Pourquoi les PME doivent repenser leur sécurité informatique

Avec le travail numérique, les exigences liées à la sécurité informatique évoluent à grande vitesse. Le firewall classique appartient désormais au passé. Mais comment les PME peuvent-elles encore se protéger efficacement? Voici une introduction à la sécurité informatique moderne.

Le firewall est l’équivalent numérique de la serrure de bureau. Tout comme celle-ci tient à l’écart les potentiels intrus, le firewall protège le réseau de l’entreprise contre les accès indésirables. Mais aujourd’hui, cela ne suffit plus. En effet, les données et les applications ont depuis longtemps migré vers le vaste monde d’Internet grâce au cloud. Et beaucoup de collaboratrices et collaborateurs ne travaillent plus seulement sur site, mais également en télétravail et en déplacement. Dans ces scénarios, la serrure numérique que représente le firewall ne joue plus son rôle, puisque l’activité s’effectue en dehors du périmètre protégé du bureau.

«Ces nouvelles pratiques de travail, combinées à la multiplication des cyberattaques, élèvent les exigences en matière de cybersécurité et exigent de nouveaux concepts de protection», constate Michael Mäder, architecte sécurité et professeur associé à la Haute école d’ingénierie et d’architecture de Fribourg.

Le firewall seul ne suffit plus

Avec ces nouvelles pratiques de travail, les cybercriminels disposent de surfaces d’attaque inédites. Aujourd’hui, les données et applications de l’entreprise sont généralement accessibles en ligne, soit dans le cloud, soit via un VPN sur le réseau local. Les cybercriminels ciblent de plus en plus les données d’accès aux services cloud et aux accès VPN. Celles-ci servent de porte d’entrée dans le système informatique de l’entreprise et permettent aux assaillants de dérober des informations et de les crypter à l’aide d’un ransomware.

Malheureusement, une fois que les assaillants ont obtenu un accès aux services cloud ou au réseau, ils peuvent très vite mettre la main sur l’ensemble des données. «Les mesures de protection classiques, comme le firewall au bureau, ne suffisent plus», estime Michael Mäder. Elles ne sont pas efficaces lorsque les collaboratrices ou collaborateurs, les données et les applications se trouvent en dehors du bureau. Et selon ses fonctionnalités, même au bureau, le firewall n’est pas toujours en mesure de détecter et de bloquer les ransomwares. Pourtant, ces mesures de protection classiques restent largement répandues, explique Julien Guéron, Account Manager chez Swisscom: «Dans mon quotidien, je constate souvent que les PME s’appuient principalement sur des mesures de protection traditionnelles telles que les firewalls.»

Mais les PME doivent elles aussi veiller à ce que leurs données et leurs comptes soient suffisamment protégés, qu’ils soient hébergés localement ou dans le cloud. En effet, les cybercriminels ne ciblent souvent pas des entreprises précises: ils recherchent des faiblesses de manière automatisée et envoient ensuite des millions d’e-mails de phishing. Dès qu’une faille de sécurité apparaît ou qu’un membre du personnel divulgue ses données de compte via un e-mail de phishing, les cybercriminels frappent, indépendamment de la taille et de l’importance de la victime potentielle. Les PME sont donc tout autant exposées que les grandes entreprises.

Portes d’entrée typiques pour les cybercriminels

Les collaboratrices et collaborateurs accèdent aux données et aux applications depuis différents appareils (ordinateurs portables, smartphones, tablettes) et différents lieux (bureau, télétravail, déplacements, chez les clients), via Internet ou le réseau de l’entreprise. Cette multiplication des moyens d’accès ouvre de nouvelles portes d’entrée aux cybercriminels pour accéder aux données de l’entreprise ou dérober des données de compte.

• E-mails de phishing: ils constituent souvent la première méthode d’attaque utilisée pour obtenir des données de connexion. Si un collaborateur ou une collaboratrice se laisse piéger, l’assaillant peut accéder au réseau de l’entreprise via un VPN, à l’appareil lui-même ou à des applications et des données professionnelles. Le phishing est aussi un vecteur courant pour introduire des ransomwares et d’autres logiciels malveillants.
• Comptes avec mots de passe faibles: des mots de passe trop simples ou utilisés à plusieurs reprises facilitent l’accès des assaillants, par exemple au compte Microsoft ou au logiciel de comptabilité. Une authentification à deux facteurs (via une application d’authentification, SMS, Mobile ID, etc.) renforce la protection. Toutefois, celle-ci peut aussi être contournée.
• Appareils non sécurisés: les ordinateurs portables, smartphones et tablettes peuvent présenter des failles de sécurité. Il est donc important de toujours maintenir à jour les systèmes d’exploitation et les programmes installés, et de ne pas utiliser d’appareils pour lesquels il n’existe plus de mises à jour de sécurité. «Si des appareils non sécurisés sont utilisés pour accéder aux données de l’entreprise, les assaillants peuvent exploiter des failles de sécurité connues pour voler des données ou introduire des logiciels malveillants», prévient Julien Guéron.

Comment fonctionne la sécurité informatique moderne

Vous entrez dans un aéroport, vos affaires soigneusement rangées dans la valise. Dès l’enregistrement, vous devez présenter une pièce d’identité. Vous ne pouvez accéder à la porte d’embarquement qu’après avoir scanné votre billet et passé le contrôle de sécurité. Votre bagage à main et vous-même faites l’objet d’un contrôle minutieux. Lors de l’embarquement, vous devez présenter à nouveau votre pièce d’identité et votre carte d’embarquement. Ce n’est qu’alors que vous pouvez monter dans l’avion. Cette procédure est certes fastidieuse, mais elle vous apporte un sentiment de sécurité et la garantie que seuls les passagers autorisés et sans bagages dangereux accèdent à bord.

L’aéroport illustre parfaitement la sécurité informatique moderne. Le hall d’entrée, librement accessible, représente Internet. Si tout le monde peut y circuler librement, l’accès aux données (l’avion ou la destination de voyage) n’est possible qu’après des contrôles approfondis: qui êtes-vous? À quelles données (la destination) souhaitez-vous accéder? Votre ordinateur portable ou votre smartphone (bagages) est-il autorisé à accéder à ces données? Pouvez-vous accéder à ces données à ce moment précis (jour et heure du vol)?

C’est ainsi que fonctionne un accès moderne et sécurisé aux données de l’entreprise: la personne et l’appareil sont contrôlés à chaque accès. L’accès n’est accordé qu’une fois la vérification réussie, et uniquement à certaines données et pour une période définie. Ce principe – «ne jamais faire confiance, toujours vérifier» – est connu sous le nom de Zero Trust («aucune confiance»). Le contrôle d’accès au réseau repose quant à lui sur un mécanisme appelé Zero Trust Network Access («accès au réseau sans confiance») ou ZTNA.

Comment le Zero Trust Network Access (ZTNA) protège les PME

Vous souhaitez ouvrir votre calendrier, un document Word ou un logiciel de comptabilité sur votre ordinateur ou votre smartphone. Vous devez d’abord vous identifier sur l’application, par exemple SharePoint, Outlook, Salesforce ou Bexio. Vous saisissez votre nom d’utilisateur et votre mot de passe pour vous connecter, puis confirmez votre identité avec un deuxième facteur. Dans le même temps, le ZTNA vérifie en arrière-plan si tous les critères d’accès à cette application sont remplis: s’agit-il d’un appareil enregistré par l’entreprise? La protection antivirus et le système d’exploitation sont-ils à jour? L’accès se fait-il depuis la Suisse? L’accès ne vous sera accordé que si toutes ces conditions sont remplies.

«Avec une telle approche, les PME peuvent compliquer l’accès des cybercriminels aux données de l’entreprise et limiter leur propagation dans le réseau», explique M. Mäder. Même si un assaillant a réussi à obtenir les données d’accès et le deuxième facteur, le ZTNA peut tout de même l’arrêter en refusant l’accès depuis un appareil non enregistré ou depuis l’étranger. Ces mesures de sécurité permettent non seulement de protéger les données et les applications dans le cloud, mais également les serveurs locaux du réseau de l’entreprise. Ainsi, les solutions Zero Trust peuvent remplacer les VPN traditionnels et renforcer la sécurité lors de l’accès à distance.

«Aujourd’hui, les approches Zero Trust avec ZTNA se retrouvent surtout dans les grandes entreprises», explique M. Mäder. «Cela s’explique souvent par la complexité de ces solutions.» Mais M. Mäder et J. Guéron soulignent que cette approche de la sécurité devient de plus en plus pertinente pour les PME: «Si les PME veulent se protéger efficacement contre les cyberattaques, elles doivent adopter de telles approches.» Cela nécessite des solutions adaptées, souligne J. Guéron: «Elles doivent être simples et abordables pour les PME.»

Michael Mäder

Michael Mäder est professeur associé en informatique et télécommunication à la Haute école d’ingénierie et d’architecture de Fribourg. Il dispose d’une vaste expérience en tant qu’architecte sécurité et a travaillé pendant plus de 20 ans dans le conseil en sécurité et le développement de services de sécurité.

Julien Guéron

Julien Guéron est Account Manager chez Swisscom pour les grandes PME de la région de Berne. Avec plus de dix ans d’expérience dans l’environnement B2B, il connaît parfaitement les défis et besoins actuels des entreprises.

Image de titre: Michael Mäder (à gauche) et Julien Guéron.