNAGE (PHISHING), TOUJOURS D’ACTUALITÉ

Selon le site Cybermalveillance.gouv.fr, l’hameçonnage représente 21 % des actes de cybermalveillance. Le principe de l’hameçonnage ? Leurrer une entreprise pour l'inciter à communiquer certaines de ses données personnelles (comptes d'accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Pour y parvenir, les cybercriminels envoient de faux e-mails ressemblants à s’y méprendre à ceux d’organismes connus (banque, opérateur internet, fournisseur d’énergie, services des impôts, etc.). Le plus souvent, ils utilisent un prétexte (comme un « incident technique ») pour vous inciter à mettre à jour vos informations (coordonnées bancaires de votre entreprise, mots de passe, etc.). Le début des ennuis.

LES ATTAQUES PAR DÉNI DE SERVICE (DDOS)

Le principe : rendre le site internet ou les serveurs d’une entreprise indisponibles en le saturant de requêtes.

Pour éviter d’en arriver là, il est nécessaire d’intégrer ce risque dans votre politique de sécurité informatique. Pour en savoir plus, consultez le guide « Comprendre et anticiper les attaques DDoS » rédigé par l’Anssi.

Uni-médias – Avril 2024

¹ Source : La Croix.

Article à caractère informatif et publicitaire Les informations présentes dans cet article sont données à titre purement indicatif et n’engagent pas la responsabilité du Crédit Agricole ; elles n’ont en aucun cas vocation à se substituer aux connaissances et compétences du lecteur. Il est vivement recommandé de solliciter les conseils d’un professionnel.