Cybersecurity softwarePremium

Désolé, vous êtes le maillon faible...
mais rassurez-vous, tout n'est pas perdu !

Cyber-menaces dans l'industrie manufacturière

cs1
L'évolution au profit du télétravail dans le contexte de la crise du COVID-19 implique de nouvelles failles dans les systèmes informatiques

 

Les dangers de la convergence entre l'OT et l'IT, un danger abordé de long en large ces dernières années. Pourtant, force est de constater que l'on entend très, voire trop régulièrement, des histoires à glacer le sang sur des entreprises touchées. Et ce n'est que la partie visible de l'iceberg. Le niveau de menace augmente et la pandémie de COVID-19 nous expose à de nouvelles failles.

nous sommes tous une victime potentielle

Picanol, Aveve, Pilz, Crélan, MAN, ISS, Wereldwinkel, Ranson, Municipalité de Willebroek, Université d'Anvers, Asco : ces dernières années et ces derniers mois, nous avons été témoins d'histoires parfois catastrophiques de cybercriminalité. Et en y regardant de plus près, vous verrez qu'aucun type d'entreprise n'est réellement à l'abri : presque tous les secteurs sont touchés et toutes les entreprises, quelle que soit leur taille, peuvent être la cible d'attaques. Personne n'est à l'abri ou ne s'intéresse aux pirates informatiques, comme on le suggère parfois à tort. En fait, tôt ou tard, vous finirez de toute façon par être la cible d'une attaque à votre tour. LA question, c'est de savoir quand. Il est donc important de vous armer correctement au sein de votre entreprise et le vieil adage qui dit qu'une chaîne n'a que la force de son maillon le plus faible est évidemment plus vrai que jamais dans ce contexte.

cs2
Non seulement les cybermenaces sont de plus en plus fréquentes, mais le nombre de types d'attaques ne cesse de se diversifier

 

Les conséquences d'une cyber-attaque sont souvent aussi importantes que diverses : perte de données, arrêts de production, perte de clients potentiels, mise en péril de rachats, atteinte à l'image. Enfin, il peut même y avoir des amendes s'il apparaît que vous n'avez pas pris les mesures nécessaires pour empêcher la perte de données et si des données sensibles telles que des données personnelles ont pu être saisies.

dangers divers

Nous pourrions énumérer ci-dessous tous les types de risques possibles qui existent, mais nous avons déjà couvert cela en détail. Nous nous limiterons ici au plus grand danger, le plus important : une attitude passive. Cette attitude passive peut se manifester à plusieurs niveaux : au niveau de l'organisation ou des employés. Au niveau de l'organisation, il peut s'agir, par exemple, d'une mauvaise appréciation des risques. Trop souvent, nous voyons encore une politique informatique bien pensée, mais la volonté et le sentiment d'urgence de donner à la politique de cybersécurité une place de choix dans celle-ci font défaut. En général, nous estimons que les responsables informatiques arriveront à s'en occuper et ce, dans le budget standard, car 'c'est de toute façon un truc d'ordinateurs'.

cs5
Le budget consacré aux cybermenaces n'est souvent pas calculé selon la menace réelle

 

Dans certaines entreprises, on constate que l'organisation fait une fixette sur les dangers déjà bien connus, ce qui représente une autre forme de passivité. Par exemple, on investit à tort et à travers dans de touts nouveau logiciels pare-feux, mais sans politique de courrier électronique pour les employés ni procédure d'accès pour les parties externes. Pour l'expliquer de manière plus imagée : c'est comme acheter Lukaku et Messi pour renforcer votre attaque, alors que votre propre gardien de but laisse passer tous les ballons, ça ne sert à rien.

Mieux vaut donc ne pas trop se reposer sur ses lauriers, car les cybermenaces évoluent très rapidement. Pour rester dans le domaine du foot : si c'est intéressant d'acheter Messi aujourd'hui, cela ne le sera peut-être plus dans 6-7 ans.

Et comme nous en sommes aux joueurs sur le terrain, c'est le moment d'évoquer le talon d'Achille de la cybersécurité : l'être humain. Même si le système de protection est très bien pensé et robuste, l'homme en restera toujours le maillon faible. Cela n'a rien d'une coïncidence, car la technologie qui protège nos systèmes est de plus en plus efficace. En d'autres termes, il devient de plus en plus difficile pour les pirates informatiques de pénétrer dans les systèmes sans intervention d'un tiers ou en exploitant l'erreur humaine.

cs6
Le contrôle des droits d'accès physique est l'une des lacunes possibles

 

Un premier exemple : il y a trente ans, par exemple, les protocoles de communication tels que Profibus et Modbus n'étaient pas du tout conçus pour partager des informations en dehors de l'entreprise. C'est le cas aujourd'hui, car les protocoles désormais largement basés sur l'Ethernet utilisent - entre autres - l'authentification.

Un deuxième exemple : les pare-feux. Dans le passé, ils fonctionnaient selon le principe du oui/non : soit la communication passait, soit elle ne passait pas. Plus tard, cette décision serait davantage axée sur l'utilisateur du moment. Aujourd'hui, les pare-feus comprennent toute une série de sous-protections telles que :

  • Prévention des intrusions (accès non désiré par des tiers),
  • Anti-virus,
  • Contrôle SSL (sur les certificats de sites web)
  • sandboxing (mise en quarantaine des données entrantes et simulation de leur impact sur le système).
cs7
Un contrôle SSL permet de vérifier les certificats des sites web

 

cs8
Avec le 'sandboxing', l'impact des flux de données entrants est d'abord simulé virtuellement avant de les déployer effectivement

 

Les systèmes de protection de nos installations ont donc évolué, mais la question reste de savoir comment sensibiliser au mieux les personnes sur le lieu de travail pour protéger l'entreprise contre les attaques.

Les attaques dans lesquelles les employés sont impliqués peuvent être très diverses et l'"ingénierie sociale" est un grand danger. C'est là que l'agresseur tente de se faire passer pour quelqu'un d'autre. Le 'patron' qui utilise un e-mail parfaitement falsifié pour demander au service comptable de transférer une somme d'argent est un exemple bien connu. Malheureusement, ces techniques deviennent de plus en plus sophistiquées et l'époque des faux messages bricolés et maladroits des grands donateurs nigérians est révolue. Les pirates informatiques passent réellement par la routine quotidienne de leurs cibles, ils imitent le style, la présentation et l'heure d'envoi du courrier électronique du vrai patron, si nécessaire ils prennent un ton pressant ("À faire d'urgence ou je vais perdre ce client") et ils choisissent consciemment les maillons les plus faibles de la chaîne (nouveaux employés, employés plus âgés ayant moins de connaissances en informatique). L'ingénierie sociale est une technique qui étend de nombreux tentacules. La technique bien connue du phishing - qui consiste à essayer d'obtenir des données par courrier électronique - n'en est qu'un exemple. Les autres formes de communication sont les appels téléphoniques, les SMS, les réseaux sociaux ou les fake news.

cs3
Les ordinateurs portables personnels, les réseaux et les logiciels n'ont généralement pas le même niveau de sécurité que les appareils de l'entreprise

 

le COVID-19 représente une véritable mine d'or pour les pirates

Malheureusement, le travail à domicile ouvre encore plus les portes aux attaques. Et plusieurs raisons peuvent expliquer ce constat. La plus évidente est l'infrastructure : les ordinateurs portables personnels, les réseaux et les logiciels n'ont généralement pas le même niveau de sécurité que les appareils de l'entreprise. Mais il ne faut pas non plus sous-estimer la pression accrue sur les employés. La direction est nerveuse en raison de l'incertitude quant à l'avenir, et cette pression se fait ressentir involontairement à tous les niveaux. De plus, le fait de travailler seul élimine une grande partie de l'interaction sociale avec les collègues. Il n'est plus possible d'effectuer une enquête 'physique' rapide auprès d'un collègue ("toi aussi, tu as reçu ce courrier ?"). De plus, le travail à domicile entraîne également une moindre interaction entre les différents services. Le travail peut bien être organisé dans les limites des départements, mais les tâches qui vont au-delà sont moins bien suivies et exécutées. De plus, les personnes qui travaillent à domicile sont beaucoup moins liées à l'horaire classique de 9 - 17. Si un travailleur commet une cyber-erreur au sein de l'entreprise pendant une journée classique, il y a de fortes chances qu'elle soit rapidement remarquée. Si un employé à domicile commet la même erreur le samedi matin, l'impact ne peut être constaté que bien plus tard, ce qui retarde la mise en place de mesures.

cs4
Si un travailleur à domicile provoque une cyber-erreur le samedi matin, il faudra souvent attendre le lundi matin avant de la découvrir

 

quelle approche adopter ?

Formation/sensibilisation

Les mots de passe faibles restent l'objectif numéro 1. Même dans les entreprises dont la politique de connexion exige régulièrement la modification des mots de passe, on observe une forme de 'paresse'. Certains mots de passe reviennent en boucle et si l'on réduit également cette boucle, on passe à une numérotation facile à déchiffrer (Barcelona0 devient Barcelona1, puis Barcelona2 et ainsi de suite). L'utilisation de mots de passe doit être découragée au profit des phrases de passe et de l'authentification multifactorielle. Outre la force des mots de passe, il est également impératif de former en permanence le personnel et de le sensibiliser à tous les dangers possibles.

Construire des ponts en ligne

Nous avons déjà mentionné que les contacts entre les services pendant les périodes de travail à domicile sont trop cloisonnés. Il est impératif de veiller à une bonne communication entre tous les services pour éviter cela. Envisagez également de mettre en place une ligne d'assistance téléphonique en ligne qui puisse répondre immédiatement aux questions des employés.

Fournir les mêmes équipements de protection que dans l'entreprise

Savez-vous quels dispositifs vos employés utilisent pour se connecter au réseau de l'entreprise ? Savez-vous comment ces appareils sont protégés ? Il s'agit d'un exercice d'équilibre difficile, car il est souvent difficile de savoir ce que votre entreprise peut et ne peut pas exiger de ses employés. La règle est simple : pour une garantie absolue, mettez à leur disposition du matériel de votre entreprise. Vous pourrez décider de la manière dont les sauvegardes, le pare-feu, l'antivirus et l'antispam fonctionnent. Si ce n'est pas possible, vous devrez renforcer la protection de votre réseau. Il faut aussi garder à l'esprit qu'on ne peut jamais être sûr à 100 % de l'appareil qui se connecte au réseau et de la sécurité qui y est associée.

et imposer des conditions aussi strictes que dans l'entreprise

Il est important que la technologie utilisée par vos employés reçoive les mises à jour nécessaires qui interviennent dans un cadre professionnel normal, comme la dernière version des systèmes d'exploitation, des logiciels et des applications. Si les employés utilisent des dispositifs personnels, cela peut signifier l'activation de la mise à jour automatique. Il est également préférable d'expliquer les limites de la connexion de périphériques externes à leur appareil, en particulier l'utilisation de la clé USB.

cs9
La structure d'une attaque DDoS. Il convient de noter que le facteur humain est fortement présent ici en tant que canal potentiel par le biais du courrier électronique, de la connexion USB et des visites de sites web dangereux

 

une assurance pour se protéger ?

Comme il est impossible de se protéger à 100 % contre les cyberattaques, nous constatons que l'assurance contre cette forme de criminalité est en hausse. Selon la politique, une compensation peut être obtenue pour les éléments suivants :

  • Dommages commerciaux dus à l'inaccessibilité (partielle) du réseau de l'entreprise
  • Les frais encourus par les tiers pour l'enquête
  • Les coûts de la communication de crise
  • Indemnisation éventuelle des tiers et des autorités en cas de violation de données à caractère personnel et/ou des clients pour les dommages causés à leurs données
  • Coûts de recouvrement

Mais attention : la compensation est toujours assortie de conditions, comme c'est le cas pour l'assurance incendie ou l'assurance automobile. Par exemple, l'entreprise peut exiger la nomination de son propre consultant. En outre, il n'est parfois pas tout à fait clair si les sommes versées à titre d'extorsion seront également remboursées et dans quelles conditions. Des limites sont également généralement fixées pour le vol d'argent - par exemple parce que les pirates informatiques ont eu accès au compte bancaire.

UNE ATTAQUE DONT IL EST QUASI IMPOSSIBLE DE SE PROTÉGER : L'ATTAQUE D'INITIÉ
Il y a un autre point d'intérêt qui a récemment reçu plus d'attention : "l'attaque d'initié", par laquelle des organisations malhonnêtes obtiennent l'accès en soudoyant le personnel. Une méthode tout droit sortie d'un mauvais film d'espionnage ? Malheureusement non. Un employé de Tesla, par exemple, a refusé une offre d'un million de dollars pour installer un logiciel malveillant dans l'entreprise. Malheureusement, cette façon de travailler semble connaître une forte croissance - surtout dans les entreprises de haute technologie - car presque aucune des protections mentionnées ne permet de s'en protéger. Seuls un examen approfondi au moment du recrutement et une politique bien pensée en matière de droits d'accès peuvent offrir une certaine défense dans ce domaine.

 

Faites un essai gratuit!Devenez un partenaire premium gratuit pendant un mois
et découvrez tous les avantages uniques que nous avons à vous offrir.
  • checknewsletter hebdomadaire avec des nouvelles de votre secteur
  • checkl'accès numérique à 35 revues spécialisées et à des aperçus du secteur financier
  • checkVos messages sur une sélection de sites web spécialisés
  • checkune visibilité maximale pour votre entreprise
Vous êtes déjà abonné? Cliquez ici pour vous connecter
S'inscrire gratuitement

Déjà enregistré ou abonné?Cliquez ici pour vous connecter

Inscrivez-vous à notre newsletter et conservez la possibilité de vous désinscrire à tout moment. Nous garantissons la confidentialité et utilisons vos données uniquement à des fins de newsletter.
Écrit par Sammy Soetaert

En savoir plus sur

cybersecurity software
ALUMINIUM 2024Réservez votre date et achetez un ticket pour ALUMINIUM – la plateforme de la branche!Plus d'infoschevron_right

Articles connexes

Comment désamianter en toute sécurité?

L'amiante est dangereux pour la santé. lors de travaux de rénovation ou de démolition, suivez donc bien toutes les mesures de sécurité pour l'élimination correcte des matériaux contenant de l'amiante.

Vaut-il mieux acheter ou louer des outils et machines de jardinage?

Vous vous demandez s'il vaut mieux louer ou acheter du matériel de jardinage, mais vous ne savez pas quelle est l'option la plus économique? la location présente plusieurs avantages: elle permet d'éviter les gros investissements, de prévenir les temps d'arrêt des machines et...

Faites votre propre établi de menuisier avec étau

De basiswerkbank van iedere timmerman is al eeuwen dezelfde. ze is gestoeld op een ontwerp van andré jacob roubo uit de 18e eeuw. een oud en veelgebruikt ontwerp, maar het concept is nog lang niet versleten.

La mesure précise: outils et conseils

Lorsque vous bricolez, il est important de mesurer de manière très précise. mais de quels instruments de mesure de base avez-vous besoin pour bricoler? et comment les utiliser? vous trouverez ici une vue d’ensemble des outils les plus courants dispon

Magazine imprimé

Édition Récente

Lire la suite

Découvrez la dernière édition de notre magazine, qui regorge d'articles inspirants, d'analyses approfondies et de visuels époustouflants. Laissez-vous entraîner dans un voyage à travers les sujets les plus brûlants et les histoires que vous ne voudrez pas manquer.

Dans ce magazine