Combien de temps faudrait-il pour hacker votre entreprise?
L’importance de la cybersécurité n’est plus à démontrer; le nombre de cyberattaques ne fait qu’augmenter, les gouvernements légifèrent de plus en plus sur le sujet, les assurances exigent des bonnes pratiques et même les donneurs d’ordre ont des exigences de plus en plus strictes.
Si vous lisez cet article, vous en avez conscience et avez très certainement mis en place de bonnes pratiques de cybersécurité dans votre entreprise.
– Article rédigé en Collaboration spéciale avec Yack – Hacking for good
Cela dit, avez-vous mis vos défenses à l’épreuve?
Même si de plus en plus d’entreprises comprennent désormais que le risque est bien présent et investissent de plus en plus en cybersécurité, peu savent dans quelle mesure un attaquant pourrait compromettre leur infrastructure informatique. En effet, vous pouvez avoir mis en place un cadre de gouvernance solide, avoir en place des campagnes de sensibilisation de vos employés et avoir investi dans des outils pertinents comme des EDR, cela ne veut malheureusement pas dire que vous êtes adéquatement protégé.
Un moyen efficace de valider votre posture est de simuler une attaque. Est-ce qu’un attaquant est capable de contourner votre EDR? Si l’un de vos employés se fait hameçonner, qu’est-ce qu’un attaquant peut faire à partir de là? Est-ce qu’il va uniquement accéder aux informations disponibles à cet utilisateur ou est-il capable de compromettre toute votre entreprise? Dans un monde idéal, nous voudrions que ce soit le scénario 1, mais dans notre réalité, nous avons compromis les contrôleurs de domaine de 100% des entreprises avec lesquelles nous avons travaillées.
Compromettre le contrôleur de domaine revient à obtenir la master key de votre entreprise. C’est de cette façon qu’un attaquant pourrait déployer un ransomware par exemple, scénario que nous voulons éviter à tout prix.
Les entreprises que nous avons compromises avaient toutes en place des outils de cybersécurité et une volonté de protéger leurs données. Elles n’auraient d’ailleurs pas investi dans un test d’intrusion si ce n’était pas le cas. Cela démontre l’importance de réaliser ce type de simulation pour comprendre de quelle façon un attaquant hackerait votre entreprise puis mettre en place les correctifs appropriés.
La cybersécurité est encore perçue comme une dépense par beaucoup de chefs d’entreprise. Des investissements sont réalisés dans une perspective de conformité ou pour obtenir un contrat auprès d’un grand donneur d’ordre, mais la culture n’est pas encore présente.
Aucun dirigeant n’est à convaincre sur la nécessité de vendre pour rester en affaires. Pas de vente = plus d’entreprise. De ce fait, les investissements en marketing et en développement des affaires sont conséquents et réguliers. Il est important de se tenir au courant de ce que fait la concurrence, des tendances du marché, des besoins de nos clients, etc.
À l’inverse, peu de dirigeants réalisent qu’une cyberattaque peut simplement fermer leur entreprise. Nous ne voulons pas prêcher la peur, mais nous connaissons malheureusement trop de cas où des entreprises ont dû fermer suite à un ransomware : perte de leur propriété intellectuelle (combien de temps cela prendrait de devoir refaire tous les plans requis pour votre production?), arrêt de chaîne de production trop long pour être capable de s’en remettre financièrement, atteinte à la réputation qui s’en suit avec une perte de la clientèle, etc.
Contrairement à une baisse d’activité qui laisse le temps d’essayer différentes stratégies pour chercher de nouveaux contrats, une cyberattaque peut tout arrêter en un jour, sans perspective de repartir.
Il est donc primordial pour votre entreprise de suivre les « tendances » des cybercriminels de la même façon que vous le faites pour vos concurrents, et ce, de façon continue. De nouvelles vulnérabilités et outils de hacking sortent tous les jours, et les criminels n’ont pas de règles à respecter.
Ce que nous recommandons :
- Réaliser un test d’intrusion par année de votre réseau informatique. Cela vous permettra de savoir en combien de temps votre entreprise pourrait se faire hacker, comment et quels en seraient les conséquences. Cela vous permettra surtout de corriger la situation pour éviter qu’un vrai pirate le fasse.
- Scanner votre réseau en continu : comme expliqué plus haut, de nouvelles vulnérabilités sortent tous les jours et sont activement exploités par les criminels. Aucun humain ne peut suivre tout seul, il existe des outils qui scannent les vulnérabilités dans votre réseau en continu pour vous permettre de mettre en place les correctifs.
- Planifier régulièrement des rencontres avec votre équipe TI et vos conseillers en cybersécurité si vous en avez. Un test d’intrusion et des scans de vulnérabilités vont engendrer beaucoup de travail et de réflexion à vos équipes. Le plan d’action doit être suivi par la direction pour voir les avancées et décider des priorités.
Nous ne pouvons pas vous promettre d’être sécuritaire à 100%, c’est impossible. Cela dit, prendre une approche continue pour tester votre sécurité vous permettra de réduire significativement l’impact d’une attaque et sa probabilité. La majorité des attaques est effectivement aléatoire, donc si vous mettez suffisamment de bâtons dans les roues des pirates, il y a de grandes chances qu’il passe à la prochaine victime.
Inscrivez-vous à l’infolettre Eficio et soyez le premier à recevoir notre actualité !