Dev Hurkoo, Managing Director de Rogers Capital Technology, est on ne peut plus clair : « A lot of cyberattacks are happening in the private sector, we know it as we work with many companies. » Il intervenait lors d’une conférence organisée par le Mauritius Institute of Directors (MiOD) et Rogers Capital en vue de conscientiser les entreprises sur la dangerosité et les énormes risques encourus face aux cyberattaques.
La cybersécurité est devenue un enjeu décisif dans une société de plus en plus digitalisée, et les cyberattaques peuvent perturber sévèrement les activités de l’entreprise. En cette période troublée de Covid-19, la vigilance des organisations sur le plan digital doit être plus que jamais renforcée, d’autant que le développement du télétravail et les conférences à distance augmentent leur exposition aux attaques numériques.
Le vol de données et la divulgation d’informations stratégiques peuvent être lourds de conséquences pour les entreprises, notamment en termes d’image, de chiffre d’affaires ou de parts de marché, et donc d’emploi.
« Une cyberattaque visant une entreprise induit un risque non seulement sur son activité propre, mais aussi sur celle de ses fournisseurs et de ses clients. Il est donc crucial d’accompagner nos membres dans leurs démarches de cybersécurisation », explique Sheila Ujoodha, Chief Executive Officer du MIoD. Les organisations publiques ou privées ne peuvent plus se permettre de « wait until a threat is identified », dit-elle. Et elle revient sur le fait que les entreprises doivent constamment se poser des questions, car « a security breach can occur in a fraction of seconds ».
Le hacker peut déclencher votre micro
Aujourd’hui, les attaques deviennent de plus en plus sophistiquées, se propagent plus rapidement et deviennent de plus en plus destructrices. Cela implique que les entreprises doivent repenser leur mécanisme de défense, affirme Dev Hurkoo. Il faut avoir une approche holistique, en adoptant une dimension macro aussi bien que micro d’entreprise, qui couvre l’infrastructure de connectivité, Cloud aussi bien que l’infrastructure de l’entreprise, dit-il.
Expliquant en détail comment des données peuvent être interceptées à distance par un hacker sur votre ordinateur portable ou votre smartphone, ce professionnel de la cybersécurité décrit une scène effrayante qui peut malheureusement arriver à n’importe quel haut cadre dans n’importe quelle organisation, car personne aujourd’hui n’est à l’abri.
Le hacker voit tout ce que vous faites en temps réel. Il lit des documents confidentiels sur votre laptop en même temps que vous et a accès à tous les fichiers de votre ordinateur, explique Dev Hurkoo. « Le hacker peut également pénétrer votre smartphone, vérifier vos e-mails, vos appels et vos sms. Il peut même déclencher le micro de votre smartphone pour écouter ce qui est discuté pendant un board-meeting par exemple », dit-il.
Et le cauchemar ne s’arrête pas là, car le pirate informatique peut envoyer un e-mail du CEO à son Chief Finance Officer pour lui demander d’effectuer une transaction. Et grâce à l’intelligence artificielle, il peut même imiter la voix du CEO au téléphone et demander à son CFO de faire une grosse transaction.
« Ce n’est pas de la fiction. Cela se passe actuellement, car les technologies permettent aux hackers de faire ce genre de choses. C’est pourquoi nous avons tenu à organiser ce “wake-up call”, car vous devez protéger votre entreprise et former vos employés à la cybersécurité, et vous protéger vous-même en tant que dirigeant d’entreprise », prévient le responsable de Rogers Capital Technology.
Multiplication des Malware Attacks
Pire : aujourd’hui, on voit de plus en plus de State-Driven Attacks qui se répandent rapidement et qui peuvent avoir d’énormes dommages collatéraux. « Un logiciel malveillant (Malware) peut impacter un pays tout entier. Parfois, vous ne voyez rien, mais des attaques ont lieu. Malware attacks are on the rise and increasing drastically. Nous devons être plus proactifs », dit l’intervenant.
Il évoque d’ailleurs un Recipe for Disaster au cas où certaines entreprises et organisations ne se protègent pas convenablement. Dev Hurkoo maintient que ce sont les employés qui représentent le Weakest Link et qu’il faut impérativement les former. « Avec une simple clé USB, un hacker peut prendre contrôle d’un laptop. Surtout dans un contexte où vos employés sont en télétravail », dit-il.
Parfois, c’est un simple défaut dans un logiciel qui donne un accès privilégié aux hackers pour entrer dans votre système. Mais il y a aussi le Dark Web, qui représente 6% de l’Internet et où se vendent des données volées, où s’achètent des Bank Logins et où on peut avoir accès à des détails de cartes de crédit. Sur le Dark Web, on a aussi accès à des Malwares et on peut même recruter des hackers.
Weakest link
Vincent Chatard, Chief Operating Officer du groupe MCB, explique : « la cybersécurité est devenue un enjeu majeur de la société, désormais tributaire du numérique. Du plus petit au plus grand, nous sommes tous concernés par cette course contre les cybervoleurs. You can just be hacked by someone opening an e-mail. » Il met l’accent sur la communication et le risque encouru concernant la réputation.
Il souligne que dans le cas d’une banque, les risques de cyberattaques sont d’autant plus lourds à gérer qu’il est impératif d’assurer la protection des données confidentielles des clients. Il ajoute soutient qu’au sein du groupe MCB, la majorité des employés sont formés. « Plus on avance et plus la cybersécurité devient compliquée », dit-il, avant d’évoquer la règle 3/1, car il faut trois mécanismes de sauvegarde des mêmes données, selon lui, dont une hors de vos bureaux, sur le Cloud ou autre.
S’il est difficile de savoir quand une attaque interviendra ou même si une attaque s’est déjà produite, il y a certaines choses qui doivent vous mettre la puce à l’oreille. « Quand votre système devient lent, cela doit déjà vous alerter », dit Dev Hurkoo. Les différents intervenants rappellent aussi la responsabilité des CEO et des conseils d’administration des entreprises de protéger leurs employés contre des cyberattaques.
Il prévient qu’il ne faut pas oublier que les entreprises sont toutes interconnectées. « You cannot say that you are okay, because all our businesses are inter-related. if your supplier is having an issue with a cyber-attack, you will be impacted. if you have partners impacted you will be impacted, cybersecurity is a collective responsibility », renchérit-il.