Boite à outils

Failles de sécurité : première menace qui pèse sur les entreprises

Les failles de sécurité représentent la principale menace qui pèse sur les entreprises à l’ère numérique. En 2021, plus de la moitié des entreprises françaises ont subi au moins une cyberattaque au cours de l’année. Tous les secteurs ne sont pas égaux face à ces failles, le secteur de la santé est plus impacté selon un rapport d’IBM.

Thumbnail-Failles de sécurité
Contenu mis à jour le

Une faille de sécurité désigne tout accès non autorisé au système d’information. Elle n’est pas toujours malveillante. En effet, un employé peut tomber par hasard sur des informations sensibles à cause d’une faille du logiciel. Néanmoins, les intentions malveillantes prédominent dans ce type d’incident. Une faille de sécurité est souvent confondue avec une violation de données. La faille désigne tous types d’accès non autorisés à des données, même s’ils ne débouchent pas forcément sur un vol. De son côté, une violation fait référence à un vol des données par les pirates en exploitant une faille de sécurité. Une faille de sécurité provient de nombreuses sources comme l’utilisation d’un logiciel obsolète, la mauvaise hygiène des mots de passe, etc.

Qu’est-ce qu’une faille de sécurité exactement ?

Une faille de sécurité se définit comme un accès non autorisé à un appareil, un serveur ou encore un programme. Une faille provient généralement d’une violation du système de sécurité des données. Ceci implique souvent la copie et le vol des données.

La plupart des failles de sécurité ne proviennent pas d’une cyberattaque. Une violation des données se produit lorsque des informations sensibles qui doivent rester secrètes deviennent soudainement accessibles à tous. Cependant, le vol n’est pas encore établi. Prenons l’exemple d’un employé qui a eu accès aux salaires de l’ensemble des salariés de l’organisation. Bien qu’il n’ait pas une intention malveillante, il peut révéler ces informations à ses collaborateurs.

Les petites entreprises sont les plus exposées à des failles de sécurité d’après une enquête menée par Identity Theft Resource Center. Pour les cybercriminels, ces petites structures représentent souvent une porte d’entrée pour accéder à leurs partenaires commerciaux, des acteurs plus grands.

Un rapport du Forum Économique Mondial révèle que 88 % des chefs d’entreprise considèrent les PME/TPE comme le maillon faible dans leur chaîne d’approvisionnement. Les chiffres confortent ce constat puisque 40 % des entreprises sondées indiquent qu’une cyberattaque a été menée à partir de leur chaîne d’approvisionnement.

Quelles sont les conséquences d’une faille de sécurité ?

Les conséquences d’une faille de sécurité sont fatales pour une organisation. L’ampleur des conséquences dépend du volume et du type de données auxquels les pirates ont eu accès. Cela dépend également de l’intention des malfaiteurs.

La perte de données

Une faille de sécurité entraîne souvent le vol de données sensibles qui sont ensuite exposées sur internet. Pourtant, il s’agit généralement d’informations sur les clients. Les pirates peuvent également rester discrets et utiliser ces données pour réaliser une fraude financière et un vol d’identité.

Dommages financiers

Une faille de sécurité entraîne toujours des pertes financières, en particulier en cas de ransomware. Au-delà du paiement de la rançon, l’activité de l’entreprise est paralysée pendant des jours. Les dépenses liées à l’enquête ne sont pas à exclure également. Par ailleurs, elle doit communiquer sur une éventuelle fuite, sans parler de l’indemnisation des clients concernés.

Poursuites judiciaires

En plus d’être victime d’un incident de sécurité, une entreprise risque également des poursuites par les organisations compétentes à cause de la compromission de données clients. Celle-ci peut subir un contrôle réglementaire, payer des amendes, etc.

Dommages opérationnels

Une faille de sécurité peut paralyser les opérations d’une entreprise pendant des jours. Ceci entraîne une perte de productivité et une diminution du chiffre d’affaires.

Dommages à la réputation

Les utilisateurs conscients d’une faille de sécurité sont plus méfiants à l’égard d’une marque. Celle-ci n’a plus la confiance de ses partenaires également. Une atteinte à la réputation entraîne une conséquence financière sur le long terme.

Comment se manifeste une faille de sécurité ?

La cyberattaque contre Yahoo en 2013 était considérée comme sans précédent dans l’histoire de la cybersécurité. Les hackers ont utilisé l’hameçonnage pour piéger les victimes. Il a suffi qu’une seule personne clique sur l’e-mail pour que le logiciel malveillant se propage.

Le phishing

Il représente la principale menace qui pèse sur les entreprises à l’heure actuelle. La méthode est la plus répandue et concerne aussi bien les grandes que les petites entreprises. Elle consiste à envoyer un message par e-mail ou par SMS à la cible. En apparence, le message semble légitime et incite le destinataire à cliquer un lien redirigeant vers une fausse page de connexion ou un faux site web.

Ces messages sont conçus pour extorquer des informations sensibles permettant ensuite d’accéder au système informatique de l’entreprise. L’hameçonnage serait à l’origine de 12 milliards de pertes chez les organisations. Neuf violations de sécurité sur dix proviennent de cette méthode.

Les cybercriminels utilisent des techniques de plus en plus sophistiquées en s’appuyant sur l’ingénierie sociale. Ils se font passer pour des contacts professionnels légitimes. Une déclinaison du phishing, le Business Email Compromise, a permis à ces acteurs malveillants de gagner des millions. Ils usurpent l’identité d’un cadre supérieur ou d’un dirigeant et ordonnent à un subordonné d’effectuer un virement ou de fournir des informations sensibles.

Le ransomware

Le ransomware est une autre forme d’attaque courante, frappant des milliers d’entreprises à travers le monde. Le ransomware consiste à utiliser la méthode de chiffrement pour rendre inaccessible l’accès aux données d’une entreprise. Cette dernière est obligée de payer une rançon pour obtenir la clé de déchiffrement.

Sachant que les grandes entreprises sont plus armées pour faire face à une attaque, les petites entreprises sont devenues une cible privilégiée d’une attaque de ransomware. Près de trois quarts des attaques concernent ce type de structure.

Les cybercriminels savent que les PME/TPE n’ont pas souvent les moyens de créer une sauvegarde de leurs données. Pourtant, elles ont besoin de redevenir opérationnelles rapidement. En France, le ransomware cible particulièrement le secteur de la santé selon l’ANSSI. En 2020, 27 hôpitaux ont été victimes d’un piratage informatique. Ceci a entraîné la fuite de près de 500 000 dossiers médicaux de patients sur internet.

La menace d’initiés

Le terme « initié » regroupe tous les employés et autres personnes (consultants, prestataires, fournisseurs, etc.) ayant accès aux infrastructures d’une organisation. Cela peut être l’autorisation de déplacement au sein d’un site, l’utilisation d’identifiants de connexion, etc.

Cet accès privilégié comporte des risques. Chaque autorisation d’accès (identifiants et mots de passe) représente un point de vulnérabilité. Selon un rapport d’IBM en 2023, la violation de données menée par un initié malveillant coûte 4,9 millions de dollars en moyenne. Une autre étude révèle qu’une menace interne présente davantage de risque d’expositions de données qu’une menace externe.

Il est important de faire la différence entre les différents types de menaces internes :

  • les initiés malveillants : il peut s’agir d’un employé mécontent qui souhaite se venger ou bien un employé motivé par l’appât du gain. Certains initiés agissent comme de véritables espions industriels. Leur objectif est d’installer un logiciel malveillant dans le serveur de l’entreprise, de dérober des informations clients, ou encore de dévoiler des secrets commerciaux, etc. En 2022, un employé de Twitter a vendu des informations sur des utilisateurs à l’Arabie Saoudite.
  • les initiés négligents : le manque de formation et l’imprudence font de ces employés des cibles privilégiées d’une attaque par hameçonnage. Les cybercriminels ont bien compris que l’humain représente la principale faille dans une entreprise.
  • les initiés compromis : les cybercriminels ont volé les identifiants d’utilisateurs légitimes pour lancer leurs attaques. Le rapport de Ponemon Institute révèle que ce type de menace coûte 800 000 dollars en moyenne à l’entreprise victime.

Quelles sont les sources d’une faille de sécurité ?

En cybersécurité, le risque zéro est une utopie. Toutes les mesures mises en place peuvent présenter des failles de sécurité. Des vulnérabilités que les cybercriminels exploitent pour pénétrer dans le système d’information d’une entreprise. Leur objectif est généralement de voler des données. C’est pourquoi il est important de connaître les principales sources des failles de sécurité en informatique.

La gestion des accès

Plusieurs études rapportent une mauvaise gestion des mots de passe et logins en entreprise. Une étude sur les salariés des 500 plus grandes entreprises au monde révèle par exemple que « password » et « 123456 » figurent parmi les plus utilisés. Au-delà des mots de passe trop simples, les collaborateurs les transmettent par e-mail. Le renouvellement se fait rare également. Certains vont même jusqu’à utiliser le même code d’accès à plusieurs.

Pourtant, il est facile pour les pirates de pénétrer un système informatique lorsque les mots de passe sont faibles. Ils mettent à peine une seconde pour déchiffrer un mot de passe à 6 caractères.

Les accès utilisateurs représentent également une autre source de failles de sécurité. Certains employés qui ne font plus partie de l’entreprise peuvent toujours accéder à leur mail, consulter des fichiers, entrer dans le bâtiment, etc.

La messagerie d’entreprise

La messagerie électronique représente un autre point d’entrée que les pirates exploitent pour entrer dans le système d’information d’une entreprise. Ils envoient les malwares, ransomwares et logiciels espions à plusieurs destinataires à travers des liens ou des pièces jointes infectées.

Les cybercriminels s’appuient sur l’ingénierie sociale pour tromper leurs victimes. Ces dernières ne se doutent pas de la crédibilité d’un e-mail provenant d’un fournisseur ou d’un réseau social. Pourtant, il s’agit d’une usurpation d’identité. Cette méthode permet aux hackers de récolter des mots de passe et des logins.

La messagerie d’entreprise n’est pas seulement un point d’entrée, elle regorge également d’éléments confidentiels. L’entreprise a ainsi tout intérêt à se doter d’un logiciel anti-spam ou antivirus pour protéger sa messagerie.

Les logiciels obsolètes

Certaines entreprises utilisent toujours des logiciels obsolètes ou d’anciens systèmes d’exploitation. Pourtant, cette absence de mise à jour constitue une faille de sécurité importante. Prenons l’exemple du ransomware WannaCry. Celui-ci a réussi à infecter des millions d’ordinateurs qui utilisaient encore Windows 7 à travers le monde.

Les entreprises persistent à utiliser des logiciels obsolètes pour plusieurs raisons. D’abord, une mise à niveau implique généralement une longue opération et demande des compétences spécifiques. Certaines migrations obligent également l’entreprise à renouveler entièrement ses machines. Ce renouvellement a un coût. Certains dirigeants préfèrent rester sur un logiciel obsolète à cause d’un manque de formation des collaborateurs. 

Pourtant, lorsque les logiciels obsolètes présentent des failles de sécurité, les éditeurs n’ont plus intérêt à les corriger, préférant se concentrer sur les nouvelles versions. Les cybercriminels exploitent facilement ces failles pour s’introduire dans le système d’information de l’entreprise.

En 2022, l’entreprise Dedalus Biologie est sommée par la CNIL de payer 1,5 million d’euros. Pour cause, une défaillance de mis à jour dans son serveur a conduit à la fuite de données médicales de 500 000 patients. D’où l’importance des mises à jour des logiciels afin de garantir la bonne santé d’une infrastructure informatique.  

L’hébergement des données

L’hébergement des données des entreprises s’inscrit dans leur transition numérique. Cela consiste à confier la gestion du système d’information à une entreprise tierce. Le modèle économique fonctionne sur le principe de location. Ce prestataire est un fournisseur de service qui offre un accès à ses softwares et hardwares en échange d’un abonnement.

Les données gérées par un prestataire sont stockées dans un datacenter. L’utilisateur y accède facilement grâce à une connexion internet. En 2020, le marché du cloud computing s’élevait à 270 milliards de dollars. Les spécialistes prévoient un chiffre de 1 000 milliards de dollars d’ici 2024.

Ce contexte soulève plusieurs questions en matière de cybersécurité. Où sont hébergées les données, sachant que l’hébergement dans un serveur non européen comporte des risques ? L’entreprise dispose-t-elle de sauvegarde en cas d’attaque par ransomware ? Peut-elle restaurer rapidement ces données ? Les clients sont-ils au courant des informations conservées à leur propos ?

En exploitant les failles de sécurité, les cybercriminels peuvent accéder à un volume important de données. Ils peuvent les rendre publics, exposant l’entreprise à des amendes. Par conséquent, il est important d’apporter des réponses positives à ces questions pour garantir la sécurité des données.

Quelques exemples de violation de données suite à une faille

Bien que des centaines d’entreprises subissent des failles de sécurité par an, certains incidents restent discrets tandis que d’autres attirent l’attention des médias. Pour cause, il s’agit d’organisations que l’on croit être solides.

LastPass

Le gestionnaire de mots de passe a subi une faille de sécurité en 2022. Les pirates ont réussi à s’introduire dans l’ordinateur d’un ingénieur de l’entreprise pour y installer un logiciel malveillant, un keylogger. En obtenant le mot de passe principal de cet employé, ils ont pu accéder au coffre-fort des clients.

Facebook

En 2021, plus de 530 millions d’utilisateurs ont vu leurs données personnelles exposées sur un forum de piratage. Les informations proviennent d’une faille remontant à 2019. Les données portaient sur les noms complets, les numéros de téléphone, les adresses e-mail, etc.

Yahoo

Le fournisseur de service a signalé le vol de données de près de trois-milliards de comptes en 2013. La faille a permis aux pirates d’obtenir des informations sensibles comme le numéro de téléphone, la date de naissance, les adresses e-mail, etc.