Novembre 2013. Des pirates informatiques infiltrent le réseau interne de Target. Du coup, ils mettent la main sur 40 millions de numéros de carte de crédit et de débit. Une attaque aux répercussions titanesques... orchestrée à partir du système informatique d'un sous-traitant du géant du détail.

La PME Fazio Mechanichal n'avait pas idée qu'elle attirerait un jour les projecteurs pour une question de cybersécurité.

Spécialisée en chauffage, climatisation et réfrigération, l'entreprise de la Pennsylvanie gérait depuis 2006 les systèmes de réfrigération du géant américain. Rien pour se soucier des pirates.

Pourtant, elle avait accès au réseau informatique de Target afin de faciliter la fluidité de la gestion et de la communication entre les deux entreprises, comme le font bon nombre de partenaires d'affaires.

C'est par ce chemin que les pirates ont atteint leur cible.

Cet exemple, Benoit Renaud l'évoque dès qu'il en a l'occasion pour illustrer à quel point les questions de cybersécurité ne sont pas anodines pour les PME.

Selon le président de l'Association de la sécurité de l'information du Québec (ASIQ), les donneurs d'ordres sont conscients de la situation, et rehaussent d'année en année leurs exigences en matière de cybersécurité auprès de leurs partenaires d'affaires.

Et ça se comprend.

Selon une étude du fournisseur californien de services de sécurité Skyhight Networks, 8 % des entreprises représentent une forme de vulnérabilité pour les systèmes informatiques de leurs partenaires d'affaires.

« Si une entreprise donne un accès à ses données à un fournisseur, et que celui-ci n'a pas mis en place une sécurité adéquate, il devient une porte d'entrée très difficile à détecter. »

- Benoit Renaud, président de l'Association de la sécurité de l'information du Québec

« Le problème peut aussi survenir lors d'une acquisition, explique pour sa part Michel Cusin, consultant indépendant. Les deux entreprises intègrent parfois trop vite leurs systèmes informatiques sans vérifier s'il y a un problème potentiel de sécurité. »

Selon le président de l'ASIQ, les PME qui accordent de l'importance à cette question disposent donc d'un avantage compétitif sur leurs concurrents qui négligent cet aspect.

« La sécurité informatique devient une police d'assurance supplémentaire pour les clients et les organisations avec lesquelles une PME fait affaire », dit-il.

UN TRAVAIL CONSTANT

Le hic, c'est qu'une solution de protection valide aujourd'hui ne le sera probablement plus demain : le monde de la cybersécurité en est un qui évolue perpétuellement.

« Trouver de nouvelles façons de protéger, c'est un travail constant, souligne Benoit Renaud. Le "côté obscur de la sécurité" évolue et raffine constamment ses techniques, alors il faut s'adapter. »

C'est là qu'entrent en jeu différents spécialistes de la sécurité qui proposent à leurs clients de nouvelles approches informatiques qui s'ajoutent à celles déjà en place.

Dominique Plasse, conseiller technique senior chez Fortinet, et Michel Cusin sont deux d'entre eux.

« Les outils traditionnels, comme les pare-feu, sont encore nécessaires. Mais il faut aussi intégrer de nouvelles approches, comme des systèmes de détection de brèche. »

- Michel Cusin, consultant indépendant

Ces systèmes détectent tout trafic anormal sur un réseau, puis lancent une alerte, explique M. Cusin.

« Ensuite, on repasse la cassette pour savoir par qui, comment et pourquoi il y a eu une intrusion », ajoute-t-il.

L'utilisation de plusieurs solutions de sécurité à la fois permet de colmater chacune des brèches ou des formes d'attaque qui peuvent toucher l'entreprise.

Selon Dominique Plasse, ces systèmes multicouches sont devenus nécessaires pour contrer les attaques dites « polymorphiques », où le logiciel malveillant utilisé pour l'attaque se métamorphose automatiquement, ce qui le rend difficile à repérer et à détruire.

C'est d'ailleurs ainsi que fonctionne le logiciel Cryptolocker, découvert en 2013, dont les pirates se servent pour exiger des rançons, en cryptant automatiquement les données des ordinateurs et réseaux infectés. Une stratégie qui a rapporté plus de 30 millions de dollars américains à ses utilisateurs, aux dépens de petites et moyennes entreprises, notamment.

« Les grandes entreprises ont souvent l'infrastructure multicouche qui permet de récupérer les données sans avoir besoin de verser la rançon, mais les plus petites ont payé les 300 à 600 $ qui étaient demandés parce qu'elles n'avaient pas déjà ce qu'il fallait pour se prémunir contre ce genre d'attaque », explique le Dominique Plasse.

Selon Michel Cusin, il ne fait plus de doute que les PME ont intérêt à se doter de solutions de sécurité qui évoluent avec le temps.

« Les PME ont le réflexe de se dire qu'elles sont petites et qu'elles ne représentent pas une cible intéressante pour des pirates, dit-il. C'est pourtant totalement faux. »