Mythe #1 : Nous sommes trop petits, trop jeunes, trop… pour être hackés

Trop petit pour être hacké

S’il y a bien un mythe en cybersécurité que nous entendons régulièrement et qui doit absolument être déboulonné, c’est bien celui-là : « Pourquoi quelqu’un nous attaquerait-il ? Nous sommes trop petits, trop jeunes, personne ne nous connaît, nous n’avons rien en ligne, … nous ne sommes pas intéressants à hacker. »

Eh bien, si, en fait, vous êtes intéressants.

Prenons chaque point séparément :

– Pourquoi quelqu’un nous attaquerait-il ? Personne ne nous connaît.

Tout d’abord, toutes les attaques ne sont pas ciblées. Certaines attaques sont conduites par des scripts, qui ne font pas la différence si le site est gros ou petit. Par exemple, une attaque peut cibler tous les sites qui utilisent un CMS courant, comme WordPress.

Certains rançongiciels (ou ransomwares) suivent le même principe : ils visent tous les logiciels ou ordinateurs qui ne sont pas à jour. WannaCry, un ransomware majeur en 2017, s’est propagée dans le monde entier, des startups early stage aux plus grandes entreprises.

De même, les campagnes de phishing massives ne sont pas sélectives. Elles sont envoyées à toutes les adresses email qui sont dans le fichier de l’attaquant.

Enfin, si vous pensez que vous ne risquez rien parce que vous avez seulement une adresse IP sans nom de domaine qui pointe vers elle, pensez-y à deux fois. L’adresse IP peut être trouvée par des outils automatiques qui scannent la totalité du web en quelques heures. Dès que quelque chose est en ligne, vous devez le protéger.

– Nous sommes trop petits, trop jeunes

Dès le moment où vous avez un site, un serveur… des données sont mises en ligne. Elles sont intéressantes pour un attaquant malveillant.

Ces données sont celles de vos utilisateurs, que ce soit des données personnelles ou financières. Des données financières peuvent être utilisées immédiatement par l’attaquant, tandis que les données personnelles peuvent être utilisées pour accéder à d’autres comptes ou à d’autres entreprises, ou pour construire des attaques utilisant de l’ingénierie sociale contre vos clients.

Si vous avez un webshopune autre attaque possible est de détourner le flux de paiement de son destinataire légitime au bénéfice de l’attaquant. Même si ce n’est pas un montant important, les attaquants sont toujours intéressés par l’argent. De plus, comme les petites entreprises ont parfois moins de surveillance que de plus grandes sociétés, il peut se passer plus de temps avant de détecter l’attaque, et l’attaquant aura récolté au final un montant équivalent à celui obtenu par une attaque sur un plus gros site.

Un autre point d’attaque est si vous êtes le fournisseur d’une plus grande société. Un attaquant peut vouloir obtenir l’accès à votre site ou à votre réseau pour récolter des informations stratégiques ou des contacts d’affaires pour cibler cette entreprise. Votre site peut aussi être utilisé pour cacher un malware visant en cette société en particulier.

Enfin, nous devons garder en tête que certes, certains attaquants choisissent précisément leur cible, mais la plupart d’entre eux ne sélectionnent pas leur cible par leur chiffre d’affaires ou leur nombre d’employés. Ils attaquent simplement les sites web qui leur sont remontés par leurs outils automatiques comme ayant des vulnérabilités ou des sites qui croisent leur chemin.

– Nous n’avons rien d’intéressant en ligne

Même si vous n’avez « que » un site vitrine, il doit être sécurisé. Réaliser des ventes n’est pas le seul atout d’un site, c’est avant tout la représentation en ligne de votre société. Cela peut être le premier point de contact avec vos clients… et le dernier s’il y a des contenus dérangeants, comme des publicités pour des sites pornographiques ou de la propagande religieuse. Les premières impressions de vos clients sont critiques.

Un site vitrine peut également héberger un élément malveillant, qui peut permettre de récolter des informations du navigateur de vos visiteurs ou bien de vous-même.

Ces deux exemples d’attaques auront des répercussions sur votre réputation lorsque vos contacts iront sur votre site, mais également pour les navigateurs ou votre hébergeur, qui pourront vous déréférencer ou bien afficher des messages d’alertes lors de l’accès à votre site.

En conclusion, personne n’est trop petit, trop jeune, ou pas intéressant pour être hacké. Et effectivement, en 2018, 67% des PME ont eu une cyberattaque et 58% ont eu une fuite de données (2018 State of Cybersecurity in Small and Medium Size Businesses, Ponemon Institute).

Mais pas de panique. L’important est d’être conscient des risques et d’agir afin de prévenir les attaques. Renforcer votre sécurité ne nécessite pas de faire un audit complet au coût élevé, des tests peuvent être menés pour sécuriser vos éléments clés (les plus sensible, les plus vulnérables) en fonction de votre situation. N’hésitez pas à nous contacter pour en discuter.

Tester votre sécurité permet de plus de grandir sur des bases saines. Vous pouvez lire cet article sur les bénéfices financiers de tester votre sécurité.