La cybersécurité n’est plus uniquement un sujet réservé aux experts et aficionados de nouvelles technologies. Aujourd’hui, les cas de cyberattaques font les gros titres des médias grand publics. Toute cyberattaque aura donc un impact sur l’image de l’entreprise et par conséquent sur la confiance que lui confère son écosystème. En plus de détériorer l’image de l’entreprise, les cyberattaques peuvent avoir des conséquences financières lourdes, comme nous l’avons vécu cet été lors de WannaCry et NotPetya qui auront généré au total des milliards d’euros de pertes pour les entreprises.
Pour éviter ces attaques aux conséquences onéreuses, les entreprises se concentrent bien évidemment sur la sécurisation de leurs infrastructures informatiques critiques, mais les cyber-attaques ne visent pas uniquement les vulnérabilités des réseaux, data centers et postes de travail. Les utilisateurs qu’ils soient internes ou externes à l’organisation sont une cible de choix pour les attaquants, qui usurpent l’identité de l’organisation ciblée afin de réaliser leur méfait.
La présence digitale d’une entreprise : un nouveau facteur de risque
Ces dernières années, la transformation digitale des entreprises s’est caractérisée, entre autres, par un développement exponentiel de la communication externe via le numérique ; les canaux de communication se sont multipliés et renforcés en tant que vecteurs privilégiés d’échange et d’interaction, révolutionnant la relation client et les échanges avec les partenaires. Pour être toujours plus proches près de ces derniers, les entreprises ont favorisé l’utilisation de la communication digitale via :
- Les emails
- La messagerie instantanée
- Les sites web institutionnels et applications web
- Les applications mobiles
- Les réseaux sociaux
Ces médias sont la vitrine de l’entreprise, ils lui permettent de se dépeindre, d’exposer et faire rayonner son image de marque, via les messages, les éléments de langage et l’impact graphique qui lui sont propres. Ils sont la personnification de l’entreprise et renvoient donc directement à sa valeur perçue. De plus, la digitalisation a permis de substituer en grande partie la relation physique par les services numériques, accessibles à toute heure, n’importe où dans le monde et via lesquels l’entreprise donne accès à sa communauté ainsi qu’à ses services et produits, permettant de dynamiser les interactions avec les utilisateurs, toujours plus simples, rapides et personnalisées.
Cette présence digitale accrue ayant permis aux entreprises de développer leur communication ainsi que l’accessibilité à leurs services, les canaux digitaux représentent donc directement l’entreprise et sont l’étendard de son image de marque. Mais il y a bien un revers à cette médaille : cette omniprésence digitale augmente la possibilité pour les attaquants d’usurper l’identité de la société à des fins malveillantes.
La dégradation de l’image de marque : dommage collatéral des cyberattaques
Lors d’une cyberattaque utilisant l’usurpation de l’identité de l’entreprise comme vecteur, les intentions des attaquants peuvent être diverses :
Certaines attaques ont pour objectif direct la décrédibilisation d’une entreprise, mettant ainsi en exergue une certaine incompétence de l’entreprise ou la supériorité d’un groupe malveillant qui souhaite imposer son idéologie antagoniste :
Sur les dernières années, ont eu lieu des cas de défacement de sites internet où le contenu des pages s’est retrouvé modifié pour transmettre de fausses informations et moquer les entreprises afin de nuire à leur image. En 2015, Lenovo en a fait les frais quand le groupe de hackers activistes Lizard Squad s’en est pris à son site web, en redirigeant les visiteurs vers des photos des protagonistes de l’attaque. Il est aussi possible pour les attaquants de publier de fausses informations sur un réseau social après le vol des identifiants du Community Manager. Un des faits marquants de 2017 a été la prise en main du compte Tweeter du ministère de la culture par un plaisantin distillant de nombreux tweets injurieux. Pour les entreprises victimes de ces attaques, les conséquences financières sont à prévoir : suite à ces évènements et annonces, les répercussions sur les ventes et le cours de la bourse sont toujours accompagnées d’un lourd impact sur l’image de marque.
Dans d’autres cas, l’identité de l’entreprise est cette fois détournée par les attaquants cherchant à dérober de l’argent. Dans ce cas, les attaquants se font passer pour l’entreprise afin de réaliser des fraudes visant directement les utilisateurs avec pour but de les duper :
Les arnaques au président sont en augmentation constante et permettent aux attaquants de détourner des sommes d’argent importantes en trompant les employés des directions financières qui pensent devoir exécuter un virement urgent pour un directeur ou membre du COMEX. En France, le préjudice total de cette fraude est estimé à plus de 400 millions d’euros par an.
Les employés des entreprises sont également la cible des campagnes de phishing, qui permettent de déclencher une charge virale contenue dans une pièce jointe ou un lien d’un e-mail paraissant familier. Le but peut être de déployer un cryptolocker pour demander une rançon, ou d’avoir une porte d’entrée sur le système d’information de l’organisation.
Les entreprises sont aussi touchées indirectement quand les campagnes de phishing utilisent leur nom de domaine pour envoyer de faux emails aux clients et leur demandent une mise à jour de leurs informations bancaires ou autres données personnelles pouvant avoir de la valeur.
La grande nouveauté pour la récupération de données client est l’utilisation de fausses apps mobiles imitant une application légitime par son logo et son interface mais agissant comme un logiciel espion (spyware) une fois installée sur le smartphone de l’utilisateur. Ainsi, une fausse application Whatsapp intégrant un malware a été téléchargée plus d’1 millions de fois sur le Google Play store au mois d’octobre 2017.
Dans un monde numérique où la confiance des clients, de plus en plus sensibles aux sujets cyber, se perd facilement, protéger son image et sa marque est donc devenu un enjeu majeur pour les entreprises, au même titre que la protection de ses infrastructures informatiques et ses données. Mais quelles sont les bonnes pratiques à mettre en place pour limiter ces risques d’usurpation ?
Des solutions dédiées et une veille organisée pour mieux se protéger
La protection de l’image de marque d’une entreprise passe ainsi nécessairement par la protection des canaux de communication digitaux. Dépendant de la typologie du canal, différentes actions peuvent être entreprises :
- L’organisation de veille sur les noms de sites web, d’adresses email et de comptes de réseaux sociaux similaires à celui de l’entreprise est une pratique conseillée par l’ANSSI pour lutter contre l’usurpation de la marque, de même que la surveillance des « Dark App store » mettant à disposition des utilisateurs des versions piratées et potentiellement malveillantes d’applications mobiles de l’entreprise.
- La réalisation régulière d’audits et l’utilisation de scanners de vulnérabilité sur les sites institutionnels et les applications mobiles permet l’identification des vulnérabilités qui seraient des points d’entrées lors d’une cyberattaque. Les mesures de correction nécessaires peuvent alors être mises en œuvre pour sécuriser ces médias notamment contre le défacement.
- L’implémentation d’authentification multi-facteurs pour les comptes des administrateurs des services email et des réseaux sociaux permet de réduire le risque d’usurpation de session par le simple vol d’identifiants. Le risque d’une publication ou du partage de contenus malveillants se retrouve ainsi limité, de même que le vol de données sensibles accessibles via les boîtes mails, comme ce fut le cas en 2017 pour le cabinet Deloitte. En effet, plus de 5 millions d’emails contenant des échanges sensibles avec leurs clients ont été dérobés, suite au vol des identifiants d’un de des administrateurs du cabinet
- L’activation de protection comme SPF, DKIM ou DMARC permet d’empêcher l’usurpation des adresses emails de l’entreprise. En effet, ces protocoles permettent de protéger les noms de domaine de l’entreprise en déclarant les adresses IP légitimes pour l’envoi d’emails et en implémentant des mécanismes de signature des emails pour les certifier. Ces protocoles garantissent qu’on ne puisse pas utiliser le nom de domaine de l’entreprise depuis un serveur non déclaré.
L’exposition de l’identité des entreprises ayant été favorisée par la digitalisation, les attaquants et cyber activistes en profitent donc pour attaquer les entreprises et leur écosystème en se faisant passer pour celles-ci. Dans l’ensemble de ces attaques et fraudes, l’attaquant arrive par des moyens plus ou moins complexes à usurper l’identité de l’entreprise pour l’attaquer et à la fragiliser. Une dégradation de l’image de marque d’une entreprise auprès de ses clients mais également du grand public, peut provoquer des pertes financières se chiffrant millions d’euros, auxquels s’ajoutent les pertes faramineuses qu’une attaque paralysant le SI de l’entreprise engendre.
Le sujet de la protection de l’identité digitale des entreprises, quelle que soit sa forme, doit donc être adressé afin qu’elles se prémunissent des fréquentes et coûteuses usurpations dont elles sont victimes.
