Cyberattaque : lorsque des employés non formés mettent en péril l’entreprise

Tendances en milieu de travail Cyberattaque

La page Carrières du site de McDonald’s Canada a été piratée en mars dernier, et des renseignements d’environ 95 000 candidats auraient été volés par des hackers. De nos jours, toutes les données d’une entreprise peuvent être la cible de ces pirates informatiques. Leur porte d’entrée privilégiée pour atteindre leur objectif : les employés.

Le Canada se place au 25e rang des pays ciblés par des hackers, ce qui en fait un des pays les plus attaqués au monde. De nombreuses entreprises sont victimes d’attaques d’envergure dont les conséquences peuvent être très graves. Chez McDonald’s, les données volées concernent des informations des candidats : coordonnées, parcours professionnel et académique… Sur le marché parallèle virtuel dit Dark web, ces informations peuvent valoir une fortune.

« De nos jours, toutes les entreprises sont concernées, explique Emmanuel Napolitano, président d’Abakus Sécurité, une entreprise spécialisée dans la cybersécurité. On entend beaucoup parler de grandes entreprises attaquées, mais même les petites le sont, voire encore plus, car elles ont moins de moyens en termes de sécurité informatique ou ne se sentent pas concernées. Cela ne se sait pas forcément, car elles ne font pas le buzz sur Internet comme les grandes entreprises, mais elles sont nombreuses à en être victimes. Selon le dernier rapport de Symantec sur les tendances de la cybercriminalité (Internet Security Threat Report, avril 2017), 53 % des courriels sont des pourriels dont une part non négligeable contient des logiciels malveillants, et les plus grandes cibles sont les entreprises ayant entre 251 et 500 employés. Les petites entreprises de 250 employés ou moins arrivent à la 3e place des compagnies les plus ciblées. »

Quelles sont les failles utilisées par les hackers ?

Courriels, téléphones cellulaires, objets connectés ou failles de sécurité… les portes d’entrée pour les hackers sont nombreuses dans les entreprises. « Les courriels, par exemple, sont très bien construits et sont identiques, à s’y méprendre, à un message officiel émanant de quelqu’un de l’entreprise, révèle Emmanuel Napolitano. Il contiendra un lien ou une pièce jointe cachant le logiciel malveillant qui s’active quand on clique dessus. Par ailleurs, les pirates sont capables de faire des recherches approfondies jusqu’au point de connaître les personnes clés de l’entreprise ciblée. »

La mise à jour d’une application mobile via les magasins officiels sur un cellulaire peut également cacher un logiciel malveillant. Autre exemple, lors de déplacements professionnels, on doit faire attention au moment de se connecter au réseau wifi d’un hôtel : en effet, un pirate peut créer un faux réseau à l’image de l’hôtel pour récupérer les données qui y transitent.

« Comme les employés n’ont pas la connaissance du métier de la sécurité, ils vont généralement cliquer là où il ne faut pas ou commettre des actions illicites sans le savoir, comme des virements bancaires, uniquement par méconnaissance, dit l’expert en cybersécurité. Il faut absolument sensibiliser et former le personnel, c’est même une des clés contre les pirates au sein d’une entreprise. Ce volet est très souvent sous-estimé. Former les collaborateurs, leur préciser les dangers et leur enseigner comment réagir face à un courriel suspect ou à un site internet falsifié permet d’éliminer un certain nombre de risques. »

L’entreprise doit également mettre en place une politique de sécurisation de ses données, ainsi que des protections anti-intrusions.

Suite à l’attaque de McDonald’s, Ira Nishisato, expert en sécurité informatique chez le cabinet d’avocats Borden Ladner Gervais, témoignait dans La Presse : « On ne se demande plus si ça va arriver, mais quand. Par contre, on peut poser beaucoup de gestes préventifs afin de limiter l’exposition au risque et la responsabilité. »

Avec la présence de plus en plus importante de la technologie au travail, cette guerre du numérique est loin d’être terminée, selon les experts. « D’après mes analyses, ce phénomène ne va qu’augmenter, explique Emmanuel Napolitano. Une entreprise sur deux devrait subir des attaques de logiciels malveillants qui prennent en otage des données personnelles au cours des trois prochaines années. Aujourd’hui, on a vraiment affaire à une grande révolution dans ce milieu, et les pirates sont de vrais professionnels. »

 

À lire aussi :

Votre entreprise est-elle attirante pour de futurs candidats?

Le recrutement : miroir et marketing de l’entreprise

Comment faire face aux absences répétées d’un collaborateur ?

_______

– Suivez Workopolis sur Twitter

Copyright Workopolis. All rights reserved.