POST Cyberforce : La sécurité informatique au coeur de ses préoccupations
Les cyberattaques de tous ordres se sont multipliées ces dernières années, visant plus particulièrement les entreprises via le phishing, mais pas que. L’opérateur historique a adopté une stratégie ambitieuse en matière de cybersécurité en regroupant toutes ses compétences en cybersécurité au sein d’un seul service dénommé POST CyberForce qui compte une cinquantaine d’experts. Pierre Zimmer, directeur général adjoint et Chief Stategy Officer de POST Luxembourg, nous en dit plus.
Pour quelles raisons les entreprises connaissent-elles autant de cyberattaques ou de tentatives aujourd’hui ?
Le simple fait d’être connecté à Internet induit des pratiques frauduleuses. Dans l’environnement hyperconnecté où les collaborateurs envoient et reçoivent des mails, alimentent des sites Web de l’entreprise accessibles depuis l’extérieur, utilisent, surtout en cette période, des applications de vidéoconférence, bien souvent sans respecter les règles de protection adéquates…, la sécurité du réseau et des données de l’entreprise est menacée. En général, les attaques ont un mode opératoire récurrent. Le phishing, par exemple, utilise des modèles de mail reprenant les codes graphiques d’un fournisseur avec lequel l’entreprise a l’habitude de travailler. Sous un prétexte d’urgence, le destinataire est poussé à cliquer sur un lien frauduleux qui redirige vers une page Web qui n’est pas celle du prestataire. Et la fraude débute… L’utilisation croissante des objets connectés sans mesures de sécurité appropriées entraîne de facto des failles en série.
Aujourd’hui, une grande porte d’accès pour les hackers est celle de la surveillance d’équipements à distance : maintenance d’un système de chauffage, système d’alarme accessible via une application sur smartphone… Même si le réseau de l’entreprise est bien sécurisé, toute possibilité de connexion d’un sous-traitant extérieur peut constituer une opportunité d’intrusion. Il est donc essentiel de sensibiliser les collaborateurs aux précautions à prendre et contrôles à effectuer avant de cliquer sur un lien ou d’installer de nouvelles connexions vers Internet. Evidemment, ça demande du temps, mais ce sont les premiers réflexes à adopter. L’implication régulière des collaborateurs est essentielle pour lutter contre la cybercriminalité.
Comment le service POST CyberForce intervient-il dans les entreprises ?
Notre premier travail est de faire une analyse de risque du système d’information de l’entreprise. Nous analysons les processus de traitement de l’information de bout en bout afin de savoir quelle est la surface d’attaque et où se situent les dangers potentiels. Pour compléter l’analyse nous pouvons créer des attaques, comme de véritables hackers, afin de démontrer la réalité des failles. Ensuite, nous rédigeons un plan d’action qui permettra aux entreprises d’avoir un niveau de sécurité adapté à leur activité : équipements supplémentaires, sensibilisation et formation du personnel…
Les entreprises qui font appel à un sous-traitant informatique ne doivent pas se considérer comme hors d’atteinte des cyberattaques, car leur prestataire va surveiller ce qu’il a mis en place mais ne regardera pas nécessairement l’environnement informatique dans sa globalité. S’il y a connexion avec de nouvelles plateformes, par exemple, la sécurité sera de nouveau à revoir. Il faut savoir qu’un système informatique sécurisé à l’instant T ne le sera plus quelques jours ou semaines plus tard. Si l’entreprise nous mandate, nous pouvons également mettre en place une surveillance en continu de son environnement informatique, ce qui permet à nos experts de connaître le comportement normal des systèmes et ainsi de réagir à la moindre anomalie.
Et lorsqu’il y a intrusion ?
Bien évidemment, lorsqu’il y a cyberattaque, l’entreprise visée est sous le choc et en panique. Notre équipe se rend sur place pour apporter au client les premiers secours, si je peux dire, en sécurisant tout ce qui peut encore l’être, en redémarrant les systèmes et en conservant le maximum de preuves relatives au type d’attaque ; ces preuves nous serviront à déterminer les chemins d’intrusion, à colmater les failles, et serviront également aux services de police en cas de poursuite judiciaire. Dans le cas d’un ransomware, par exemple, il nous arrive de conseiller les clients lors des échanges avec les hackers et/ou d’entrer en contact avec des hébergeurs (hosters) internationaux afin de fermer les sites frauduleux.
« Nos missions sont multiples : de la mission ponctuelle, lors d’une cyberattaque, par exemple, à la construction de A à Z d’une barrière de sécurité autour du système informatique d’une entreprise, à la gestion de firewalls… à des missions de surveillance beaucoup plus étendues dans le temps : détecter toute activité suspecte bien en amont, grâce à notre centre opérationnel de sécurité (SOC), rechercher sur le Darknet des éléments volés à notre mandant comme des mots de passe lui appartenant et qui peuvent être vendus aux enchères par les hackers, etc. »
Quelle est votre offre de services ?
Nos missions sont multiples : de la mission ponctuelle, comme le cas que je viens d’évoquer lors d’une cyberattaque, à la construction de A à Z d’une barrière de sécurité autour du système informatique d’une entreprise, à la gestion de firewalls… à des missions de surveillance beaucoup plus étendues dans le temps : détecter toute activité suspecte bien en amont, grâce à notre centre opérationnel de sécurité (SOC), rechercher sur le Darknet des éléments volés à notre mandant comme des mots de passe lui appartenant et qui peuvent être vendus aux enchères par les hackers, etc.
Notre service s’étant attaché l’expertise de nombreux spécialistes, qui entretiennent des contacts avec des spécialistes à travers le monde, les entreprises savent, lorsqu’elles font appel à nous, qu’une aide réelle sera fournie. Le fait que POST soit un fournisseur de services de télécommunications et un intégrateur IT nous facilite une surveillance 360° du réseau et nous permet d’actionner certains leviers de protection plus rapidement.
Quelles sont vos principales recommandations aux entreprises ?
Ce sont des choses très simples, qui paraissent évidentes, mais qui ne le sont pas puisque nous voyons tous les jours qu’elles ne sont pas ou peu respectées. La première règle de base est de bien séparer ses activités informatiques professionnelles et privées, de ne pas utiliser des mots de passe liés à des activités professionnelles pour des activités privées et vice-versa. Le poste de travail doit être dédié exclusivement à des recherches, consultations… relatives au travail.
Il faut donc éviter de surfer aveuglément pour chercher des renseignements d’ordre privé avec le matériel de l’entreprise. Le risque de compromission de votre ordinateur augmente proportionnellement au nombre de sites, surtout inconnus, consultés. La deuxième règle est de sauvegarder les données à l’aide d’un système qui n’est pas connecté constamment au réseau de l’entreprise. Cela peut être aussi simple que d’utiliser un disque dur externe que l’on veillera à déconnecter une fois la sauvegarde terminée, car si les hackers ont encrypté tout ce qui se trouvait sur le réseau, les sauvegardes seront irrécupérables, au même titre que tous les fichiers.
Des solutions cloud existent, mais pour beaucoup se pose le même problème, car en permanence connectées au réseau d’entreprise. Il est donc préférable d’opter pour un système de sauvegarde dans un cloud privé de type « vault » qui, sur votre propre initiative, va se connecter exclusivement pour la durée de la sauvegarde au réseau de l’entreprise. Ces systèmes de sauvegarde se trouvent hors de portée des attaquants car une connexion de votre réseau éventuellement infectée est par principe impossible.
Pour résumer, il faut de la discipline, un peu d’investissement et des sauvegardes bien faites qui, en cas de problèmes, permettront à l’entreprise de redémarrer son activité très rapidement. L’entreprise doit avoir une approche pragmatique et penser le volet informatique tout comme elle le fait pour préserver la continuité de ses activités via la sécurisation des accès, la détection incendie, la souscription d’assurances diverses… L’investissement informatique doit correspondre aux risques réels afin de rendre toute cyberattaque la plus compliquée possible.
Propos recueillis par Isabelle Couset