Les entreprises se pensent à l'abri de toute menace dès lors qu'elles installent un pare-feu, mais c'est une grave erreur d'appréciation, selon Mickey De Baets, expert en cybersécurité chez Easi. “En moyenne, une attaque par ransomware entraîne la fermeture d'une entreprise pendant 21 jours. Imaginez les dommages économiques!”
“Lorsqu’une entreprise est victime d'une cyberattaque, elle doit activer son plan de crise : des équipes spécialisées sont mises en place, les employés ne peuvent plus faire leur travail et une aide extérieure est nécessaire”, explique Mickey De Baets. “L'impact est énorme. La production est à l'arrêt, la direction est en panique et, bien sûr, l'entreprise perd de l'argent.”
Avec ses collègues Robin Bruynseels et Thomas Hayen, il part chaque jour en quête de failles dans la sécurité informatique des entreprises, à la demande de ces dernières. Le trio pratique pour cela ce qu’on appelle du ”ethical hacking” (piratage éthique).
Ce matin, nous avons piraté le système informatique d'un hôpital. Nous avons ainsi eu accès à tous les dossiers médicaux et nous aurions plus faire disparaître des factures.
Pas une priorité
D’expérience, ils savent que la cybersécurité n'est pas toujours la priorité des entreprises. “Nous n'avons pas besoin de convaincre les responsables informatiques; la direction, en revanche, a souvent d'autres priorités dans lesquelles elle préfère investir”, déplore Robin Bruynseels. “Pourtant, une bonne politique en matière de cybersécurité est aussi indispensable que de souscrire à une assurance incendie pour sa maison!”
En tant que ethical hackers (hackers éthiques), ils adoptent les mêmes techniques que les hackers malveillants pour pénétrer dans les entreprises et prendre le contrôle de leurs systèmes. Inutile de préciser les dommages potentiels… “Ce matin, nous avons piraté le système informatique d'un hôpital. Nous avons ainsi eu accès à tous les dossiers médicaux et nous aurions plus faire disparaître des factures”, illustre Mickey De Baets.
Serveur de la police
“Nos clients pensent généralement que les pirates informatiques ne s'attaquent qu'aux multinationales”, enchaîne Thomas Hayen. Or, chaque entreprise – grande ou petite – est une cible potentielle.
Même les serveurs de la police peuvent être piratés. “Nous avons déjà réussi à pénétrer dans une application qui donnait accès aux données sensibles d'une zone de police. De cette manière, nous avons assez rapidement mis la main sur les données personnelles de centaines d'agents: adresses, numéros de téléphone, noms, numéros de registre national.”
La direction a souvent d'autres priorités que la cybersécurité.
Scanner bon marché
Le piratage éthique ne se fait pas seulement à distance. Parfois, les hackers d'Easi pénètrent physiquement dans les locaux d'un client. “Nous nous sommes déjà fait passer pour des étudiants travaillant sur leur thèse et avons demandé aux employés si nous pouvions vérifier leurs badges sur le plan de la sécurité”, se souvient Mickey De Baets. “Nous avons utilisé un scanner RFID bon marché et avons facilement copié leurs données.”
Ce fut ensuite un jeu d'enfant pour accéder au serveur et prendre ainsi le contrôle du compte administrateur. En appliquant la technique du phishing, les pirates ont extrait les noms et mots de passe de quelque 200 employés de la même entreprise.
Jamais prêt
“C'est un cliché, mais l'humain est et sera toujours le maillon le plus faible de la chaîne”, affirme Robin Bruynseels. “C’est la raison pour laquelle les entreprises doivent continuer à prévenir leurs employés des dangers qui existent. Par exemple, les liens frauduleux et les faux e-mails.”
Les trois experts insistent sur le fait que la cybersécurité est un processus continu. “De la même manière que les pirates adoptent de nouvelles stratégies, techniques et technologies, les entreprises doivent en permanence remettre en question, tester et améliorer leur cybersécurité”, insiste Thomas Hayen.
“La cybersécurité est un modèle d'apprentissage constitué de plusieurs maillons qu'il faut analyser et sécuriser un par un”, ajoute Mickey De Baets.
Chaque entreprise doit tester de manière approfondie et fréquente chaque maillon susceptible d'être piraté. Or, peu se prêtent à l'exercice.
Crash-test
“Je compare toujours la cybersécurité aux centaines de crash-tests effectués sur un véhicule pour déterminer son niveau de sécurité et ses points faibles”, conclut Thomas Hayen. “L'ensemble de la voiture est testé: la carrosserie, les zones de déformation, les ceintures, les airbags et tout le reste.”
“Il en va de même pour les entreprises: elles doivent tester chaque maillon susceptible d'être vulnérable et ce, de manière approfondie et fréquente. Hélas, rares sont celles qui se prêtent à l'exercice. Les entreprises doivent s'interroger plus souvent sur la sécurité de leurs systèmes.”