Savez-vous vraiment qui entre dans votre immeuble de bureaux ? "Si vous portez un uniforme, les gens ne vous posent pas vraiment de questions", a déclaré Daniel Dilks, expert en sécurité, à Euronews. Selon les spécialistes, la sécurité physique est un angle mort critique dans nos défenses.
Lorsque l'on pense à une cyberattaque, la plupart d'entre nous imaginent un pirate informatique classique : un homme en sweat à capuche, seul devant son ordinateur, accédant à distance au réseau d'une entreprise.
Mais ce n'est pas toujours le cas.
Malgré les postes sécurité à l'entrée, il est facile de se déguiser et d'entrer dans un bureau, a expliqué un formateur en cybersécurité à Euronews.
"Beaucoup de gens, lorsqu'ils voient un gilet haute visibilité, pensent : 'Oh, cette personne est un ingénieur' ou quelque chose comme ça, et ils les laissent passer".
Si nous sommes tous conscients des cyberattaques et de la menace croissante qu'elles représentent pour les entreprises - en particulier à la lumière des récentes attaques contre Pandora, Chanel, Adidas et Victoria's Secret -, la plupart d'entre nous sous-estiment considérablement les moyens physiques par lesquels nos défenses peuvent être percées.
Les dépenses mondiales en matière de cybersécurité devraient atteindre 213 milliards de dollars (183 milliards d'euros) en 2025, contre 193 milliards de dollars (166 milliards d'euros) en 2024, selon les dernières données de Gartner, Inc. Malgré cela, selon l'indice de préparation à la cybersécurité 2025 de Cisco, seules 4 % des organisations dans le monde sont pleinement préparées aux menaces modernes.
Selon les experts en sécurité Sentinel Intelligence, la sécurité physique est un angle mort critique dans nos défenses, et les conséquences d'ignorer ce vecteur d'attaque peuvent être désastreuses.
La ligne de front physique de la sécurité numérique
Selon un récent entretien avec l'éditeur de logiciels Splunk, la cybermenace globale en Europe devrait coûter 10 000 milliards d'euros en 2025, et ce chiffre ne fera qu'augmenter.
En ce qui concerne les cyberattaques physiques, la menace est réelle et dangereuse, comme le montre le rapport sur la sécurité dans le monde 2023. Selon cette étude, les grandes entreprises mondiales, c'est-à-dire celles dont le chiffre d'affaires cumulé s'élève à 20 000 milliards de dollars, ont déclaré avoir perdu 1 milliard de dollars (860 milliards d'euros) de revenus en 2022, en raison d'incidents liés à la sécurité physique.
Il peut s'agir d'un pirate informatique qui accède à votre immeuble de bureaux pour s'attaquer à votre infrastructure numérique.
Les tests de pénétration sont un service courant, commandé par les chefs d'entreprise pour tester leurs défenses internes. Si vous travaillez dans un grand bureau, cela s'est probablement produit autour de vous, sans que vous le sachiez.
Euronews Business s'est entretenu avec Daniel Dilks, directeur des opérations chez Sentinel Intelligence, pour savoir exactement en quoi consistaient certains de leurs récents tests.
Cas 1 : Tailgating et violation d'accès au siège d'une entreprise
Tailgating (littéralement, talonnage), également appelé "piggybacking", est une méthode de piratage physique où un intrus accède à un lieu sécurisé en suivant de près un employé autorisé ou en se faisant passer pour un visiteur légitime.
"Des agents de Sentinel habillés en tenue de travail sont entrés dans le bâtiment en talonnant le personnel pendant la période de pointe du matin, munis de faux badges d'identification et d'une sacoche d'ordinateur portable pour se fondre dans la masse. Une fois à l'intérieur, ils ont repéré une salle de réunion non sécurisée, se sont connectés au Wi-Fi des invités et ont laissé un dispositif malveillant (un implant réseau)", a expliqué M. Dilks à Euronews.
Cas 2 : Crochetage de serrures et exposition de données en dehors des heures de travail
"En dehors des heures de travail, les testeurs ont accédé à la salle en crochetant une serrure standard à cylindre européen sur la porte latérale. Une fois à l'intérieur, ils ont accédé à un classeur non verrouillé contenant des contrats de clients imprimés et des mots de passe. Aucune alarme ne s'est déclenchée", a expliqué M. Dilks.
Et pour un criminel, une fois qu'il a compris comment pénétrer dans un bâtiment, il peut potentiellement le faire à de nombreuses reprises, en recueillant à chaque fois plus d'informations ou en causant plus de dégâts.
Cas 3 : Ingénierie sociale et simulation de vol de données d'identification
"Un agent s'est fait passer pour un entrepreneur chargé du système de chauffage et de ventilation du bâtiment. Après être entré avec un gilet réfléchissant haute visibilité et un faux ordre de travail, l'individu a été escorté dans une salle de serveurs par le personnel qui croyait que la visite était programmée. À l'intérieur, il a photographié les informations d'identification exposées et a connecté une "boîte de dépôt" USB à un poste de travail", a-t-il ajouté, expliquant qu'il est courant que les testeurs de pénétration laissent des stylos USB éparpillés dans les bureaux.
De nombreux employés, dans l'espoir de se rendre utiles, les brancheront sur leur ordinateur pour voir à qui ils appartiennent. Dans un scénario d'attaque réel, cela pourrait introduire des logiciels malveillants directement dans le réseau de l'entreprise.
Dans tous ces exemples, de mauvaises mesures de sécurité physique, la réticence à défier ou à vérifier des personnes inconnues et des erreurs élémentaires telles que l'écriture de mots de passe sur des post-it peuvent avoir de graves conséquences.
Quelles sont les conséquences d'une cyberattaque ?
Bien qu'il soit difficile de déterminer le coût exact d'une faille de sécurité, les attaques ont des conséquences à court et à long terme pour une entreprise.
Il y a d'abord les coûts directs, qui peuvent être liés à des dommages physiques.
"Quelqu'un réussit à s'introduire dans votre système et à le saboter, il le démolit, n'est-ce pas ? Il y a donc un coût direct pour l'équipement lui-même", explique l'expert en cybersécurité.
"Mais si les dommages causés à l'équipement vous empêchent de fonctionner pendant plusieurs jours, il s'agit d'une perte d'activité. Et parfois, lorsqu'un client ne peut pas vous joindre plusieurs fois, il peut décider d'aller voir ailleurs".
L'expert a expliqué que les conséquences peuvent rapidement s'intensifier si les données sont effacées et que les sauvegardes ne fonctionnent pas, ajoutant que les organisations peuvent s'effondrer sans leurs systèmes.
Les coûts indirects peuvent également avoir des conséquences durables.
"Supposons que quelqu'un vole vos données et qu'il y ait une fuite de propriété intellectuelle ou de documents confidentiels. Quel est le coût pour l'organisation ? Il y a un coût de réputation, elle peut perdre des contrats lorsque les clients perdent confiance en elle".
Les entreprises peuvent également se voir infliger des amendes pour ce type de violations de données.
Des vecteurs d'attaque surprenants
L'expert en cybersécurité a fait part de certaines méthodes particulièrement surprenantes utilisées par les criminels pour pirater les systèmes des entreprises au cours des dernières années.
"Dans un casino américain, des pirates ont accédé au réseau, non pas en passant directement par la partie principale du réseau, mais en compromettant un dispositif de régulation de l'eau dans un aquarium qui était connecté au système.
Même si nous n'avons pas tous des aquariums à la maison ou au bureau, les appareils intelligents peuvent eux aussi être vulnérables .
"Lorsque les bouilloires intelligentes ont fait leur apparition, la communauté de la sécurité s'est montrée très intéressée", explique l'expert.
"Si vous assistez à une conférence sur la cybersécurité, vous verrez parfois une démonstration du piratage d'une bouilloire et de l'extraction du mot de passe Wi-Fi, puis de l'utilisation du passeport Wi-Fi pour accéder à un réseau, et beaucoup de choses peuvent faire boule de neige à partir de là"
Si vous êtes à la tête d'une entreprise, il vaut la peine d'identifier tous les moyens d'attaque possibles.
L'expert souligne toutefois que si nous devons faire preuve de prudence, cela ne signifie pas que nous devons être impolis ou malveillants envers les inconnus sur le lieu de travail par peur.
"Il suffit de se méfier et d'être conscient. Nous n'avons pas besoin de changer notre nature et d'être désagréables avec tout le monde, mais nous devons simplement être conscients qu'il existe des personnes malveillantes."