Trouvez votre solution

  1. 1

    Vous voulez...

  2. 2

    Dans quel but ?

  3. 3

    Pour quel objectif ?

recommencer
Publicité dans les médias : financez votre campagne !
Article précédent Publicité dans les médias : financez votre campagne !
Infographie juin 2019 : Données clés
Article suivant Infographie juin 2019 : Données clés

Les failles informatiques sont en forte hausse. Que faire ?

05/06/2019

Plus de 15 000 vulnérabilités informatiques ont été découvertes en 2018. Failles qui ont parfois été exploitées par les cybercriminels. L’installation de correctifs, alias les mises à jour, est donc primordiale sous peine de faire courir des risques inutiles mais bien réels à l’entreprise.

Des centaines de failles découvertes tous les mois !

Souvenez-vous du printemps 2017. Un ransomware nommé Wannacry avait fait des ravages en exploitant une vulnérabilité du système d’exploitation Windows XP pour crypter les données et exiger une rançon contre la clé de décodage. Plus de 300 000 machines (ordinateurs, bornes d’information, guichets automatiques…) dans 150 pays avaient été infectées en quelques jours ! « Les attaques sont souvent amplifiées par la vente sur le dark web de kits de virus prêts à l'emploi développés par les cybercriminels », souligne Didier Gras, responsable cybersécurité chez BNP Paribas.

Autre problème ? « Aujourd’hui, les éditeurs de logiciels ont réduit leur cycle de développement afin de mettre leurs produits plus rapidement sur le marché, répond l’expert. Ils livrent des logiciels contenant des failles de sécurité, qui constituent des portes d’entrée béantes pour les cybercriminels. »

Résultat, 16 555 failles ont été recensées en 2018, soit une multiplication par 2,5 par rapport à 2016, selon la base de données publiée par Mitre (association soutenue par le gouvernement américain).

« Aucun éditeur n’est à l’abri d’une vulnérabilité découverte dans l’un de ses produits informatiques, et il en va de même pour tout matériel connecté à Internet : smartphone, ordinateur, imprimante…», rappelle Didier Gras.

"16 555 failles ont été recensées en 2018"
16 555 failles ont été recensées en 2018

Les mises à jour, une parade efficace à ne jamais négliger

Pour corriger ces failles, éradiquer les bugs et enrichir les fonctionnalités de leurs produits, les éditeurs publient régulièrement des patchs sous forme de mises à jour à installer. « Vous l’aurez compris : les mises à jour représentent un enjeu majeur en matière de cybersécurité, signale l’expert. Mais, entre celles des navigateurs, des systèmes d’exploitation et des différents logiciels, c’est presque devenu un boulot à plein temps. Il ne faut pas pour autant faire l’impasse sur ces updates, ni même les repousser aux calendes grecques sous prétexte que ce n’est jamais le bon moment. D’autant que si l’entreprise est piratée alors qu’une mise à jour était disponible, cela peut, par exemple, dégager la responsabilité de l’assureur dans le cadre d’une cyber-assurance. La responsabilité du dirigeant peut également être mise en cause. »

"Les mises à jour représentent un enjeu majeur"
Les mises à jour représentent un enjeu majeur

Quelques bons réflexes à adopter

  • Installer les mises à jour dans les plus brefs délais. « Il ne s’agit pas d’être alarmiste : toutes les vulnérabilités n’ont pas le même niveau de criticité, informe Didier Gras. Certaines nécessitent un correctif immédiat quand d’autres peuvent n’être installées que sous 10 à 15 jours. » Reste à trouver le bon créneau pour lancer les mises à jour automatiques sans que cela ne perturbe trop l’activité.
  • Sensibiliser les utilisateurs. Pour bon nombre de mises à jour, notamment sur les terminaux mobiles, l’automatisation n’est pas possible. Chaque utilisateur a donc la main et doit faire le nécessaire dans les temps.
  • Sauvegarder régulièrement les données. L’installation de correctifs peut entraîner des complications comme des plantages, notamment sur les terminaux obsolètes ou qui ne disposent pas de l’espace disque suffisant. « Il peut également être utile de tester la mise à jour avant de la déployer sur toutes les machines, conseille l’expert. Car il peut arriver qu’il y ait un problème avec la mise à jour elle-même. » D’où l’intérêt de sauvegarder les données !
  • Vérifier la source de la mise à jour. Histoire de compliquer un peu plus la donne, faites attention aux mises à jour frauduleuses ! Redoublez de méfiance si vous recevez un email vous enjoignant de mettre à jour un logiciel en cliquant sur une pièce jointe. « Il est extrêmement rare qu’un éditeur procède de la sorte », alerte Didier Gras. Idem si une fenêtre pop-up s’ouvre : vérifiez alors l’adresse URL avant de cliquer sur un lien.
  • Se tenir informé. La presse informatique se fait régulièrement le relais des failles de vulnérabilité et de la disponibilité des patchs correctifs. « N’hésitez pas à vous abonner à quelques newsletters, préconise Didier Gras. Vous pouvez également consulter le site du CERT-FR (centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) qui liste les vulnérabilités et les éventuels moyens de s’en prémunir. » Sachez également qu’il existe des CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response CERT-IST (dédié à la communauté Industrie, Services et Tertiaire). Vous trouverez des CERT ouverts aux entreprises en suivant ce lien. À noter que les CERT des grands groupes listés, comme celui de BNP Paribas, sont à usage exclusivement interne.
Nous vous recommandons également
Article
Mobilité : protégez vos données et savoir-faire !

En dehors de l’entreprise, les risques sont démultipliés. Voici quelques conseils pour protéger vos données commerciales.

Article
Cyber-attaques : assurez vos arrières !

Aujourd’hui, le risque zéro n’existe pas. Alors pour minimiser les impacts d’une cyber-attaque, misez sur une cyber-assurance !

Article
Cyber-résilience : contrer le piratage informatique

Avec la multiplication des cyberattaques, nulle entreprise n’est à l’abri. D’où l’importance de la cyber-résilience pour limiter les impacts ! Interview.