Les cyberattaques contre les entreprises sont de plus en plus nombreuses en Belgique. Contrairement à une croyance populaire, les petites entreprises sont particulièrement visées par ce phénomène. Décryptage d’un danger à ne pas sous-estimer.
Nous sommes le 26 mai 2023. Les deux sites du CHR Sambre et Meuse sont victimes d’une cyberattaque qui paralyse une bonne partie de l’hôpital. Pour prévenir la propagation du virus, toutes les communications informatiques sont coupées. Le wifi est éteint et de nombreux logiciels indisponibles. Seules les urgences graves sont assurées. 14 mai 2022, les hôpitaux du groupe Vivalia vivent une expérience similaire. Des hackers demandent le paiement d’une rançon pour éviter la divulgation des données médicales des patients de l’hôpital. Un an plus tard, un chargé de communication de l’établissement confiait à la RTBF que la situation était de retour à la normale à 95 %, mais que quelques traces de cette cyberattaque de l’ordre du détail existaient toujours. 3 décembre 2024, il y a seulement quelques jours donc, l’enseigne française Norauto, spécialiste en équipements automobiles, publie un communiqué pour annoncer le vol de données personnelles de 78.000 clients : noms, adresses mail et postales, numéros de téléphone, pièces d'identité… Toutes ces informations ont été dérobées par des pirates.
Ces vols de grande ampleur sont de plus en plus nombreux. Mais si elles font évidemment les choux gras de la presse, ces attaques ne sont que l’arbre qui cache la forêt, ô combien dense, des cyberattaques qui visent les entreprises en Belgique ou ailleurs. Et plus particulièrement les… PME qui, contrairement à ce que l’on pourrait croire, sont une cible parfaite pour les pirates à la recherche d’argent facile ou de données sensibles. « Des études confirment que les hackers privilégient les PME aux grandes entreprises dans le cadre d’attaques. La raison est simple, les PME sont plus promptes à payer les rançons pour récupérer leurs données ou l’accès à leur système informatique car leur survie en dépend. De son côté, une grosse entreprise peut se permettre de ne pas payer ou de perdre quelques données. Sa pérennité ne va pas nécessairement être en danger en cas de cyberattaque », indique Nina Hasratyan, experte cybersécurité pour l’Agence du Numérique (ADN) et cogestionnaire du programme Cyberwal de Digital Wallonia. Une analyse confirmée par un rapport de l’OCDE il y a quelques années.
Dans cette étude, l’organisation s’était penchée sur la digitalisation des PME, en ce compris leur degré de sécurité informatique. Et la conclusion, reprise sur le site du SPF Économie, était sans appel. « Leurs contacts étroits avec des entreprises de plus grande taille en tant que clientes, fournisseurs ou sous-traitants, combinés à leur plus faible degré de protection numérique, rendent les PME particulièrement vulnérables, y compris celles qui ne traitent pas directement de données sensibles. Elles peuvent en effet servir de point d’entrée idéal pour atteindre les réseaux de grandes entreprises ou d’autorités publiques. (…) Une cyberattaque couronnée de succès impacte généralement plus lourdement les entreprises de plus petite taille que les grandes entreprises, ces dernières disposant de plus de ressources pour compenser les pertes financières occasionnées par un arrêt d’activité momentané ou pour faire face à une perte de crédibilité ». Sept petits mots, dans cette citation, interrogent : « leur plus faible degré de protection numérique ». Les petites entreprises seraient-elles donc des victimes coupables de ne pas être assez protégées ? Non, loin de là. Les patrons belges ont conscience que le danger existe, mais ils semblent le sous-estimer. Un exemple ? Plus de 90 % des PME de dix travailleurs ou plus appliquent au moins une mesure de sécurité informatique. Un résultat qui paraît rassurant, sauf si l’on inverse le prisme.
On constate alors qu’une PME sur dix n’est absolument pas protégée. Un chiffre qui gonfle encore davantage quand on s’intéresse aux micro-entreprises qui emploient de deux à neuf travailleurs. Seuls 79 % d’entre elles indiquent avoir recours à des dispositifs de sécurité informatique. Ce sont donc plus de deux micro-entreprises sur dix qui sont complètement vulnérables à la moindre attaque.
Cela se comprend. La thématique est large, très large, et il est souvent difficile pour les entrepreneurs de savoir par où commencer. C’est dans cette optique que l’ADN, en partenariat avec la Global Cyber Alliance, une organisation à but non lucratif qui cherche à réduire les risques liés à la cybersécurité, a mis en place une boîte à outils de la cybersécurité. Cette solution en six étapes fournit des explications sous forme de textes et de vidéos pour protéger les entreprises. Des logiciels open sources ou freemiums (qui combinent gratuit et premium, NDLR) sont également suggérés aux indépendants qui souhaiteraient mettre en place ces mesures basiques. Ceux qui désireraient aller plus loin sont invités à consulter le CyberFundamentals Framework, un ensemble de bonnes pratiques développé par le centre pour la cybersécurité en Belgique.
Plus que jamais, l’ADN appelle aussi à la sensibilisation – que l’on parle du chef d’entreprise ou de son employé. Cela peut vite arriver pour une personne d’encoder ses données personnelles sur un faux site pour bénéficier d’une réduction « à ne pas rater », de télécharger par mégarde un logiciel qu’il n’aurait pas dû, voire d’ouvrir simplement un site internet malicieux. Pour diminuer ces interactions pour le moins évitables, la tendance actuelle est à la « gamification ». « Ces dernières années, de nombreux prestataires ont développé des formations dédiées à cette thématique. On sait que l’approche ‘de la peur’ ou ‘des conséquences’ ne marche pas toujours super bien auprès de l’humain. Idem pour les longues présentations Powerpoint au bout desquelles personne ne retient jamais rien. D’où l’essor de la gamification qui permet de mêler le jeu à l’apprentissage. C’est un excellent exercice pour assimiler les bons gestes et réflexes à appliquer dans son quotidien », pointe l’experte de l’ADN. Et s’il est déjà trop tard, les entreprises sont invitées à notifier au plus vite leur organisme bancaire (si de l’argent est en jeu) et la CERT, la Computer Emergency Response Team. « C’est l’organisme qui s’occupe des cyberincidents sur le territoire belge », indique Nina Hasratyan. Avant d’insister une nouvelle fois sur l’importance de la prévention. « Je veux vraiment envoyer ce message aux dirigeants d’entreprises : formez-vous à la cybersécurité. Vous êtes des ‘roles models’, vous prenez toutes les décisions pour votre entreprise. La cybersécurité de votre boîte passe par votre propre cybersécurité et par vos connaissances. L’humain peut à la fois être le maillon faible ou le maillon fort de la sécurité informatique. La différence réside dans sa formation et son implication ».
https://atwork.safeonweb.be/fr/tools-resources
https://atwork.safeonweb.be/tools-resources/cyberfundamentals-framework
https://gcatoolkit.org/fr/petites-entreprises/
La cybersécurité, c’est compliqué. Ce n’est pas le dernier slogan du gouvernement en la matière, mais un réel problème ressenti par de nombreux indépendants qui ne savent pas toujours par où commencer. Il ne faut pourtant pas chercher midi à quatorze heures pour poser la première pierre d’un système informatique solide. La base de la base, c’est le mot de passe. Il doit être suffisamment fort – avec des majuscules, des chiffres et des caractères spéciaux –, être changé régulièrement et différer selon le site internet visité et le type de navigation (professionnelle ou privée). Pour vous faciliter la vie, des gestionnaires de mots de passe se chargeront de retenir vos différents identifiants, tout en proposant des mots de passe sécurisés. Dans la même optique, pensez à fréquemment mettre à jour tous vos logiciels et à sauvegarder ponctuellement vos données sur un cloud, un disque dur externe, voire un réseau. Équipez finalement vos appareils de pare-feux et d’antivirus pour une protection basique. Si vous désirez aller plus loin (on vous le conseille, NDLR), la Wallonie accompagne les indépendants et les chefs de PME qui souhaitent améliorer leur protection informatique via des « chèques-cybersécurité ». Ces chèques octroient une aide à ceux qui font appel à un expert labellisé pour réaliser un audit ou un diagnostic de leur situation en matière de cybersécurité et mettre en place les actions nécessaires. La Région intervient à hauteur de 75 % des coûts HTVA des prestations de l’expert. Si vous vous faites accompagner par un expert pour une facture de 1.000 euros HTVA, la Wallonie prendra donc en charge 750 euros de la facture et les 460 autres euros seront à votre charge (les 250 euros restants et le montant de la TVA (210 euros)).
Les cyberattaques peuvent prendre de nombreuses formes. Certaines visent le patron de l’entreprise, d’autres son personnel, quand une troisième catégorie s’attaquera à son système informatique. Mais le plus souvent, elles peuvent être évitées en adoptant quelques réflexes simples. Petit tour d’horizon de quatre menaces parmi les plus courantes.
La fraude au président : Pour cette fraude, les escrocs vont tenter de se faire passer pour un des dirigeants de l’entreprise afin de piéger les employés. Elle se déroule souvent en deux temps. Dans le premier, le pirate parcourt le web et les réseaux sociaux pour accumuler un maximum d’informations sur la personne dont il souhaite usurper l’identité. Il va aussi s'efforcer de reconstituer l’organigramme de l’entreprise pour avoir une vision des postes clés. « La personne va alors se faire passer pour un des directeurs et par exemple contacter le comptable pour lui demander d’effectuer un virement. Un scénario qui est souvent utilisé est le rachat d’une société à l’étranger », explique Christelle De Boe, gestionnaire risques opérationnels chez CBC. « Le faux CEO va insister sur le caractère urgent et strictement confidentiel de l’opération qui ne doit absolument pas être ébruitée. Le but est que l’autre personne se sente oppressée pour qu’elle règle le problème le plus vite possible sans se poser trop de questions ». Tombé dans le panneau, le comptable va effectuer une série de transactions sans se rendre compte de l’arnaque. Dans ce cas, une vérification minutieuse de l’adresse mail de l’interlocuteur devrait alerter le collaborateur. Même si la différence peut être minime (un .com au lieu d’un .be par exemple). Si le doute persiste, le bon réflexe est de contacter sur un autre canal l’interlocuteur pour demander des informations complémentaires sur la transaction.
Le phishing ou hameçonnage : C’est probablement la fraude la plus connue tant les exemples, parfois dramatiques, de victimes sont nombreux. Cette technique consiste à leurrer un internaute en l’incitant à communiquer ses informations personnelles ou bancaires via un faux mail, un faux SMS ou un faux site internet. « Cela reste la technique la plus courante », estime Nina Hasratyan. Ici aussi, vérifiez avec attention l’adresse mail de votre interlocuteur ainsi que le site internet sur lequel on vous invite à remplir vos données. Divers éléments (adresse mail fantaisiste, problèmes de traduction, promotions trop alléchantes…) devraient vous mettre la puce à l’oreille. CBC rappelle par ailleurs de ne « jamais divulguer son code PIN ainsi que les codes de son lecteur de carte » et qu’une banque « ne s'adressera jamais à vous par e-mail pour résoudre en ligne un souci concernant votre compte ou votre application bancaire ». En cette période de fin d’année, il convient d’être extrêmement prudent et clair sur votre communication autour des avantages extralégaux. De nombreuses entreprises ont en effet pris habitude de profiter de Saint-Nicolas ou de Noël pour offrir un chèque-cadeau électronique à leurs salariés. Une petite attention pour son personnel, mais une véritable aubaine pour les hackers qui redoublent d’inventivité pour se faire passer pour l’émetteur desdits chèques-cadeaux et gratter des données privées.
La fraude à la facture : Ce modus operandi est extrêmement simple. Les escrocs interceptent une facture et modifient le numéro de compte sur lequel l’argent doit être versé. L’entrepreneur, mais cela vaut aussi pour les particuliers, pense avoir réglé ses dettes jusqu’à recevoir une facture de rappel du réel créancier. Songez donc à bien vérifier le numéro de compte mentionné sur la facture. En cas de doute, contactez via un numéro de téléphone que vous connaissez la personne à qui vous devez de l’argent. Plus spécifiquement s’il est stipulé sur la facture ou dans un message qui y est joint qu’il s’agit d’un nouveau numéro de compte. « Un client victime de cette fraude doit directement entrer en contact avec sa banque pour entamer les demandes de retour de fonds. Plus la réclamation est introduite tôt, plus elle a des chances d’aboutir. Même si, avec la démocratisation des virements instantanés, cela devient de plus en plus difficile de récupérer cet argent », explique Christelle De Boe.
Le DDoS ou attaque par déni de service : Ce terme un peu barbare englobe les attaques dont le but est de ralentir, voire de paralyser, un système informatique en le submergeant d’innombrables requêtes. En termes plus simples, imaginez un embouteillage numérique qui va ralentir très fortement le bon fonctionnement de votre entreprise.
Comme toutes les entreprises de sa nature, UCM est régulièrement ciblée par des cyberattaques. Une équipe est donc constamment sur le front pour améliorer la sécurité numérique de la société. « La question pour les entreprises n’est pas de savoir si elles vont être attaquées mais quand l’attaque sera-t-elle trop forte pour y résister. Tous les experts s’accordent là-dessus. C'est exactement le principe de l'alarme à la maison. Si tu as un Picasso très recherché chez toi, cette alarme va effrayer les petits voleurs. Mais si la personne est vraiment intéressée par ton Picasso, ce n’est qu’une question de temps avant que tu sois la cible d’une attaque. C’est dès lors à toi de t’équiper au mieux. Beaucoup de sociétés ne s’en rendent pas compte », pointe Philippe de Rosen, directeur ICT chez UCM. Davantage que l’argent, ce dernier confirme que les cyberattaques visent de plus en plus les données dans l’optique de les revendre à prix d’or par la suite, mais pas seulement. « Il y a plusieurs types d’attaques. Il y a celles faites gratuitement que j’appelle de pur vandalisme, juste pour faire ch… son monde. Puis il y a les défis. Certaines cyberattaques sur des entreprises ou sur des états ont juste pour objectif de montrer la force qu’on a. Il y a enfin les cyberattaques pécuniaires dont le but est de gagner de l’argent. Soit via une rançon pour récupérer son système informatique, même s’il n’y a aucune garantie qu’on le récupèrera après le paiement. Il y a des millions qui transitent tous les jours en bitcoins comme cela. Soit, ils ne te demanderont pas de l’argent mais déroberont tes données. Là, on est vraiment dans le vol pour revendre les données à prix d’or par la suite ». Quoi qu’il en soit, UCM travaille quotidiennement pour améliorer son système informatique. « Nos équipes sont constamment sur la balle pour appliquer des corrections à notre réseau et aux logiciels qu’on utilise. Les éditeurs de logiciels découvrent régulièrement des failles dans leurs produits et nous les communiquent pour qu’on les corrige. Cela doit être fait immédiatement car à partir du moment où on est au courant, les hackers le sont aussi ». Des tests sont par ailleurs effectués en permanence pour s’assurer de l’efficacité de la cyber protection d’UCM.
C’est reparti pour le Weekend du client. Organisé par UCM, l’évènement célèbrera, le premier week-end d’octobre, sa neuvième édition. Son épicentre ? Hannut, élue ville phare. Mais c’est bien l’ensemble du pays qui va vivre au rythme du shopping plaisir, du lien étroit qui se tisse au quotidien entre le commerçant et ses clients.
Lire la suite
La réception annuelle d’UCM a été l’occasion de mettre la thématique du sens du travail sous le feu des projecteurs. Un sujet à l’origine de débats porteurs, tant sur scène au cours de la partie académique que par la suite lors de riches et franches discussions.
Lire la suite