EBICS TS : un protocole sécurisé à 100%
À l’heure de la digitalisation des flux, la sécurisation des échanges entre banques et entreprises représente un enjeu crucial. Conçu pour renforcer la sécurité des transactions financières, le protocole EBICS TS répond aux exigences les plus strictes. Gérer ses échanges bancaires en toute sécurité est une priorité pour toute organisation sérieuse. C’est dans ce contexte que le protocole EBICS (Electronic Banking Internet Communication Standard) s’impose comme un choix incontournable. Ce protocole de communication bancaire standardisé et sécurisé garantit la confidentialité des données, assure l’identification des donneurs d’ordre et préserve l’intégrité des fichiers. Mais au-delà de ces aspects fondamentaux, EBICS offre une panoplie d’avantages qui en font une solution de premier choix pour les transactions financières. Différenciation entre EBICS T et EBICS TS EBICS T (pour transport) se distingue par sa signature de transport uniquement. Dans ce cas, une signature de confirmation disjointe par Web Banking est nécessaire pour valider les ordres, avec des méthodologies et des dispositifs de signature propres à chaque banque. En revanche, EBICS TS (pour trésorerie sécurisée) offre une approche plus intégrée et sécurisée. La signature électronique des fondés de pouvoir est jointe aux règlements, et elle se fait à partir d’un support physique externe contenant un certificat numérique : le Token de signature. Avec EBICS TS, la signature est donc intégrée, simplifiant ainsi le processus et renforçant la sécurité des transactions. De plus, EBICS est un protocole multi-bancaire, ce qui signifie qu’une organisation peut travailler avec n’importe quelle banque ayant adopté EBICS en Europe, offrant ainsi une flexibilité précieuse dans le choix des partenaires bancaires. Niveau de sécurité des connexions EBICS La sécurité des échanges bancaires est garantie à deux niveaux avec le protocole EBICS. D’une part, il utilise des messages XML véhiculés par une connexion TCP/IP sur HTTPS, assurant ainsi une communication sécurisée sur Internet. D’autre part, les envois sont sécurisés grâce à trois paires de clés RSA : une clé de signature, une clé de chiffrement et une clé d’authentification pour signer le message XML. Pour bénéficier de ces fonctionnalités, une Autorité de Certification doit au préalable délivrer un certificat électronique compatible EBICS TS, garantissant ainsi l’authenticité et l’intégrité des échanges. Avantages du protocole EBICS EBICS est massivement utilisé par les entreprises pour ses multiples avantages : Sécurité renforcée : EBICS permet de procéder à des échanges bancaires en toute sécurité. Les fichiers sont protégés par cryptage électronique au moment de l’envoi, et les opérations ne sont exécutées qu’après une confirmation émise par l’utilisateur (EBICS T) ou si elles sont validées par une signature électronique adéquate (EBICS TS). Multiplicité des formats : EBICS transporte tous les formats de fichiers bancaires, tels que SWIFT, XML et CFONB en émission et en réception, y compris ceux avec de gros volumes d’opérations. Compatibilité logicielle : EBICS est compatible avec une large gamme de logiciels de communication bancaire, facilitant ainsi son intégration dans les systèmes existants. Compatibilité avec les normes internationales : EBICS est compatible avec les différents formats de virements et de prélèvements bancaires, tels que SEPA au niveau européen, ce qui facilite les transactions transfrontalières. Souplesse et personnalisation : Le protocole offre une grande souplesse, avec plusieurs solutions de validation disponibles et une définition des délégations de signatures adaptée aux besoins de l’entreprise. Les utilisateurs peuvent être configurés avec des profils d’intervention différents, et avec EBICS TS, les ordres peuvent être émis depuis n’importe où, dès lors qu’une connexion Internet et qu’un certificat électronique valide sont disponibles. En résumé, le protocole EBICS se présente comme une solution fiable et accessible pour les transactions bancaires. Il garantit sécurité et efficacité, éléments essentiels dans le secteur financier. Néanmoins, la mise en place peut s’avérer complexe pour ceux peu familiers avec les aspects techniques tels que les identifiants de connexion, les file formats ou les tokens de signature. Heureusement, des spécialistes comme MATA sont là pour faciliter l’implémentation du protocole, offrant une assistance précieuse qui permet de gagner du temps et d’assurer une transition efficace vers cette technologie. Et si vous souhaitez en savoir plus sur nos outils contre la fraude en entreprise, découvrez notre solution Mata io ————————————————————–
Fraude au virement : comment éviter cette forme d’arnaque bancaire qui prend de l’ampleur
Fraude au virement – Dans un monde où la technologie et les transactions financières en ligne sont omniprésentes, une nouvelle forme d’arnaque bancaire a émergé, causant des pertes significatives aux entreprises et aux personnes. Quelles sont les stratégies pour s’en prémunir ? Fraude au virement : l’émergence des Prélèvements non autorisés Les cybercriminels ont développé une méthode sophistiquée pour détourner des fonds des comptes bancaires sans le consentement des titulaires. Cette technique, connue sous le nom de prélèvement non autorisé, implique l’utilisation frauduleuse d’identifiants de compte bancaire (IBAN) pour initier des transactions non consenties. Les pertes pour les victimes peuvent varier de quelques centaines à plusieurs centaines de milliers d’euros. Exploitation des failles du système SEPA L’arnaque aux prélèvements non autorisés tire parti des vulnérabilités du système de virements et prélèvements européens SEPA, en place depuis 2014. Dans ce système, une entreprise possédant un identifiant créancier SEPA (ICS) peut initier un prélèvement SEPA. Auparavant, les mandats de prélèvement devaient être signés et transmis à la fois au créancier et à la banque du client, offrant une couche supplémentaire de sécurité. Cependant, avec l’adoption du système SEPA, cette étape de vérification a été supprimée, laissant la responsabilité des mandats uniquement entre les mains du créancier. Insuffisance des mécanismes de contrôle Bien que les institutions financières aient mis en place des mécanismes de contrôle pour prévenir les fraudes, ces mesures se sont avérées insuffisantes face à l’ingéniosité des fraudeurs. Les banques et leurs clients doivent donc être extrêmement vigilants pour détecter et prévenir ces activités frauduleuses. Rôle actif des clients dans la protection de leurs comptes Les clients ont un rôle crucial à jouer dans la protection de leurs comptes. Ils doivent être proactifs en surveillant régulièrement leurs transactions et en signalant immédiatement toute activité suspecte. De plus, es particuliers peuvent demander à leur banque de créer une liste de créanciers autorisés ou interdits, ce qui peut servir de barrière supplémentaire contre les prélèvements non autorisés. Cadre légal et remboursement En cas de prélèvement non autorisé, la législation protège les clients. Les banques sont tenues de rembourser les sommes prélevées frauduleusement dans un délai de huit semaines. De plus, le délai de réclamation pour de telles transactions s’étend jusqu’à treize mois, offrant ainsi une fenêtre suffisante pour rectifier les transactions frauduleuses pour peu qu’on les ait détectées. Sensibilisation et éducation à la fraude au virement La sensibilisation et l’éducation des clients sur les risques de cyberfraude sont essentielles. Les banques et les institutions financières doivent jouer un rôle actif dans l’éducation de leurs clients sur les signes avant-coureurs des arnaques et les meilleures pratiques pour sécuriser leurs comptes en ligne. Technologies de sécurité avancées Pour les entreprises, qui ont souvent de gros volumes de prélèvements, il existe des logiciels de sécurité qui vont rapprocher automatiquement les prélèvements autorisés de ceux qui vont passer en banque, de manière à pouvoir bloquer le prélèvement avant même qu’il ne soit opéré sur le compte de l’entreprise. L’intelligence artificielle pour détecter les comportements anormaux, peut également contribuer à prévenir ces types d’arnaques. Collaboration entre les banques et les autorités Une collaboration étroite entre les banques, les autorités réglementaires et les forces de l’ordre est cruciale pour lutter contre les arnaques bancaires. Le partage d’informations sur les nouvelles méthodes de fraude et les stratégies de prévention peut renforcer les défenses collectives contre les cybercriminels. Conclusion La menace des prélèvements non autorisés est un rappel sérieux de la nécessité d’une vigilance constante dans le monde numérique. Les clients, les banques et les autorités doivent travailler de concert pour prévenir les pertes dues à ces activités frauduleuses. En restant informés, en adoptant des pratiques de sécurité rigoureuses et en utilisant les outils technologiques disponibles, il est possible de réduire considérablement le risque d’être victime de ces arnaques sophistiquées. Contactez MATA pour en savoir plus sur la fraude au virement.
Ransomwares : Chaque Paiement De Rançon Finance 9 Nouvelles Attaques !
Dans son dernier rapport de recherches portant sur le fonctionnement des groupes de rançongiciels et la spirale de financement de leur attaque, Trend Micro révèle qu’il suffit du paiement de seulement 10 % des demandes de rançons pour financer de nouvelles vagues d’attaques. Ce rapport fournit des renseignements stratégiques, tactiques, opérationnels et techniques sur ces actions malveillantes. Il s’appuie sur une collecte de données rassemblées pour répertorier les différents schémas organisationnels des organisations cybercriminelles. Ces informations seront utiles à la communauté pour comparer les différents groupes actifs sur ce marché, estimer les risques et caractériser les comportements des groupes à la manœuvre. Voici ses principaux éléments : Le pourcentage de victimes qui acceptent de payer une rançon (10 %) le font généralement rapidement. En France, un tiers des microenterprises ciblé a déjà payé une rançon. Les victimes de certains secteurs et pays paient plus souvent que d’autres, ce qui signifie que leurs homologues sont plus susceptibles d’être ciblés par la suite. Le paiement d’une rançon a souvent pour seul effet d’augmenter le coût global de l’incident, avec assez peu d’autres bénéfices. Les activités de monétisation des rançongiciels sont au plus bas en début d’année (janvier) ainsi que sur la période estivale. Des périodes qui sont potentiellement propices à la reconstruction des infrastructures et à la préparation des attaques futures. Le rapport indique qu’en renforçant les dispositifs de protection des chaines de production, en poursuivant l’analyse approfondie des écosystèmes de rançongiciels et en concentrant les efforts à l’international sur la réduction du pourcentage de victimes acceptant de payer une rançon et d’entretenir ainsi la mécanique, les entreprises et les gouvernements pourraient contribuer à faire baisser la rentabilité de cette industrie des rançongiciels. « Les rançongiciels constituent aujourd’hui une menace majeure pour la cybersécurité des entreprises, des collectivités et des administrations. Leur mode opératoire est en constante évolution, c’est pourquoi nous avons besoin d’analyser en permanence les données techniques afin d’adapter en continu la modélisation des outils de détection. Notre étude vise à aider les décideurs dans les métiers IT à mieux comprendre leur exposition au risque et à fournir aux comités de direction les informations dont ils ont besoin pour mieux appréhender ce type de menaces », explique Nicolas Arpagian, Director Cybersecurity Strategy de Trend Micro. Des éléments qui peuvent peser dans la balance Le rapport de Trend Micro tend à apporter aux décideurs des informations pour mieux évaluer les risques financiers découlant des rançongiciels et aider : les responsables informatiques à documenter la justification d’un renforcement des budgets en matière de cybersécurité, les gouvernements à chiffrer plus précisément les services de réparation à incident et les modalités d’application de la loi/mise en conformité, les assureurs à concevoir plus précisément les termes et conditions de leurs polices, les organisations internationales à prendre davantage en considération les attaques par rançongiciels, qui sont plus que jamais un risque à l’échelle planétaire. Ce rapport est consultable ici : https://www.trendmicro.com/vinfo/us/security/news/ransomware-spotlight/understanding-ransomware-using-data-science. Source : ITRnews
Signature ebics ts : les avantages d’une signature bancaire universelle
Pascal, Responsable commercial chez MATA, nous expose en quelques mots les avantages de l’harmonisation de la signature bancaire universelle avec Ebics TS. Pour lutter contre les fraudes, EBICS a évolué vers EBICS TS, le mode de communication sécurisé entre la banque et l’entreprise le plus efficace en France. EBICS est un protocole d’échanges Banque/Entreprises fonctionnant sous IP, et utilisant le réseau internet pour véhiculer les fichiers. Il permet d’échanger tous types de fichiers sans limite de volume. L’évolution d’EBICS T, EBICS TS, est apparu rapidement pour remplacer l’ancien protocole ETEBAC 5 en offrant la possibilité d’apposer une signature électronique à ses fichiers de règlements. Le token permet de sécuriser la signature En EBICS TS la signature est donc intégrée, elle se fait à partir d’un support physique externe qui contient un certificat numérique : le Token de signature. Il existe plusieurs autorités de certification à même de délivrer des tokens de signature : Swift 3SKey, Certeurope, Keyneticks, ClicNTrust… L’entreprise utilisatrice acquiert ces tokens, auprès d’une de ses banques. Les tokens de signature sont nominatifs, déclarés contractuellement à la banque et de ce fait, les règlements signés électroniquement sont non répudiables et exécutables de suite. Les tokens de signature sont utilisables pour l’ensemble des contrats EBICS T/S de l’entreprise avec ses différents partenaires bancaires. EBICS TS EST INFAILLIBLE ? EBICS est très fiable. Il est véhiculé par le protocole HTTPS, qui assure le chiffrement de la liaison. Mais il s’appuie également sur des certificats permettant l’authentification réciproque des parties, ainsi que le chiffrement des messages XML. Encore faut-il être certain du contenu des fichiers qui sont envoyés par EBICS. Il revient à l’entreprise de mettre en place tous les moyens de contrôle nécessaires pour s’assurer de la fiabilité des comptes payés, avec une offre comme Mata I/O Sécurité. La maîtrise du déploiement du protocole EBICS par MATA est complète, une expertise qui permet de garantir le niveau de sécurité attendu, mais aussi de sécuriser vos données en amont, c’est-à-dire avant la signature électronique & les transmissions des fichiers. MATA IO SECURE-E-LINK permet la vérification des IBAN notamment, évitant ainsi tout risque d’altération des fichiers AVANT l’entrée dans le logiciel de communication. Une solution complète dédiée aux entreprises ! Et si vous souhaitez en savoir plus sur nos outils contre la fraude en entreprise, découvrez notre solution Mata io ————————————————————–
Le juste prix de la sécurité
On connaît tous les chiffres de la fraude : 7 entreprises sur 10 qui ont fait l’objet d’une fraude, 1 sur 3 qui a fait l’objet d’une fraude avérée. On s’aperçoit que ces chiffres ne baissent pas alors même que nous sommes de mieux en mieux informés et beaucoup mieux préparés à la déjouer qu’il y a 5 ans par exemple. Faisons le tour de la question avec MATA I/O. Alors, il est vrai que cette année est un peu particulière et que le télétravail a sa part de responsabilité dans le sens où les procédures de contrôle se sont souvent dégradées dans le cadre du travail à distance. Mais, au final, le télétravail n’a fait que mettre en évidence la limite des procédures non digitalisées, qui ne s’exercent plus, dès lors qu’on n’est pas sur son lieu de travail et qu’on pas accès aux pièces justificatives physiques. Pour mémoire, la sécurisation de la chaine de règlements consiste à contrôler son tiers lors de sa création, à faire perdurer ce contrôle dans le temps pour le fiabiliser, mais aussi à vérifier les fichiers de paiement avant envoi en banque. Or, le plus souvent, ces contrôles existent dans les entreprises ou les groupes, mais ils ne sont pas toujours organisés de manière optimale pour cause de progiciels hétérogènes ou d’organisation très décentralisée. Notre solution consiste à rationnaliser ces organisations en mettant en œuvre une base de tiers unique, référente et sûre, connectée à toutes les applications dans lesquelles sont produits des règlements de manière à assurer une détection en temps réel et en continu de toutes les anomalies potentielles. La réponse pourra être modulée en fonction de votre organisation et de vos besoins : Un contrôle des tiers avant ou après saisie dans l’ERP + une vérification des IBAN pour sécuriser les virements émis, De la saisie intégrée dans notre solution de sécurité pour neutraliser les saisies anarchiques sur portail, Et même pour ceux qui le souhaitent, une solution complètement intégrée qui embarque la sécurité, la signature électronique et la communication bancaire pour complètement verrouiller la chaine de règlements. Les contrôles proposés sont ciblés par catégorie de tiers, avec interrogation de listes référentes sûres et ne portent que sur les tiers ou les règlements ayant fait l’objet d’une modification. Pourquoi réinterroger toute la base à chaque fois et surtout pourquoi supporter une facturation sur la totalité de ses tiers, alors même que les changements portent sur à peine 5 % des tiers en moyenne ? En procédant ainsi, par différence, nous avons construit une offre de sécurité exhaustive, mais extrêmement compétitive. Car, l’objectif, c’est de sécuriser ses flux, mais pas à n’importe quel prix : à quoi bon mettre en œuvre des solutions plus couteuses que la fraude elle-même finalement ? NOUS CONTACTER
COMMENT LE LAB DU CDSE ANTICIPE LES MENACES ET AVANCE DES SOLUTIONS
Le Lab, l’incubateur du CDSE permet de fructueux échanges. Deux événements annuels permettent de renforcer la collaboration entre les acteurs de la cybersécurité. « Bonjour, le groupe est victime d’une offensive de tentatives de fraude au président via WhatsApp. Contact par compte avec photo du dirigeant et conversation engagée sur un sujet prétendu urgent et confidentiel. Nous en avions régulièrement mais les remontées récentes sont beaucoup plus nombreuses. Sommes-nous les seuls ? » A peine avions-nous bouclé un entretien très riche que le président du CDSE (1), Stéphane Volant, par ailleurs secrétaire général de la SNCF, nous faisait suivre ce SMS. Signe d’une menace bien réelle. Preuve aussi « de la richesse des échanges de la communauté du CDSE », souligne-t-il. Dans cette lutte sans fin contre une menace en perpétuelle évolution, le rôle du CDSE demeure inchangé depuis sa création il y a vingt-cinq ans : servir de lieu d’échanges entre pairs pour partager bonnes pratiques et expériences, plus ou moins malheureuses, plus ou moins discrètement. Au sein de la communauté de ces têtes chenues – la moyenne d’âge frise les soixante ans -, se déploie désormais le Lab : un incubateur créé à l’initiative Julien Marcel, jusqu’à peu secrétaire général de l’association. S’installant peu à peu dans le paysage du risk management, le Lab est à l’avant-garde de toutes les problématiques de sécurité, jouant un rôle de défricheur et d’anticipateur. On y côtoie toute une génération de numéro deux, numéro trois : des collaborateurs « digital native » qui infusent les bons réflexes, anticipent les menaces et les solutions de demain ». Moyenne d’âge : 35 ans. Avec, comme rendez-vous déjà incontournable du début de l’été, L’Odyssée du CDSE Lab, un événement monté en partenariat avec Thales, notamment. Et, dans lequel « industriels et politiques peuvent être trempés directement dans la marmite de la sécurité et sûreté, plaisante, très sérieusement, Stéphane Volant. Car, comme on dit en Afrique, à force d’y être trempé, on finit par prendre le goût de la sauce. » La deuxième édition de l’événement a ainsi réuni le 4 juillet 2019, au Dernier Etage à Paris, plus de 500 décideurs, privés ou publics, dont les plus haut gradés des ministères des Armées et de l’Intérieur, autour du thème de la confiance. Technologique, s’entend. « Le Lab a un rôle de prospective et d’accélérateur de rencontres, avec ce talent sûr de dénicher les acteurs et les sujets qui agitent l’écosystème », loue Sabri Solani, chef de projet innovation & blockchain à La Fabrique du Futur, qui était là pour présenter une future blockchain tricolore, ValYooTrust, auquel son « think and do tank » numérique participe avec le ministère des Armées et l’Institut Mines-Télécom. L’édition 2019 fut aussi l’occasion de découvrir, parmi la quinzaine de start-up présentes, une déclinaison de l’application Marmelade, destinée à l’origine aux élèves de terminale pour réviser leur BAC, en les obligeant à répondre à des questions du programme pour déverrouiller leur smartphone. Ce que nous ferions plus de 150 fois par jour… Une application qui fonctionne donc aussi très bien pour bachoter la politique sécurité de son entreprise. Autre incontournable de l’agenda du CDSE, son colloque annuel, dont la prochaine édition aura lieu le 17 décembre au siège de l’OCDE, avec pour thème cette année : « La sécurité : un atout pour l’économie des territoires ». « On va y inviter les dirigeants de collectivités – régions, départements… », indique Stéphane Volant. Car la chaîne de sécurité ne concerne pas que le siège des grandes entreprises et Paris, mais tous les maillons du tissu économique, de plus en plus interconnectés : filiales, sous-traitants, fournisseurs… Avec, pour objectif de travailler tous ensemble. « Et, ce ne sont pas que des mots ! » assure le président du CDSE. (1) Club des directeurs de sécurité et de sûreté des entreprises (Vinci, Danone, Renault, L’Oréal, etc.) Source : Les echos
LES GENDARMES INVITENT LES CHEFS D’ENTREPRISE POUR PARLER DE SÉCURITÉ
Pour la première fois en Essonne, les gendarmes ont invité les chefs d’entreprise à une grande réunion autour de la sécurité. Au programme, des conseils pour éviter notamment d’être piégés par de faux documents des fraudeurs, ou de se mettre hors-la-loi. L’amphithéâtre de la faculté des métiers d’Evry accueillait un public un peu plus âgé qu’à l’accoutumée, mais pas moins studieux. Ce mardi, durant toute la matinée, une cinquantaine de chefs d’entreprise du département ont assisté à une réunion organisée par la gendarmerie. « On veut les conseiller et les alerter sur les risques qu’ils peuvent rencontrer au quotidien, on n’est pas dans le haut du spectre sur l’espionnage », indique la colonelle Karine Lejeune, qui a mis en place cette grande première dans l’Essonne. Deuxième objectif de cette « matinale », que chaque gérant identifie le référent sécurité de la brigade la plus proche de sa société. « Une prise de contact ultérieure leur permettra de bénéficier d’un diagnostic sur-mesure par rapport à leurs problématiques », reprend la commandante des 750 militaires répartis dans le département. Des conseils anti-intrusion Plusieurs intervenants se sont succédé, afin de distiller des conseils de protection. « Les risques d’intrusion peuvent être réduits avec un peu de bon sens, annonce le Lieutenant-Colonel Oheix. Hausser les grillages si un poste électrique ou un arbre permet de grimper sur la clôture. » Ce spécialiste préconise aussi de faire porter aux visiteurs ou aux prestataires extérieurs un casque, un badge ou une veste pour le différencier des autres. Plusieurs star-up, mais aussi des entreprises du CAC-40 ont été victimes de « fraude au président », grâce à ces détails obtenus sur l’entreprise : un homme parvient à se faire passer pour un chef et à obtenir un virement d’argent important. Attention à la fraude aux faux documents Mais les risques existent aussi en matière numérique. Les gendarmes déconseillent de mettre en ligne l’organigramme complet de la société, ou d’avoir une signature de mail trop détaillée. « Et il convient de former les salariés, car la principale faiblesse est humaine, certains peuvent cliquer sur des mails dangereux qui peuvent introduire un logiciel ou un virus dans votre entreprise », souligne le Lieutenant-colonel. Au ministère des Finances, après une formation dédiée aux 150 000 fonctionnaires, un courriel « test » leur a été envoyé, indiquant qu’une place gratuite au cinéma était offerte par… Mary Poppins. 30 000 d’entre eux ont cliqué sur le lien. Des explications sur les nouvelles lois portant sur la protection des données ont aussi permis aux chefs d’entreprise de cerner au mieux les méthodes pour rester dans la légalité. Rachida Belliard, correspondante dédiée à la défense, a alerté les gérants sur les impératifs liés aux ressources humaines. « C’est à vous de détecter les faux sur le CV, les notes de frais, ou les fraudes chez vos sous-traitants », appuie-t-elle en invitant chacun à bien rédiger son règlement intérieur. La détection de faux documents a aussi été abordée, notamment pour des demandeurs d’emploi. Exemples à l’appui de récépissés, titres de séjour, plusieurs entrepreneurs se sont fait piéger. « N’hésitez pas à vérifier leur conformité avec nous, souligne l’adjudant Rivière. Vous n’êtes pas en mesure de détecter les faussaires. » « JE SAURAI VÉRIFIER LES PAPIERS DES INTÉRIMAIRES » L’entreprise d’Abdelmajid Hioui, chef de projet chez Unicom, compte une vingtaine de salariés. Basée à Evry-Courcouronnes, elle est spécialisée dans l’installation de câbles pour la téléphonie. Ce gérant a participé ce mardi à la première réunion sur les risques et la sécurité en entreprise en Essonne. « J’étais curieux et j’en ressors avec beaucoup d’information, confie-t-il. Tous les sujets abordés nous concernent et étaient très imagés. Cela va nous permettre de les mettre en place dans notre société. Je saurai aussi comment vérifier les documents et les papiers d’intérimaires à l’avenir. S’il le faut je les enverrai aux gendarmes. On se doit d’être vigilants, car on n’a pas de service dédié dans une petite entreprise, du coup c’est le chef qui fait tout. Et j’ai parfois eu des doutes sur l’authenticité de certains… En cas de contrôle cela aurait pu me retomber dessus. » Avec le risque par exemple de se faire épingler pour travail illégal. Source : Le Parisien par Florian Loisy
CYBERSÉCURITÉ : DES PROGRÈS À FAIRE POUR LES TPE ET PME PAR CHEF D’ENTREPRISE
L’enquête de la CPME sur la cybersécurité des TPE et PME, présentée au Forum International de la Sécurité le 22 janvier 2019, montre que toutes les mesures ne sont pas encore prises pour contrer le risque d’attaque informatique. La CPME (Confédération des Petites et Moyennes Entreprises) continue de s’impliquer sur la nécessaire évolution digitale. Ainsi, pour la deuxième année consécutive, François Asselin, président de la CPME, a conduit au CES de Las Vegas une délégation d’une centaine de TPE, PME et start-up. C’est dans ce contexte, avec ses partenaires tels que la chambre professionnelle des TPE-PME du numérique, le club de la sécurité de l’informatique français et d’autres, que l’organisation a mené une enquête* sur la sensibilité, l’intérêt et les actions des TPE-PME en matière de cybersécurité, auprès de 374 dirigeants d’entreprise. Les graphiques ci-dessous sont issus de l’enquête et permettent de faire le point sur la protection utilisée par les entreprises pour se protéger. Installation d’une protection (antivirus, firewall, solution anti-spam) La solution anti-spam est peu utilisée par les entreprises. 55% d’entre elles en disposent pour leurs ordinateurs de bureau et 42% pour leur réseau. Les solutions de protection apparaissent comme relativement utilisées, notamment l’antivirus, assez répandu. Pour autant, la protection n’est pas complète, surtout en ce qui concerne le réseau d’entreprise, globalement moins protégé que les ordinateurs de bureau. Changement du mot de passe 33% des entreprises changent les mots de passe de leurs ordinateurs de bureau peu régulièrement, soit entre tous les 6 et 12 mois. Une majorité des entreprises ne modifie pas régulièrement ses mots de passe. Elles s’exposent ainsi à plus de risques d’intrusions informatiques. Près d’une sur trois ne change jamais ses mots de passe. Attaques ou tentatives d’attaque subies par les entreprises 41% des TPE interrogés ont déjà subi une ou plusieurs attaques ou tentatives d’attaques informatiques, soit presque autant que les PME. Il est intéressant de souligner qu’une petite partie des entreprises interrogées ne sait pas si elle a déjà été victime d’une attaque ou d’une tentative d’attaque informatique. Ces chiffres démontrent que les entreprises n’ont probablement pas suffisamment assimilé le cyber-risque. Reste que moins d’une entreprise sur deux a déjà été victime d’une ou plusieurs attaque(s) informatique(s). Mise en place de dispositifs de protection Seules 14% des TPE disposent d’une assurance contre les attaques informatiques contre 23% des PME. Si on peut dire que les salariés semblent en grande partie sensibilisés aux risques informatiques, moins d’un quart des TPE et PME disposent d’une assurance en cas de cyberattaque. Cela permet de montrer que des progrès restent à faire dans la prise en charge complète de ce type de risque, en constante augmentation. * Source : La cybersécurité des Entreprises (mois de 50 salariés), enquête CPME réalisée en partenariat avec CINOV-IT, le CLUSIF (Club de la sécurité de l’information français), membres avec la CPME du dispositif cybermalveillance.gouv.fr, l’Union-IHEDN, la Cyber task force ainsi que les associations Hexatrust et ACN (Association Confiance Numérique), Janvier 2019.