Vous le savez certainement. Vous avez déjà cherché en ligne une nouvelle paire de chaussures bien adaptées, ou une nouvelle table de jardin où toute la famille pourra déguster une boîte repas commandée en ligne.
Puis, lorsque vous voulez lire le journal en ligne, vous êtes étourdi par les publicités pour les chaussures, les tables de jardin ou les boîtes repas. Tout est bon pour que vous fassiez cet achat. Et avouez qu'une fois que vous avez cliqué sur une telle publicité...
De plus en plus d'appâts à clics
De plus, si vous avez fait cela chez vous en étant connecté à votre wifi, les membres de votre famille seront également bombardés de ces publicités. Les annonces (publicités) sont basées sur l'adresse IP à partir de laquelle la recherche a été effectuée et peuvent donc cibler n'importe quel appareil de ce réseau. Ainsi, de nombreux "appâts à clics" vous sont envoyés, à vous et à votre famille ; ces chaussures seront achetées!
La publicité malveillante
Cette "publicité" n'est pas toujours ce qu'elle semble être, et peut être de la "malvertising", via des comptes supposés fiables. Ce principe consiste à vous montrer la même annonce d'un produit connu, mais de manière malveillante. Vous cliquez sur l'annonce, parce qu'elle semble tout à fait légitime, mais vous êtes conduit à une fausse page, où vous passez commande comme vous le feriez autrement, sauf que vous attendrez en vain la livraison. Vous allez donc devoir continuer à marcher avec ces vieilles chaussures pendant longtemps, sur cette belle table de jardin, vous allez devoir attendre jusqu'à votre dernier souffle, la seule chose dont vous êtes plus riche, ce sont les logiciels malveillants.
Le cheval de Troie
Vous avez cliqué sur la publicité, le logiciel malveillant s'est installé sans que vous vous en rendiez compte. Le week-end est terminé, vous commencez votre semaine de travail à la maison. Votre entreprise veut jouer la carte de la sécurité en matière de travail à distance. Elle vous demande, à juste titre, de vous connecter via un VPN (Virtual Private Tunnel, un mécanisme permettant d'établir une communication sécurisée entre les serveurs de l'entreprise et votre PC).
Rien de plus simple : il suffit de rechercher sur Google le logiciel VPN connu et imposé par les services informatiques, de le télécharger et le tour est joué. Grâce à une publicité sponsorisée, vous cliquez sur le premier résultat de recherche et téléchargez le logiciel. Entre-temps, votre PC est infecté par un "cheval de Troie", c'est-à-dire un logiciel que vous pensez installer mais qui fait quelque chose de complètement différent.
Sans rien remarquer, vous vous rendez au bureau le lendemain et, après avoir pris le café habituel, vous démarrez votre PC. Le cheval de Troie introduit alors un "ransomware" dans toute l'infrastructure de l'entreprise sans être détecté, alors que tout le monde peut continuer à travailler sans se douter de rien.
L'entreprise gère maintenant la situation en toute sécurité, comme on le lui a dit. VPN mis en place, MFA (Multifactor Authentication ; utilisation de plusieurs facteurs pour prouver qu'il s'agit bien de vous) activé, sauvegardes quotidiennes, politique d'utilisation de l'internet par les employés clairement définie, accès biométrique aux bâtiments (empreinte digitale, scan rétinien...), participation des employés à un programme de sensibilisation à la sécurité. C'est beaucoup plus que ce que font en moyenne toutes les entreprises en matière de sécurité !
Téléphone le vendredi soir
Les mois passent, l'entreprise est en pleine expansion, tout se passe bien. Jusqu'à ce vendredi soir, 18 heures, où le directeur reçoit un appel de l'un de ses vendeurs. Il voulait lui faire une offre rapide, mais il lui dit qu'il ne peut plus accéder au système CRM, rien en fait... Tout ce qu'il reçoit, c'est le message que l'entreprise a été piratée, que tous les fichiers ont été cryptés, et qu'il faut payer 250.000 euros pour que les fichiers soient débloqués. Le cryptage est un processus qui permet de crypter les fichiers de manière à ce qu'ils ne puissent être lus par personne d'autre à moins d'avoir la clé. Et c'est justement ce que possèdent ces pirates, la clé de décryptage.
Tout le monde sur le pont. Le service informatique reçoit l'ordre de tout isoler immédiatement et de lancer des procédures de sauvegarde. Les serveurs, les ordinateurs portables, les ordinateurs de bureau sont tous nettoyés jusqu'à l'os, les sauvegardes sont restaurées. Mais ils découvrent que même les sauvegardes sont infectées, quel que soit le nombre de mois écoulés.
L'entreprise est complètement à l'arrêt depuis 5 jours maintenant, personne ne peut travailler, lorsque cela peut être fait manuellement, cela se produit, mais il ne s'agit pas de problèmes critiques pour l'entreprise. Entre-temps, des experts informatiques externes ont été engagés parce que cela dépassait les capacités du département informatique. Malheureusement, cela n'a été possible qu'à partir de lundi, car personne n'était joignable pendant le week-end. Le juriste de l'entreprise s'est plongé dans toute l'histoire, mais s'est surtout demandé ce qu'il devait faire dans ce cas; il cherchait lui aussi une aide plus spécialisée. Finalement, après mûre réflexion, les pirates sont contactés, le montant peut être négocié un peu plus et, après réception de la rançon, la clé de décryptage est transmise, ce qui leur permet de tout restaurer. L'entreprise et le partenaire informatique externe restent donc en contact pendant 3 jours....
Des chaussures, la fin du travail de toute une vie
La facture finale est très lourde :
- Entreprise inactive pendant 8 jours
- Tous les employés inactifs
- Atteinte à la réputation
- Manque à gagner
- Coût élevé de l'investigation par une société informatique externe
- Coût élevé de la restauration des données par une société informatique externe
- Coût élevé des services juridiques
- Action en justice intentée par un client qui estime avoir subi un préjudice irréparable du fait que les marchandises commandées n'ont pas été livrées à temps.
Les coûts étaient si élevés que la confiance des clients et des fournisseurs a disparu, ce qui a entraîné une baisse des commandes et l'impossibilité pour les fournisseurs de commander leurs matériaux. L'entreprise bien gérée a donc été déclarée en faillite au bout de six mois.
Une issue plus que dramatique, la fin du travail d'une vie.... Et tout cela à cause de chaussures...
Et si... ?
Supposons que l'entreprise ait été assurée pour les cyberincidents avec la police Cybercontrat, quelle serait la facture finale ?
- On aurait pu appeler immédiatement la hotline CyberContract 24/7
- Cette hotline met immédiatement au travail des experts informatiques qui se rendent sur place, effectuent des expertises, identifient le problème et proposent un plan d'action.
- Parallèlement, la même hotline active les services juridiques, qui examinent s'il faut parler aux extorqueurs, si cette histoire doit être portée à la connaissance des autorités et quelle communication doit être faite avec le monde extérieur afin de rassurer les clients et les fournisseurs.
- Le montant du ransomware a été payé plus rapidement grâce à la conclusion des services informatiques qui ont estimé qu'il n'y avait pas d'autre option.
- L'entreprise n'est pas restée inactive pendant huit jours, mais deux, après quoi elle a pu reprendre ses activités les plus critiques.
- Les coûts des services informatiques et des services juridiques auraient été couverts par la police d'assurance, qu'il s'agisse du travail d'enquête, de la négociation avec les extorqueurs, de la restauration de la réputation et de la reconstitution des données.
- Le paiement de la demande de rançon n'aurait pas dû sortir de la poche de l'entreprise
- Le procès intenté par un client aurait pu être évité parce que l'affaire aurait été résolue beaucoup plus rapidement, mais si cela s'était quand même produit, l'aide juridique aurait plus que rempli son rôle.
- De plus, le manque à gagner dans cette histoire a également été couvert !
Sommes-nous en train de dire qu'il faut souscrire une cyber-assurance pour pouvoir payer facilement une rançon à des extorqueurs ? Non, au contraire, il s'agit là d'exceptions. Mais ce qui est clair :
- c'est que des efforts optimaux auraient été déployés dès la notification pour assurer la continuité des activités et éviter d'autres tragédies
- que les experts en la matière auraient pu prendre les bonnes décisions beaucoup plus rapidement
- que l'entreprise n'aurait pas fait faillite
Ce que l'on souhaite en tant que chef d'entreprise dans une telle situation, c'est avant tout savoir où aller. En effet, ce genre de situation suscite des questions de toutes parts auxquelles vous n'avez pas de réponse. C'est à ce moment-là que vous voulez être aidé.
La question est donc la suivante : votre voiture de société sera assurée dès le premier jour sans aucune question. Pourquoi ne pas en faire autant pour la continuité de votre entreprise ?
Conclusion
Le message est que vous devez poursuivre vos efforts de sensibilisation à la sécurité, car les humains sont et seront toujours le maillon faible de la sécurité de votre entreprise.
Soyez paranoïaque lorsque vous cliquez sur un lien, réfléchissez avant d'installer quelque chose, restez toujours vigilant. Même si vous pensez être en sécurité, la sécurité à 100 % n'existe pas. Et si vous êtes en sécurité, d'autres ne le sont pas.
Pensez à la façon dont vous montez dans votre voiture : vous mettez d'abord votre ceinture de sécurité. Le faites-vous parce que vous vous dites "aujourd'hui, je ne vais pas conduire en toute sécurité" ? Non, vous vous protégez contre d'éventuelles erreurs inattendues commises par vous-même ou par d'autres. Et c'est précisément pour cela qu'il est si important d'avoir une assurance.
Source
- Fausses publicités Facebook
- Fausses annonces Google
- Malvertising
