Pour les PME, la « Cloudfiance » doit passer par la « Mailfiance »

0

Le paysage de cyber-menaces est en perpétuelle évolution. Les attaques, de plus en plus complexes, utilisent des techniques sophistiquées pour contourner les solutions de sécurité mises en place par les entreprises. A celles lancées via le téléchargement de logiciels malveillants (malwares) s’ajoutent celles liées au courrier électronique à travers l’hameçonnage d’identifiants ou la compromission de courriers électroniques professionnels (Business Email Compromise ou BEC). On constate tous les jours l’augmentation du nombre de vols de données et de transferts d’argent frauduleux. Les attaques BEC par exemple, ont augmenté de 45 % au cours des trois derniers mois de l’année 2016 par rapport au trimestre précédent.

Pour les PME, se protéger contre de telles attaques peut sembler impossible pour des raisons financières ou de compétences techniques. Dès lors, avec la multiplication des offres, il peut sembler évident de considérer le Cloud comme LA solution pour se protéger. Mais la relation au Cloud des dirigeants de PME est ambivalente. S’ils peuvent le considérer comme un endroit plus sécurisé pour leurs données que des serveurs physiques, ils en ont peur pour la même raison : la sécurité.

Parmi les principaux freins liés à l’adoption du Cloud, les dirigeants des petites et moyennes entreprises citent principalement les risques de failles de sécurité, la complexité de la gestion des accès et bien-sûr la peur de perdre des données. Si, selon une étude récente, 45% d’entre eux confirment que la sécurité des données est leur principale source d’inquiétude, ils sont par ailleurs 20% à affirmer qu’ils ne migreront pas leur système de messagerie ou l’hébergement Web vers le Cloud. Ces réticences, somme toute assez légitimes, sont pourtant connues des « Cloud providers ».

On pourrait alors se demander pourquoi ces freins ne sont pas encore levés alors que les avantages du Cloud Computing sont indéniables. Citons, de façon non exhaustive, la réduction des couts de maintenance et de la consommation énergétique, mais également la simplicité d’utilisation et de gestion de l’infrastructure, la disponibilité et le déploiement rapide d’application métiers ou encore la fin des problèmes de sauvegarde et de mise à jour.

L’email, l’oublié du Cloud ?

S’ils ne doivent plus en avoir peur, les dirigeants de PME doivent cependant considérer la question du Cloud globalement. Si par exemple, ils prennent la décision de mettre l’ensemble de leurs données clients, comptables ou RH dans le « nuage », ils doivent également prendre en compte un élément essentiel à leur activité, l’email.

Si elles sont depuis longtemps conscientes de l’importance que revêtent leurs données métier, les PME, pour embrasser le Cloud, doivent prendre en compte les risques de l’email mais également changer leur comportement. Le canal email est incontournable. En connaître les risques inhérents est crucial. L’étendue des campagnes de ransomwares et autres malwares nous le prouve de façon journalière.

Aujourd’hui, plus de 90 % des cyberattaques exploitent la messagerie électronique des entreprises et ces menaces ne cessent d’évoluer. L’email doit donc être considéré au même titre que les données métiers et faire l’objet des mêmes précautions pour le sécuriser. Les cybercriminels rivalisent d’ingéniosité pour tromper la vigilance des utilisateurs. Ils jouent avec leur crédulité, leur loyauté, leur empathie ou génèrent un stress pour qu’ils agissent dans la précipitation en faisant fi des mesures de précaution basiques.  

Les PME sont visées par les mêmes attaques que celles qui ciblent les multinationales. Il est donc important qu’elles s’équipent des mêmes outils et solutions permettant d’identifier et d’authentifier l’ensemble de leur trafic de messagerie afin de l’autoriser ou de le bloquer en fonction. Et cette prise de conscience doit se faire rapidement, car Microsoft a récemment annoncé qu’à partir du 13 octobre 2020, les packs Office 2010, 2013 et 2016 ne pourront plus se connecter aux services Office 365. La migration dans le « nuage » des services de messageries semble donc inéluctable.

Les acteurs du Cloud l’ont bien compris. Pour restaurer (ou instaurer) la « Cloudfiance » des PME, ils proposent des solutions packagées, globales (données et emails), qui prennent en compte l’ensemble de l’activité de ces entreprises. La relation de confiance des dirigeants de PME au Cloud doit naître de la bonne connaissance de leurs problématiques métiers par les Clouds providers.

Mais le bon outil n’est pas tout. L’élément humain est également un maillon important de la chaîne. Il est important que les utilisateurs soient formés aux règles et bonnes pratiques incontournables concernant la sécurité informatique pour réduire les risques d’erreurs en cas d’attaques par email. S’il est clair que, pour l’activité des PME, un mauvais choix de fournisseur de solution Cloud peut avoir de sérieuses répercussions, oublier la dimension humaine n’est également pas sans conséquence.

La sécurité du Cloud pour les PME revêt ainsi plusieurs facettes. Technique, d’abord et avant tout. Les solutions disponibles sur le marché actuellement proposent un large éventail de fonctionnalités permettant de garantir la sécurité à la fois des données et des emails au sein d’une même interface. Mais le facteur humain est également un élément primordial. Les utilisateurs doivent être sensibilisés, formés et utiliser les solutions adaptées pour garantir la sécurité du système d’informations de leur entreprise.

About Author

Nicolas Godier

Ingénieur système chez Proofpoint Nicolas Godier a rejoint l’équipe d’experts Proofpoint en juin 2012. Véritable spécialiste des questions de sécurité informatique et du cloud, il a passé la plus grande partie de sa carrière dans ces domaines. Il a débuté son parcours professionnel chez Intrusion.com en tant que consultant sécurité. Il a ensuite été ingénieur sécurité chez Telindus pendant près de 10 ans où il a notamment travaillé pour de grands groupes comme PPR (nouvellement Kering). Mr. Godier est diplômé de l’EPITA en Ingénierie Informatique.

Leave A Reply