Les attaques de ransomware et de cryptolocker
Les attaques de logiciels malveillants, malwares, ransomware (rançongiciels) sont de plus en plus fréquentes et blocantes.
La croissance continue des mails (et donc des spams) y contribue abondamment, il n’est plus rare, en entreprise, de recevoir une centaine de mails par jour.
A celà, s’ajoute le facteur cryptomonnaies qui est un défaut dans la cuirasse actuelle de celles-çi car il permet à ce stade un anonymat propice à certains auteurs de cryptolockers. On a ici un sujet intéressant de gouvernance numérique pour l’avenir, mais ce n’est pas directement le propos de ce papier 😉
Le vol de données et la candeur numérique
La mise à jour systématique est une évidence,pourtant très souvent traitée par dessus la jambe, même par les structures les plus sensibles. Mossack Fonseca (Panama papers) par exemple s’est fait infitrer de la manière la plus benête : leur site sous WordPress avait au moins deux ans et demi de retard dans les mises à jour et une extension particulièrement vulnérable de ce fait.
C’est comme si ils avaient mis les clefs sous le paillasson et un post it “les clefs sont sous le paillasson” sur la porte d’entrée. Leur “coffre” était lui sous Joomla, un autre CMS, tout aussi mal maintenu, là, c’est carrément le post-it avec la combinaison qui trainait sur le coffre !
Mais, ni WordPress, ni l’éditeur d’extension, ni Joomla ne sont à mettre en cause, par contre le dirigeant de l’entreprise qui considère le digital comme “bidons casseroles” est directement responsable.
L’indolence digitale : un tueur d’entreprise
Il est vrai que je vois un peu partout (y compris auprès de nombreux gérants d’actifs) des sites et infrastructures informatiques considérées comme fonction ancillaire, le truc qu’on évite et qui ennuie.
Des sites non couverts par des certificats SSL (que l’on ne peut accéder en https), Les serveurs ou clients mail non sécurisés, les hébergeurs de mauvaise qualité, les outils obsolètes, les ordinateurs mal ou pas protégés sont légion.
Mais revenons à la simple réponse digitale à ces attaques
En principe, la parade de base est d’avoir un protocole de mises à jour systématique et un système de backups (sauvegardes) bien géré. Mais la vraie parade est d’utiliser une infrastructure logicielle insensible à ces risques.
Avec des postes de travail Linux (Red Hat ou Suse pour le BtoB, Xubuntu ou Manjaro pour le BtoC), ce genre de menace est quasiment évacuée, à la fois à cause de la robustesse de Linux et grâce à la réactivité impressionnante de la communauté open source. (cerise sur le gâteau, les protocoles de sauvegarde sont simplissimes).
Comme par ailleurs, la plupart des outils contribuant à la révolution digitale sont natifs sous Linux, le choix est de plus en plus évident : outre la sécurité, un environnement de production Linux favorise l’agilité face aux défis numériques.
C’est un sujet à notre portée !
Etre soumis à un vol de donnée ou à un ransomware sont deux risques tout aussi inacceptable, le dirigeant ne peut se dégager d’une telle faute : leur entreprise peut “sauter” en une semaine !
Bonne nouvelle
il n’est pas besoin de mettre les mains dans le cambouis : acquérir une culture digitale, obtenir l’œil du maître de La Fontaine par un coaching judicieux permet rapidement de savoir piloter les prestataires et identifier les meilleures stratégies.
Ceci ne peut être délégué : seul le décideur responsable doit s’y atteler. Il se trouve que du coup, non seulement le coût et risque potentiel sera sous contrôle, mais aussi que le budget peut s’en retrouver réduit !
Vous souhaitez piloter votre digital plutôt que le subir ? Je vous invite à m’en parler !