4 idées reçues sur les sites web des PME et les cyber attaques

Vous avez probablement entendu parler cette année de grandes marques ayant été piratées via leur site Internet, même si vous ne suivez pas régulièrement les informations.
La sécurité web est un sujet chaud en ce moment, et bien entendu ce que les journaux nous racontent concerne des grandes marques ou des grandes entreprises piratées, pas des petites.
Cela signifie-t-il que les petites entreprises sont épargnées? Bien entendu, non. Les journaux ne parlent que des entreprises connues et de ce qui est susceptible d’attirer l’attention.

4 idées reçues parmi les petites entreprises

1. Nous sommes trop petits pour être attaqués

Un classique.
Si vous pensez que les pirates vérifient combien d’employés votre entreprise compte ou combien de chiffre d’affaire vous générez avant d’essayer de vous attaquer, vous vous trompez.
J’ai même vu des étudiants attaquer les sites Internet d’autres étudiants, alors pourquoi les petites entreprises seraient-elles laissées de côté?
Bien qu’attaquer une grande marque soit plus attrayant et plus gratifiant pour certains pirates, ce qui compte est ce que votre application web contient, et premièrement le fait que vous possédiez un site Internet, quel qu’il soit.

site web = cible

Pour les organisations malveillantes, un site Internet est une opportunité d’héberger un malware ou tout autre contenu malicieux qu’ils souhaitent héberger.

Trop petit pour être attaqué? - illustration

Trop petit pour être attaqué?

En plus d’être une cible par elle-mêmes, les petites entreprises font souvent des affaires avec des entreprises plus grandes, impliquant une intégration profonde de leur technologies et données avec des entreprises plus grandes.

2. Mes statistiques ne montrent pas de signe d’attaque

Tout dépend des chiffres que vous observez.
Vos statistiques Google Analytics ou autres statistiques de navigation ne vont pas nécessairement montrer des traces d’attaque.
Parce que Google Analytics et de nombreux autres systèmes de statistiques se basent sur un morceau de code Javascript injecté dans vos pages, ils ne remonteront que des requêtes effectuées sur vos pages, rien d’autre.
Et bien entendu, les pirates ne laisseront pas vos statistiques se remplir avec leurs requêtes d’attaque, situation géographique ou autres choses que vous aimeriez voir.
Les logs serveurs cependant, si bien configurées, vous montreront une bonne partie de l’activité, sauf bien sûr si l’attaquant les supprime…

3. Nous ne prenons aucun risque et n’avons rien à perdre

C’est une idée reçu bien répandue parmi les petites entreprises et les startups. Ne pas manipuler d’argent sur votre site ne signifie pas qu’il n’y a pas de risque. En fait, une rapide analyse de risques vous montrerait à coup sûr que vous avez des éléments sensibles et de valeur :

Premièrement, la réputation de votre marque. Que vous considériez votre business comme une marque ou non, il est impacté par ce que les autres en pensent. Etre placé sur liste noire par des sociétés d’antivirus ou catalogué comme « site dangereux” par les navigateurs web suite à une attaque ou parce qu’un contenu dangereux a été déposé sur votre site est une perte de 100% de votre business en ligne, jusqu’à ce que le problème soit résolu.
Votre image de marque serait également endommagée si un contenu “indésirable” (type publicité pour du Viagra ou pire) était affiché quelque part sur votre site.

Qui ignorerait ce message?

Firefox indique qu'un site est dangereux - capture d'écran

Firefox indique qu’un site est dangereux

Ensuite, pensez à la sécurité de vos utilisateurs ou clients. Car oui, la sécurité de votre site internet impacte la sécurité de ses visiteurs.
Leurs identifiants et plus généralement toutes leurs données personnelles sont des éléments précieux pour les pirates, qui les utilisent dans des attaques de phishing, sur d’autres sites ou les revendent sur le marché noir.

Votre business : Etre attaqué ne signifie pas seulement que votre site Internet sera défiguré ou que certaines données seront volées. Une attaque peut être réalisée avec un objectif plus large, comme de l’espionage de vos employés ou des données de votre entreprises.
Comment cela serait-il possible? Sans rentrer dans les détails, être capable d’héberger un contenu malicieux sur un site Internet peut permettre à un attaquant de prendre le contrôle du navigateur web (dans une certaine mesure), ce qui peut donner lieu à une attaque du réseau interne de l’entreprise.
Ce n’est pas une fiction, c’est la vie réelle.

4. Nous n’avons pas les moyens pour la sécurité

Cette idée est également assez fréquente dans les petites entreprises.
– Que diriez-vous de sécuriser votre informatique?
– Nous n’avons pas de budget pour ça
Bien, il y a une différence entre ne pas avoir de budget pour la sécurité, et ne pas être capable de la financer. Là où sécuriser tout un environnement IT peut être en effet assez écrasant financièrement, se focaliser sur des éléments clés (les plus vulnérables et attaqués) comme les applications web, est quelque choses que de nombreuses entreprises peuvent s’offrir.
Considérant que la majorité des cyber-menaces ciblent les applications web, il serait dommage de ne pas s’en occuper si vous le pouvez.

Mesurer ses prises de risque

La réalité est que les petites entreprises attendent souvent d’être attaquées avant de réagir, alors qu’il existe des solutions de prévention.
Les entrepreneurs aiment prendre des risques, sinon il n’auraient pas choisi d’être entrepreneurs. Mais prendre des risques mesurés est assez risqué, non?

Gérer les risques peut être scindé en deux parties :

  • Augmenter la probabilité des opportunités
  • Eviter les menaces, ou les atténuer

Entrepreneur prenant des risques

Lorsqu’il s’agit de sécurité web, de nombreuses solutions s’offrent à vous.
Même si vous êtes une petite entreprise, la sécurité est abordable, avec des solutions correspondant à vos besoins. Vous n’avez pas besoin de dépenser des millions comme les grandes entreprises le font, mais ne pas avoir le moindre budget pour la sécurité est déjà en soit un problème de sécurité!

Bonus : Article intéressant (en anglais) écrit sur Forbes, à propos des entrepreneurs et des risques.
http://www.forbes.com/sites/cherylsnappconner/2014/07/08/how-to-take-smart-risks-as-an-entrepreneur/

Soumettre votre application web à un premier test