FacebookXLinkedInBlueSky

Cyberattaques et IA : se protéger efficacement contre les nouvelles menaces

L’essor de l’intelligence artificielle (IA) a révolutionné de nombreux domaines, mais il a aussi offert de nouvelles opportunités aux cybercriminels. Les entreprises se trouvent aujourd’hui confrontées à des attaques plus sophistiquées, orchestrées par des technologies capables d’apprendre, de s’adapter et de contourner les mécanismes de sécurité traditionnels. Cette réalité appelle une refonte des stratégies de cybersécurité pour faire face à une menace qui ne cesse d’évoluer.

Une évolution des cybermenaces grâce à l’IA

L’intelligence artificielle est exploitée de manière croissante par les cybercriminels, leur permettant de développer des attaques plus réactives et précises. Parmi les applications les plus répandues, on trouve l’automatisation des campagnes de phishing. L’IA est capable de générer des e-mails et des messages personnalisés qui imitent les habitudes linguistiques de leurs cibles. Ces attaques deviennent ainsi plus convaincantes et plus difficiles à détecter.

L’IA permet également de déployer des bots malveillants sophistiqués, capables d’interagir avec des systèmes en ligne pour voler des informations sensibles. Par exemple, des attaques utilisant des chatbots frauduleux se sont multipliées, imitant parfaitement les services clients pour piéger les utilisateurs.

Par ailleurs, l’IA est utilisée pour créer des malwares intelligents, capables de se modifier en temps réel pour contourner les antivirus. Ces logiciels malveillants peuvent également apprendre des réactions des systèmes de sécurité, s’améliorant à chaque tentative d’intrusion. À cela s’ajoute le développement de deepfakes, utilisés pour compromettre l’identité de dirigeants ou d’employés et accéder à des informations sensibles. Des exemples incluent l’usurpation vocale ou vidéo, où un individu peut être persuadé de donner un accès privilégié à des systèmes.

Enfin, certains cybercriminels se servent de l’IA pour lancer des attaques par déni de service (DDoS) plus efficaces, en utilisant des réseaux de machines compromises optimisés par des algorithmes adaptatifs. Ces attaques sont plus difficiles à contrer en raison de leur rapidité d’exécution et de leur capacité à contourner les défenses traditionnelles.

Des conséquences alarmantes pour les entreprises

Les cyberattaques alimentées par l’IA ont des répercussions profondes sur les entreprises.

En 2024, plusieurs entreprises françaises ont été victimes de cyberattaques notables. Par exemple, le groupe Atos a été ciblé par le collectif cybercriminel Space Bears, qui a revendiqué un vol de données, entraînant une enquête approfondie de la part d’Atos. De plus, le journal « La Croix » et le Groupe Bayard ont subi une attaque par rançongiciel en septembre 2024, perturbant fortement leurs systèmes de rédaction, de production et de commercialisation.

De même, Orange  a été ciblée par une campagne de phishing automatisée. L’IA a permis aux attaquants de créer des e-mails personnalisés qui ont trompé plusieurs employés, résultant en une fuite massive de données sensibles. EDF, dans le département de l’énergie renouvelable, a vu ses communications internes compromises par des deepfakes, à travers lesquels des cybercriminels ont usurpé l’identité de cadres dirigeants pour accéder à des informations stratégiques.

Les pertes financières associées à ces attaques atteignent des sommets, avec une estimation mondiale de 10 500 milliards de dollars à ce jour. Cependant, les conséquences ne sont pas uniquement économiques. Une atteinte à la réputation de l’entreprise peut réduire la confiance des clients et des partenaires, mettant en péril les relations d’affaires. En outre, les interruptions des activités causées par des cyberattaques peuvent entraîner des pertes irréversibles en termes de production et de service.

Les solutions pour contrer ces menaces

Pour faire face à cette évolution des risques, les entreprises doivent réviser leurs stratégies de cybersécurité en adoptant des technologies basées sur l’IA. Ces outils permettent de détecter proactivement les menaces grâce à l’analyse en temps réel de volumes de données massifs. Par exemple, des systèmes de surveillance alimentés par l’IA identifient les comportements anormaux sur un réseau, révélant ainsi précocement les activités malveillantes.

En parallèle, l’automatisation des réponses aux incidents permet de réagir rapidement et efficacement. Un système basé sur l’IA peut isoler un segment de réseau compromis ou neutraliser une attaque en cours avant qu’elle ne cause des dommages significatifs. Par exemple, une entreprise à Toulouse a évité des pertes importantes grâce à une technologie d’IA qui a rapidement bloqué une attaque par ransomware en cours.

L’analyse prédictive est une autre capacité essentielle : elle aide à anticiper les schémas d’attaques à partir des données historiques et à ajuster les défenses en conséquence. Des entreprises comme Airbus ont investi dans des plateformes utilisant le machine learning pour anticiper les cyberattaques sur leurs infrastructures critiques.

Les systèmes d’authentification renforcée basés sur l’IA offrent également une protection supplémentaire. Ces solutions, en évaluant des paramètres comme les habitudes d’utilisation ou la localisation, peuvent détecter les connexions suspectes et alerter immédiatement les administrateurs.

Enfin, les simulations régulières d’attaques informatiques, orchestrées par des systèmes d’IA, permettent aux entreprises de tester leurs défenses et d’identifier les points faibles avant qu’ils ne soient exploités par des cybercriminels.

Intégrer l’IA dans la stratégie de cybersécurité

Pour tirer parti de ces innovations, les entreprises doivent combiner l’IA avec l’expertise humaine. Les outils d’IA ne remplacent pas les analystes, mais les complètent en améliorant la précision et la rapidité des décisions. Il est crucial de former les équipes de cybersécurité pour qu’elles comprennent ces nouvelles technologies et sachent les exploiter efficacement.

Investir dans des solutions d’IA robustes est une autre priorité. Les entreprises doivent évaluer soigneusement les technologies disponibles pour s’assurer qu’elles répondent aux besoins spécifiques de leur secteur. En outre, collaborer avec des partenaires spécialisés en cybersécurité peut permettre d’accéder à des solutions plus avancées et à une expertise supplémentaire.

Ce qu’il faut en retenir

La montée en puissance de l’intelligence artificielle transforme le paysage de la cybersécurité, offrant à la fois des opportunités pour renforcer les défenses et des risques amplifiés par des cyberattaques plus sophistiquées. Les entreprises sont confrontées à des menaces allant du phishing personnalisé aux malwares intelligents, en passant par des deepfakes compromettant leur sécurité interne.

Pour se protéger, il est essentiel de combiner des solutions basées sur l’IA – telles que la détection proactive des anomalies et l’automatisation des réponses aux incidents – avec une expertise humaine. Former les équipes et investir dans des technologies robustes sont des étapes indispensables. Des cas récents, comme ceux d’entreprises françaises ayant subi des attaques de ransomware ou des usurpations d’identité via deepfake, montrent à quel point ces menaces peuvent être dévastatrices si elles ne sont pas anticipées.

En adoptant une approche proactive, qui conjugue technologie avancée et résilience organisationnelle, les entreprises peuvent non seulement protéger leurs actifs, mais aussi bâtir un cadre numérique plus sûr et plus compétitif.

2025-01-03T07:54:14+01:002 janvier 2025|Catégories : Conseil, ETI, GE, PME, TPE|Mots-clés : |0 commentaire
Lire la suite

Demain, l’intelligence artificielle va démultiplier les cyberattaques et encore plus fragiliser les entreprises

Une équipe de chercheurs en cyber prédit l’arrivée de malware basés sur l’intelligence artificielle d’ici 2028. S’il est trop complexe de les développer pour l’instant, ces programmes risquent de piéger plus efficacement les victimes et d’étendre les attaques à une échelle plus importante.

L’intelligence artificielle est utilisée pour détecter des menaces de cybersécurité. Ce n’est qu’une question de temps avant qu’elle ne soit aussi utilisée au service des pirates. Dans cinq ans environ, on devrait assister aux premières attaques du genre, prédisent les chercheurs en cyber de WithSecure, en partenariat avec l’Agence finlandaise, dans un rapport publié ce 14 décembre.

Actuellement, les pirates utilisent des failles connues dans les interfaces pour piéger leur victime et déposer leur malware. L’intelligence artificielle demande des ressources pour être développée, et donc des spécialistes capable de les programmer. Pour l’instant, les ransomwares sont assez efficaces et rapportent des millions aux pirates, mais les solutions de cybersécurité se multiplient aussi, et les secteurs les plus sensibles — avec les données les plus intéressantes — investissent dans leur protection.

Dans ce jeu du chat et de la souris, les intelligences artificielles seront un coup de pouce conséquent pour les hackers. Puisque l’IA fonctionne à partir d’une base de données, les développeurs devront programmer le logiciel pour qu’il trouve une solution dans divers scénarios.

Les nombreux dangers de l’IA

Les chercheurs de WithSecure et de l’agence finlandaise ont listé tous les avantages d’un malware basé sur l’IA :

  • La rapidité d’exécution : l’IA peut être utilisée pour automatiser des tâches qui sont aujourd’hui effectuées manuellement, comme l’extraction d’informations ou la découverte de vulnérabilités dans les logiciels. Ces missions peuvent être exécutées sur une machine à un rythme beaucoup plus rapide.
  • Une meilleure préparation : les cyberattaques fondées sur l’IA peuvent analyser et raisonner sur de plus grandes quantités de données, et donc explorer davantage de potentielles vulnérabilités. Alors qu’un humain peut rater des informations, le programme peut optimiser la recherche et ne négliger aucune piste.
  • Une infiltration sophistiquée : le phishing ciblé peut être personnalisé en fonction des victimes, s’adapter aux comportements et se fondre aux usages du système. Elles pourront également s’ajuster à différentes interfaces et apprendre pendent leur infiltration. Si la première attaque n’est pas la bonne, la seconde sera plus efficace.
Exemple de phishing
  • Une attaque plus étendue : un pirate pourra lancer des opérations automatisées contre de nombreuses cibles simultanément. L’attaque sera tout de suite propulsée à plus grande échelle avec de nombreuses personnalisations et des cibles différentes.

Dans de nombreux cas, l’IA pourra aider le hacker à piéger la victime, sans forcément rentrer dans le système. Les deep fake ainsi que le vishing — l’hameçonnage par la voix au téléphone — sont déjà des méthodes utilisées et sont amenées à se développer à l’avenir. Quelles que soient les avancées technologiques, les humains finissent toujours par y trouver un usage malveillant.

Source : numerama

2022-12-18T06:41:56+01:0018 décembre 2022|Catégories : Digital, ETI, GE, PME, TPE|Mots-clés : , |0 commentaire
Lire la suite

Devant la multiplication des attaques informatiques, il est urgent que les TPE et PME prennent conscience du risque

Une prise de conscience du risque cyber est devenue nécessaire pour prendre efficacement en charge les risques opérationnels et financiers que font peser les menaces informatiques sur nos économies.

L’année 2021 aura été l’année de tous les records en matière de cyberattaques. Avec 37% d’attaques en hausse sur l’an passé et un conflit international en cours, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est en état d’alerte maximale et appelle toutes les entreprises à mettre en place les 5 mesures cyber préventives prioritaires.

Même si aucune aggravation n’a été détectée depuis le début du conflit russo-ukrainien, le risque d’attaques systémiques est toujours d’actualité. Depuis 2020 et la crise du COVID, les techniques d’intrusion ne cessent de se complexifier, et les TPE et PME sont devenues les victimes n°1 des hackers. Une cible certes moins lucrative que les grands groupes, mais plus facile à atteindre, car, le plus souvent, moins bien protégée.

Une prise de conscience du risque cyber est devenue nécessaire pour prendre efficacement en charge les risques opérationnels et financiers que font peser les menaces informatiques sur nos économies.

Les TPE et PME en première ligne face à un écosystème criminel en pleine mutation

Aujourd’hui, la question n’est plus de savoir si une entreprise va se faire attaquer, mais quand ? Les chiffres sont sans appel. Avec une augmentation de +255% de ransomware (rançongiciel) en 2020, la France est aujourd’hui le 3è pays le plus touché par ce fléau et les principales victimes sont… des TPE et PME. Ce virus qui prend en otage les données d’une entreprise et qui exige une rançon en échange de leur restitution est principalement rendu possible grâce à la technique du phishing (hameçonnage). Il s’agit de la technique d’attaque la plus répandue. Elle a pour spécificité de ne pas exploiter de vulnérabilité technique du système informatique, mais les faiblesses de l’être humain pour aboutir à ses fins : il suffit d’un collaborateur qui transmet ses données d’authentification ou télécharge une pièce jointe vérolée via un mail frauduleux pour que l’activité de l’entreprise soit mise à mal.

D’autres types d’attaques font rage aux côtés des ransomware : piratage de site internet, détournements de fonds, vols de données, fuites de données, usurpation d’identité… Les cybercriminels vont également utiliser des failles techniques pour s’introduire dans le système informatique d’une entreprise : un système qui n’a pas été mis à jour ou un serveur mal configuré peuvent facilement faire basculer l’activité de l’entreprise. À cela viennent s’ajouter les vulnérabilités appelées “zero-day”, ces failles techniques jusqu’alors inconnues exploitées par les hackers pour s’introduire dans le système sont en forte augmentation, d’après l’ANSSI.

Aussi, les petites et moyennes entreprises doivent aujourd’hui lutter contre deux types de vulnérabilités pour se prémunir des cyberattaques et protéger leurs données. Les vulnérabilités humaines et les vulnérabilités techniques. Le combat doit se mener sur ces deux fronts. Or, les TPE et PME peinent à se protéger et à mettre en place une bonne hygiène cyber par manque de temps, manque de ressources et de moyens financiers.

Des pertes financières qui peuvent être fatales pour les TPE-PME

Prendre le risque de ne pas se protéger, c’est prendre le risque de perdre 27% de son chiffre d’affaires et de ne jamais se relever après avoir subit une cyberattaque, souligne le dernier baromètre d’Anozr Way. Des faits qu’il est temps de prendre très au sérieux dans le contexte propice aux cyberattaques que nous vivons depuis le début de la crise sanitaire.

D’après le baromètre CESIN 2022, le secteur de la vente en ligne et le secteur financier sont actuellement les plus touchés par les intrusions qui portent atteinte à leurs données avec respectivement 52% et 43% d’attaques réussies. Des chiffres alarmants à mettre en perspective avec les pertes financières engendrées et le danger que cela représente pour la pérennité de nos économies.

Pour éviter que la situation ne continue de s’aggraver, il devient urgent que chaque entreprise consacre le temps et alloue les ressources humaines et financières nécessaires à sa protection.

En matière de cybersécurité, le risque zéro n’existe pas

Prendre conscience du risque passe bien évidemment par la mise en place des bonnes pratiques de cybersécurité. L’ANSSI œuvre énormément à ce sujet en encourageant les entreprises à protéger leurs systèmes informatiques (renforcer l’authentification, accroître la supervision des données) et à mettre en place le minimum pour être prêt en cas de cyberattaque (mise en place de sauvegardes hors ligne et d’un plan de continuité d’activité).

Cependant, cela ne suffit pas pour être efficacement protégé. Une meilleure hygiène cyber permet de réduire le risque, mais n’empêchera pas une attaque par phishing de réussir. Une campagne de sensibilisation aux techniques de phishing permet également de réduire le risque, mais pas d’éradiquer celui-ci. En matière de cybersécurité, le risque zéro n’existe pas.

L’assurance cyber : un indispensable trop souvent négligé

L’assurance cyber est à considérer comme une brique évidente et complémentaire aux bonnes pratiques cyber pour protéger l’activité des petites et moyennes entreprises. Il s’agit aujourd’hui du seul moyen d’être accompagné dans la remise en état du système informatique, remboursé des pertes d’exploitation subies et d’être couvert en cas de dommages causés à des tiers comme une fuite de données confidentielles.

Même si les assureurs cyber traditionnels restent frileux quant à la couverture d’un risque qu’ils ne maîtrisent pas, il existe aujourd’hui de nouveaux acteurs sur le marché qui proposent une assurance cyber accessible et adaptée au plus grand nombre de TPE et PME. Une assurance qui devrait être encouragée par les pouvoirs publics et proposée par tous les courtiers en assurance pour prévenir la propagation des virus au sein de l’écosystème économique français.

Une prise de conscience du risque cyber est indispensable… tant qu’il est encore temps.

Source : JDN

2022-05-04T13:54:14+02:004 mai 2022|Catégories : Digital, PME, TPE|Mots-clés : , , , , |0 commentaire
Lire la suite

Conflit ukrainien : les 10 recommandations de cybersécurité pour protéger les entreprises

En réponse à l’évolution du conflit russo-ukrainien, plusieurs agences gouvernementales ont publié des recommandations pour renforcer la cybersécurité. C’est le cas de l’Anssi (agence nationale de la sécurité des systèmes d’information) en France qui vient de rendre un rapport sur l’état de la menace et les bonnes pratiques à adopter.

Aux Etats-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) a récemment publié un avis intitulé Shields Up. L’agence rappelle que « au cours de la dernière décennie, le gouvernement russe a utilisé le vecteur cyber comme élément clé de sa réponse militaire » et elle prévient que la Russie pourrait envisager des actions visant à perturber l’extérieur de l’Ukraine. Alors, que faut-il faire pour protéger son entreprise ? Inutile de se précipiter et d’apporter des changements radicaux à son réseau. Mieux vaut profiter de ces événements pour faire un audit de l’état du réseau et programmer des changements futurs. Voici quelques-unes des actions à entreprendre, selon les deux agences :

1. Revoir et mettre à jour ses plans de réponse aux incidents

Il est important de passer en revue la planification des réponses aux incidents (IRP). Ces plans sont-ils à jour ? Prennent-ils en compte les dernières cyberattaques destructives menées par la Russie contre l’Ukraine ?

2. Renforcement des solutions et services de sécurité

Le guide intitulé « Hardening to Protect Against Destructive Attacks » (« Renforcement pour se protéger contre les attaques destructrices ») publié par l’entreprise de sécurité Mandiant contient de nombreux conseils qui méritent l’attention. Mandiant et la CISA recommandent en premier lieu aux entreprises d’examiner tous les accès distants de leur réseau et de mettre en place une authentification multifactorielle (MFA). Personne ne devrait pouvoir se connecter à distance sans une modalité d’authentification supplémentaire, en plus du mot de passe, soit via une application à deux facteurs, soit à l’aide d’un jeton qui fournit un code à saisir.

Même conseil de la part de l’Anssi qui prône une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents soit :

  • un mot de passe, un tracé de déverrouillage ou une signature
  • un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS).

3. Exploiter des sources externes d’informations sur les menaces

Que ce soit à l’aide d’un outil partagé entre collègues sur un forum ou une session de chat, il est important de partager des informations et d’échanger des conseils entre personnes ou communautés de confiance en privilégiant les informations spécifiques à son secteur d’activité. Len entreprises qui ne disposent pas de ce type de ressources peuvent s’informer via des canaux gouvernementaux comme Infragard aux États-Unis, et vers la ressource locale de sécurité informatique de leur pays. En France, ce rôle est assuré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les conseils et les informations du CISA, de l’Australian Cyber Security Centre et de l’UK National Cyber Security Center, pour ne citer que ceux-là, offrent également des ressources accessibles à tous.

4. Évaluer les risques de la connectivité Internet et réseau

Les entreprises qui se trouvent dans une zone à risque doivent se préoccuper de la sécurité de leur connectivité Internet et réseau. Selon plusieurs rumeurs, des banques et des entreprises ont été ciblées par des attaques en Ukraine. N’oublions pas que l’attaque par ransomware Maersk visait à l’origine les entreprises ukrainiennes. En juin 2017, NotPetya avait également ciblé des entreprises en Ukraine, s’en prenant spécifiquement aux institutions gouvernementales, financières et énergétiques.

5. Étudier les risques liés aux liens des entreprises et des infrastructures avec la Russie

Si l’un des déploiements dans le cloud de l’entreprise se fait sur des serveurs en Russie, celle-ci peut envisager de déplacer ses données vers un autre datacenter. Et si une entreprise utilise les services de développeurs de logiciels ou d’un support informatique basé en Russie ou dans des pays environnants, elle devrait aussi en évaluer l’impact sur son réseau, et s’interroger sur des alternatives éventuelles.

6. Rattraper son retard en matière de correctifs

Plusieurs campagnes de correctifs se sont succédées ces derniers mois, correctifs que certaines entreprises ont peut-être omis d’appliquer. Un passage en revue des vulnérabilités exploitées connues, en particulier celles identifiées et listées par la CISA, permet de s’assurer au minimum que ces correctifs ont été appliqués. Configurer son pare-feu en limitant l’accès aux seuls sites et lieux qui ont réellement besoin de se connecter au réseau de l’entreprise fait aussi partie des bonnes pratiques. Pour les services cloud, la tâche peut s’avérer plus complexe, mais pour les serveurs sur site qui ne fournissent pas de services à tous, le filtrage des accès selon des profils personnalisés constitue une bonne parade. Une limitation de l’accès du contrôleur de domaine à ceux qui ont vraiment besoin de se connecter au site est également une parade efficace.

7. Remonter la sécurité dans Microsoft 365

L’enregistrement de toutes les informations qui pourront fournir des renseignements utiles en cas d’attaque fait aussi partie des recommandations. Une entreprise à haut risque disposant d’un abonnement Microsoft 365 peut activer l’abonnement de sécurité E5 plus élevé pour certains de ses utilisateurs, mais pas nécessairement pour tous. Les offres Microsoft 365 permettent aussi de mettre en place une journalisation, une investigation et une protection supplémentaires pour des utilisateurs spécifiques.

8. Tester les processus de sauvegarde et de restauration

En cas de restauration de ses systèmes, l’entreprise doit savoir si elle pourra restaurer un grand nombre de services en même temps. Pour cela elle doit disposer d’une liste de contrôle précisant toutes les étapes de la restauration. Il est préférable de tester à l’avance son processus de restauration. Estimer le temps qu’il faut pour restaurer un seul serveur et l’ensemble du réseau peut fournir un autre indicateur intéressant à l’entreprise.

L’Anssi ajoute dans ces recommandations des sauvegardes régulières de l’ensemble des données, y compris celles présentes sur les serveurs de fichiers, d’infrastructures et d’applications métier critiques.

9. Préparer le personnel IT et de sécurité à la gestion de crise

L’entreprise a tout intérêt à préparer son personnel IT à ce type d’évènement. La pandémie avait déjà mis de nombreuses ressources IT à rude épreuve, avec parfois des réductions dans les budgets. Il est important d’estimer l’état de ces ressources et la préparation du personnel sur les plans de réponse aux incidents pour réévaluer ses priorités. Quelle que soit sa taille, l’entreprise a tout intérêt à savoir de quelles options et de quelles ressources elle dispose.

Elle peut profiter de ce contexte pour faire des simulations et s’assurer qu’elle est prête à faire face aux risques. Des jeux de carte comme « Backdoors and Breaches », de l’éditeur Black Hills, permettent de générer des risques types et de tester les réactions à ces problèmes. Ces jeux permettent à l’entreprise de tester des scénarios réalistes, par exemple l’ingénierie sociale, la compromission de serveurs Web et le bourrage d’identifiants. Le gardien français rappelle des règles de bon sens. « Définir des points de contact d’urgence, y compris chez les prestataires de services numériques et s’assurer d’avoir les numéros en version papier est particulièrement utile dans ces situations ».

10. Évaluer les faiblesses du réseau

L’entreprise doit analyser son réseau externe et identifier ses faiblesses. Pour cela, elle peut faire appel à une équipe de pentesteurs ou à un consultant externe. Aux États-Unis, une entreprise qui travaille pour une administration fédérale, d’un état, locale, tribale ou territoriale, ou une entreprise d’infrastructure critique des secteurs public et privé, peut profiter gratuitement des services d’évaluation de la cybersécurité du CISA. Sinon, toute entreprise peut au minimum identifier les risques auxquels elle est potentiellement exposée à l’aide de moteurs de recherche publics capables d’identifier les vulnérabilités dans un réseau externe. Avec des outils comme Shodan et Censys, il est possible de savoir à quelles informations du réseau les attaquants ont accès.

Il est important pour chaque entreprise de passer en revue les risques auxquels elle est exposée et de savoir où se trouvent ses faiblesses. Les attaques complexes commencent souvent par une simple faille qu’un attaquant peut utiliser ensuite pour se faufiler, effectuer des mouvements latéraux, enquêter et attendre le bon moment pour lancer son attaque.

Source: le monde informatique

2022-03-05T14:20:30+01:006 mars 2022|Catégories : Conseil, Digital, ETI, GE, PME, TPE|Mots-clés : , |0 commentaire
Lire la suite

Plus de 700 millions d’euros par an perdus par les PME françaises à cause des cryptovirus

Une enquête menée par l’Institut de Recherche Technologique (IRT) System X auprès des PME et TPE françaises a évalué le coût des attaques par cryptovirus pour ces entreprises. Si le coût moyen de ces attaques est plus faible que les estimations généralement avancées, le nombre d’attaques réussies est en revanche plus élevé, ce qui se traduit par un coût global non négligeable.

Entre 2016 et 2019, System X a suivi une soixantaine de petites PME françaises victimes de cyberattaques, toutes régions et tous secteurs confondus.

Les attaques les plus souvent rencontrées sont les rançongiciels de type cryptovirus, avec une probabilité de 2 à 5% d’être touchée pour une PME de moins de 50 salariés (ce qui représente entre 100 000 et 250 000 entreprises victimes par an). Viennent ensuite les fraudes au président et les faux ordres de virements. Les autres attaques recensées sont pour la plupart des attaques ciblées : escroquerie au faux support technique, fraude aux sentiments, usurpation d’identité, défaçage d’un site web, prise de contrôle de messagerie, piratage téléphonique, mauvaise protection des caméras, captation de nom de domaine ou vol de compte bancaire. Très peu d’attaques par déni de service (DDos) ont été rencontrées.

1 – Rançonnage par cryptovirus : un coût médian avoisinant le millier d’euros

En termes d’impact financier, le coût moyen pour une TPE s’évalue actuellement en milliers d’euros par attaque réussie, alors que les chiffres communiqués jusqu’à présent laissaient supposer des dizaines, centaines voire millions d’euros. La médiane se situe autour d’un millier d’euros, ce qui montre que beaucoup d’attaques réussies se résolvent pour un coût relativement faible, en particulier quand les sauvegardes ne sont pas touchées. Le montant total pour les entreprises victimes de cryptovirus s’élève néanmoins à 700 millions d’euros par an.

2 – Des préjudices indirects souvent mal estimés

À cela s’ajoute souvent un préjudice au niveau humain fréquemment sous-estimé, comme la fragilisation des collaborateurs ayant introduit le virus dans l’entreprise, ou la perte de cohésion du groupe. En revanche, l’impact sur l’image de l’entreprise reste assez limité, hormis les cas où l’attaque intervient à un moment important pour l’entreprise, comme le lancement d’un nouveau produit.

3 – Les failles de l’écosystème, une porte d’entrée de choix

Fait notable, les déficiences externes font jeu égal avec les déficiences externes pour expliquer pourquoi ces attaques réussissent. Plusieurs d’entre elles proviennent en effet de manquements au niveau de l’écosystème des entreprises, notamment du côté des prestataires ou éditeurs informatiques, des opérateurs télécom, des fournisseurs de messagerie, mais aussi des électriciens et banquiers.

Dans la majorité des cas, ces attaques étaient évitables grâce des mesures de sécurité simples et d’un coût abordable, rappelant l’importance pour toute entreprise de mettre en place un ensemble de bonnes pratiques en termes de cybersécurité.

« Initiée dans le cadre du projet EIC (Environnement pour l’Interopérabilité et l’Intégration en Cybersécurité), cette enquête remet en cause les chiffrages habituels, ce qui modifie la vision à porter sur le cyber-risque », souligne Gilles Desoblin, Responsable de la thématique Défense et Sécurité à l’IRT SystemX. Pour le chercheur Philippe Laurier, spécialiste des questions d’intelligence économique à l’IRT SystemX et chargé de cette enquête, « beaucoup de victimes ont fait part de leur surprise lors d’une attaque car de bonne foi, elles pensaient avoir déployé des protections suffisantes. L’ignorance principale ne tient plus en une sous-estimation des attaques mais en une surestimation des défenses. »

Source : Enquête de l’IRT System X – itsocial

2019-07-03T09:52:17+02:003 juillet 2019|Catégories : Digital, PME, TPE|Mots-clés : , , |0 commentaire
Lire la suite

Cybersécurité : plus de neuf entreprises françaises sur dix pas prêtes en cas d’attaque

Selon un rapport de la compagnie d’assurances Hiscox, les cyberattaques ciblant les entreprises ont augmenté en 2018 dans plusieurs pays dont la France. Un problème pour les sociétés hexagonales : seules 6% d’entre elles sont considérées comme « expertes » en sécurité informatique.

Les cyberattaques ont franchi un nouveau degré d’intensité l’année dernière selon un rapport de la compagnie d’assurance Hiscox. Plus de trois entreprises sur cinq ont été la cible d’une ou plusieurs attaques lors de ces 12 derniers mois. Un chiffre en augmentation, tout comme la fréquence de ces attaques. Problème : peu de sociétés sont considérées comme étant « préparées », bien qu’elles commencent à s’organiser face à une menace sans cesse croissante.

L’étude a été menée sur un échantillon de 5400 entreprises dans sept pays différents. Chacune a été évaluée sur leur stratégie en matière de cybersécurité et sur l’exécution de cette stratégie. Le résultat est alarmant : au niveau mondial, seulement 10% de ces sociétés ont des scores suffisamment élevées pour être considérées comme prêtes à faire face à une cyberattaque. Et la France fait figure de mauvaise élève : plus de huit entreprises hexagonales sur dix (81%) ont obtenu le niveau « novice » et 13% le niveau « intermédiaire ». Seules 6% d’entre elles sont ainsi qualifiées d' »expertes ».

« Les PME sont tout aussi vulnérables que les grandes entreprises »
Astrid-Marie Pirson, Hiscox France

Cette menace est devenu un enjeu majeur pour toutes les entreprises, quelle que soit leur taille, assure Astrid-Marie Pirson, directrice technique de la souscription chez Hiscox France : « Les résultats de cette année montrent bien que les PME sont tout aussi vulnérables que les grandes entreprises. » Ces dernières restent cependant très touchées en termes de préjudice financier consécutif aux attaques.

Si le coût a augmenté de manière générale, les chiffres sont particulièrement impressionnants chez les grandes sociétés avec une moyenne des pertes qui culminent à 621.838 euros. Toujours d’après le rapport, les entreprises allemandes sont celles qui ont le plus souffert, l’une d’elles a par exemple déclaré une perte totale de 42 millions d’euros sur l’année.

De plus en plus de moyens alloués

La compagnie d’assurance estime qu’il y a tout de même de bonnes raisons d’être optimiste pour le futur : « Nous voyons plus d’entreprises avoir une approche un peu mieux structurée pour lutter contre cette menace. Elles mettent en place une stratégie de cybersécurité et se préparent mieux aux attaques, avec la volonté notamment de s’équiper d’une véritable police cyber autonome. »

Et de fait, l’étude indique que les dépenses en matière de cybersécurité augmentent. Elles s’élèvent désormais à 1,28 millions d’euros en moyenne dans l’ensemble des entreprises interrogées, soit une hausse de 24% par rapport à l’année précédente. Un chiffre destiné à évoluer, puisque deux tiers des sociétés interrogées ont indiqué qu’elles envisageaient d’augmenter leur budget en la matière pour l’année à venir.

Dans le même temps, la part des entreprises sans service dédié a, elle, diminué de moitié, celles qui ont subi une attaque ayant tendance à changer leur stratégie après l’incident. Sans compter l’entrée en vigueur en Europe du règlement général sur la protection des données – le fameux RGPD – en mai 2018, qui a également poussé 84% d’entre elles à s’adapter aux nouvelles contraintes de sécurité.

Source : LCI

2019-04-27T07:30:26+02:0027 avril 2019|Catégories : Digital, ETI, GE, PME, TPE|Mots-clés : , , , |0 commentaire
Lire la suite

Des applis qui changent la vie des TPE-PME

Les entrepreneurs ont l’embarras du choix : une multitude de services en ligne existent pour gérer les factures, alimenter les réseaux sociaux, trouver des clients…

Gérer les factures, alimenter les réseaux sociaux, trouver des clients… Le quotidien d’une entreprise est rythmé de tâches, parfois fastidieuses, qui peuvent être déléguées. Une myriade d’applications et de plates-formes, gratuites ou payantes, répondent à ces besoins. A commencer par WhatsApp, dont les discussions de groupe fluidifient la communication interne, à l’occasion d’un salon par exemple.

A l’instar de la filiale de Facebook, dont la version « business » vise « les propriétaires de petites entreprises », d’autres géants comme Microsoft leur proposent des « solutions 100 % digitales ». Si son tableur Excel semble dépassé car jugé trop lourd, la multinationale a créé, entre autres, un PowerPoint traduit dans plus de 60 langues. Merci l’intelligence artificielle.

En parallèle, des start-up planchent sur des algorithmes capables de ranger puis analyser, (presque) en temps réel, une masse de données d’une même entreprise. Des devis aux notes de frais en passant par les mouvements bancaires… Moins le nez dans la paperasse, les entrepreneurs abonnés à ces applis se concentrent davantage sur leur cœur de métier.

Enfin, la révolution numérique bouleverse aussi l’animation au sein de l’entreprise ou encore la prospection. Avec le même objectif : gagner du temps.

Être à la page sur les réseaux sociaux

La solution Artur’in remplace le community manager/Artur’in

Pas le temps de vous faire connaître sur les réseaux sociaux et encore moins les moyens de vous payer un community manager ? Artur’in se charge de vous rendre visible sur la Toile. A partir de 99 € par mois, cette solution basée sur l’intelligence artificielle « crée un blog, une newsletter mensuelle, gère les campagnes mails et sélectionne chaque jour parmi 90 000 articles ceux qui correspondent à votre activité pour alimenter vos réseaux sociaux (Google My Business, Facebook, Linkedln, Twitter) », précise Paul Lemonnier, responsable marketing de la start-up. « Ce service de proximité est très ciblé et permet un travail de fond qu’il me serait impossible de faire, estime Yann Kahil, gérant de l’agence Batignolles Immobilier à Paris. L’information diffusée à mes prospects et clients est de qualité et pertinente, cela m’économise un emploi à mi-temps… En six mois, deux anciens clients sont revenus vers moi grâce à Artur’in ».

Gérer congés et notes de frais

Figgo, le logiciel des congés payés et des RTT./DR

La start-up Lucca a développé tout une série de solutions pour simplifier la vie des entreprises dont Figgo, en matière de gestion administrative des congés et RTT, et Cleemy, pour les notes de frais. Ses outils sont accessibles en ligne sur abonnement (3,20 € par salarié-utilisateur et par mois pour une entreprise de 20 personnes, hors coûts d’installation à partir de 1 000 €). Ils permettent à chaque collaborateur, où qu’il soit, de poser ses congés, de consulter son solde de RTT et d’en finir avec les justificatifs papiers. La photo d’une addition ou d’un ticket de péage prise à partir de l’application pour smartphones suffit à créer une dépense. Dotée de la reconnaissance optique des caractères, Cleemy saisit immédiatement sa date, son lieu et ses montants (hors et avec TVA). « Les entreprises n’ont plus besoin de stocker leurs justificatifs papiers, souligne Marie Lambert, responsable commerciale chez Lucca. Nous disposons de la certification par cachet serveur d’un tiers de confiance qui garantit l’intégralité et l’horodatage de chaque ticket numérisé en cas de contrôle. »

Ravie de ne plus jongler avec les fichiers Excel, la biscuiterie Michel et Augustin (120 salariés) ne peut plus s’en passer. « Ces outils ont révolutionné notre manière de travailler : on économise un tiers de notre temps de travail, on évite les multiples saisies manuelles et les erreurs qui vont avec », explique sa responsable RH, Clémence Delacommune.

Tester un marché à l’export sans se déplacer

La TPE Céline Robert Chapeaux utilise la plate-forme Oohee pour vendre ses couvre-chefs en dehors de nos frontières/DR

Pour la TPE sarthoise Céline Robert Chapeaux, la plate-forme Oohee, qui met en relation des entreprises et des expatriés établis dans 150 pays, est une aubaine. « Avec la fondatrice, on voyage déjà beaucoup et on n’a pas le temps d’aller partout dans le monde », explique Axelle Jarrossay, la directrice commerciale. Le fabricant de couvre-chefs, qui réalise 80 % de son chiffre d’affaires à l’export, cherche actuellement un francophone installé au Japon. Plusieurs candidats de la communauté des 7 500 « Ooheers » ont postulé. Branché mode et commerce international, l’heureux élu devra visiter deux salons puis envoyer un rapport détaillé. Objectif ? Savoir si ces événements méritent le déplacement en vue des prochaines éditions. « On veut mieux connaître le marché japonais, mais économiser des allers-retours en avion et des nuits d’hôtel », savoure Axelle Jarrossay. Coût de la mission : 750 €, soit 500 € bruts pour l’expatrié et 250 € de commission.

Des PowerPoint traduits en temps réel

Hors de question pour Microsoft de se laisser distancer en matière d’innovations. « Chaque année, notre offre business s’étoffe d’une centaine de nouvelles fonctionnalités », souligne Carole Benichou, directrice de la division Microsoft 365 du groupe en France. Son logiciel PowerPoint (à partir de 8,80 € HT par utilisateur/mois) propose depuis peu la traduction instantanée d’une présentation dans plus de 60 langues. « L’intelligence artificielle (IA) analyse le document et le traduit aussitôt dans le respect de sa mise en page et quel que soit le nombre de ses slides », souligne-t-elle. Mieux encore, l’IA permet de traduire en temps réel les propos de l’orateur pendant sa présentation. Le sous-titrage apparaît alors en bas de la présentation PowerPoint. Et dans le cas où l’auditoire parle plusieurs langues, chacun pourra lire ses propres sous-titres depuis l’écran de son smartphone (après lecture d’un QR Code généré au lancement du PowerPoint).

Cogérant du cabinet de conseil Vaersus (9 salariés), Vincent Lemière l’a adopté pour prospecter à l’étranger : « L’IA affine sa traduction à la fin de chaque phrase en tenant compte du contexte général, y compris en y intégrant des expressions propres à chaque secteur professionnel. Cela nous permet de profiter de sous-titres fidèles dans les différentes langues de nos clients ».

Mieux gérer ses comptes bancaires

Compatible avec 350 banques, l’application Bankin’ permet de suivre l’historique de ses dépenses/DR

L’application Bankin’ facilite la gestion des comptes bancaires professionnels. Elle permet de suivre catégorie par catégorie l’historique de ses entrées et sorties d’argent, de créer une alerte en cas de dépassement d’un seuil et d’obtenir un prévisionnel mensuel. Contrairement aux applications bancaires, « notre algorithme apprend au fur et à mesure de chaque prélèvement et reconnaît les opérations répétitives, souligne Joan Burkovic, cofondateur de l’application lancée en 2011. Il peut prévoir votre solde à venir en fin de mois et anticiper un découvert en cas de non-paiement d’un fournisseur. »

Seul acteur indépendant du marché, Bankin’ est compatible avec 350 banques dans quatre pays et permet des virements entre dix d’entre elles. Son coût : 19,99 € par mois ou 99 € par an. Cet outil soulage au quotidien Jérôme, à la fois autoentrepreneur en services informatiques, salarié d’un grand groupe et gérant de son syndic de copropriété. « Disposer d’un historique de mes dépenses, de leur classement automatique par catégorie et d’un prévisionnel me soulage dans la gestion de mes cinq comptes, dans quatre banques différentes », assure-t-il.

Suivre un chantier au quotidien

Cet ouvrier qui pianote sur son téléphone vogue-t-il sur les réseaux sociaux au lieu de travailler ? Que nenni ! Il suit l’évolution du chantier. L’application Capeb, de la Confédération de l’artisanat et des petites entreprises du bâtiment, permet en effet de créer un dossier client, y ranger des devis et factures scannés mais aussi des photos afin de suivre l’évolution précise des travaux.

« C’est pratique avec les clients très procéduriers », note Sandrine Eudo, qui pilote les ressources humaines chez Eudo David, PME bourguignonne spécialisée dans le chauffage au bois. Autre avantage, les notifications concernant l’actualité de la profession : « J’utilise l’application pour l’aspect juridique, les nouvelles réglementations, le rappel des réunions de la Capeb et ses formations… Récemment, j’ai inscrit notre salariée à une session sur l’établissement des devis », raconte la femme du patron. Et d’annoncer la fin du syndrome de l’isolement chez l’artisan : « S’il a un souci avec un employé qui ne vient pas le matin, il se renseigne sur ce qu’il peut faire, sinon il appelle l’assistance juridique. » Dans cette appli, gratuite pour les adhérents de 25 antennes départementales de la Capeb, « tout est condensé », conclut-elle.

Une compta en temps réel

Factures, notes de frais… L’application Tiime permet à Sébastien Camus, consultant en web marketing, de suivre prélèvements, virements et autres mouvements d’argent, grâce à une connexion à son compte bancaire. Consultable via smartphone et ordinateur, chaque opération est classée par catégorie : restauration pour une addition, transport pour un billet de train… « Ce tableau de bord des dépenses courantes est complété par une répartition en temps réel du chiffre d’affaires », se félicite le client de Tiime. Outre les 500 € dépensés pour la réalisation de son bilan comptable annuel, ce dernier paie 99 € par mois pour ce service « avec prestation expertise-comptable », incluant les déclarations de TVA, des cotisations ou même procédures à la suite d’un déménagement du siège social. « Par an, cela me fait environ dix jours que je consacre au commercial et à la vie de famille. Pour un indépendant qui travaille du lundi au vendredi et parfois le soir, c’est utile pour la sérénité psychologique. »

Des réunions rapides et ludiques

« Ce n’est pas donné à tous de prendre la prendre la parole devant tout le monde. Parfois, il faut trouver des formes d’expression plus ludiques. » Eric Troussel, à la tête du cabinet de conseil Amnyos, dépense 561 € par an pour que ses consultants en politiques publiques auprès des collectivités utilisent Beekast. Cette application mobile vise à dynamiser un séminaire ou une formation. Concrètement, l’organisateur d’une réunion crée un sondage ou un quiz via son smartphone et les participants répondent depuis le leur. Questions et réponses sont projetées en direct sur un écran et visibles sur l’appli. Un compte-rendu sous forme de graphiques est consultable dès la fin de celle-ci. « Plus besoin, donc, de retranscrire les sondages papier de chaque participant dans un fichier. La synthèse immédiate permet d’analyser à chaud les résultats et de les envoyer rapidement aux clients. C’est une journée gagnée », conclut-il.

Source: Leparisien.fr

2018-09-13T11:30:00+02:0013 septembre 2018|Catégories : Digital, Gestion, PME, TPE|Mots-clés : , , , |0 commentaire
Lire la suite

TPE : 5 étapes simples pour choisir son logiciel comptable

En matière de logiciels de comptabilité, l’offre est grande et a beaucoup évolué ces dernières années. Comment s’y retrouver ? Quels critères doivent absolument être pris en compte ? Retrouvez un guide clair en 5 étapes et une liste-clé d’éléments à vérifier pour vous aider à faire le bon choix !

« Celui-là a l’air top, en plus il gère la liasse fiscale et prend en compte les dollars ! Ah par contre ça ne va pas aller niveau budget… Et celui-là ? Il a même une app mobile ! Mais tu as vérifié la conformité légale et le nombre d’utilisateurs ? »

Startups, PME, TPE : ce moment est souvent autant attendu que redouté. Choisir un logiciel de comptabilité est une décision-clé de la vie d’une entreprise, qui amène un gain d’efficacité considérable. Pourtant, devant la multitude de logiciels existants, choisir peut vite se transformer en parcours du combattant. D’autant que les dernières innovations font entrer de nombreux critères en jeu qui vont plus loin que la seule saisie comptable (ergonomie, mobilité, intégrations…). Voici un guide simple et une checklist de questions à se poser, pour trouver LE logiciel parfait !

Étape 1 – Pourquoi avoir un bon logiciel est-il indispensable ?

Le logiciel va vous permettre de professionnaliser toute votre gestion comptable. Vous passez ainsi à un stade supérieur de gestion : optimisé, précis et fiable. Parmi les nombreux avantages apportés, on peut citer :

  • Centralisation et traçabilité des données financières (tableaux de bord de gestion clairs)
  • Diminution du risque d’erreurs (liées parfois à la saisie manuelle)
  • Rationalisation des processus (facturation, devis, liase fiscale etc.)
  • Conformité légale (donc aucun risque de sanction)
  • Conséquences : vous avez une bien meilleure visibilité sur l’activité quotidienne de l’entreprise ! Une vraie aide pour prendre les bonnes décisions stratégiques, sans parler du gain de temps amené par l’automatisation des process.

Étape 2 – Comment démarrer sa recherche du parfait logiciel ?

Ça y est votre fichier Excel devient définitivement inadapté, vous êtes débordé et avez saisi l’importance (voire l’urgence !) de vous doter d’un bon logiciel de compta. Mais par où commencer ? Déjà, récoltez des avis !

  • Votre expert-comptable sera d’excellent conseil, connaissant bien l’offre de logiciels disponibles, ainsi que vos besoins. Attention tout de même à ne pas vous fier à son seul avis, puisqu’il est aussi dans son intérêt de vous conseiller le logiciel le plus arrangeant par rapport à son fonctionnement.
  • N’hésitez pas aussi à questionner votre réseau professionnel, partenaires etc. sur leurs expériences & choix en matière de comptabilité et gestion.

Étape 3 – Quel logiciel pour quel type d’entreprise ?

Plusieurs types de logiciels existent selon votre profil :

  1. TPE avec expert comptable: logiciel simple avec les fonctionnalités de base sur la tenue de la compta, voire aussi la facturation et les devis.
  2. Entreprises gérant leur compta en interne : logiciels complets intégrant tout le processus comptable (déclaration TVA, liasse fiscale, notes de frais, etc.).
  3. PME / grandes entreprises préférant faire appel à un ERP : logiciel qui centralisera toutes les données, pour aller plus loin que la seule gestion comptable. Ils sont souvent sur-mesure, couvrant des besoins spécifiques. Retrouvez-ici comment choisir et implémenter un ERP.
  4. Entreprises dans des secteurs spécifiques : certains logiciels sont particulièrement adaptés à des métiers (bâtiment, restauration par exemple)
  5. Pour vous aider à y voir plus clair, voici un Top 7 de logiciels qui vont vous faire… aimer la comptabilité (oui oui c’est possible !).

Étape 4 – La checklist incontournable de questions à se poser

Tips :

  • Ayez une vision long terme ! Vous connaissez une croissance rapide ? Prenez-le en compte pour ne pas avoir à changer de logiciel d’ici quelques mois…
  • Choisissez de préférence le logiciel d’un éditeur reconnu. Vous serez ainsi assuré de certaines garanties (mises à jour, réglementation, support etc.).
  • Si vous décidez de gérer votre comptabilité avec un éditeur de devis et facture, faites attention à ce que celui-ci soit compatible avec les logiciels de votre expert-comptable (concernant l’intégration des données).

Étape 5 – Test… and learn !

La majorité des logiciels disposent d’une version gratuite, sans engagement qui vous permet de les tester durant 30 jours. Une fois votre shortlist de logiciels établie, n’hésitez pas à les tester pour vous familiariser avec l’outil et les fonctionnalités ! Vous serez plus à l’aise avec certaines ergonomies que d’autres par exemple (présentation des tableaux de bord et des rapports etc.).

Il existe aussi des comparateurs en ligne qui peuvent vous aider à affiner votre choix ou conforter vos idées :

Vous avez maintenant toutes les cartes en main pour trouver le parfait logiciel de compta, celui qui va vous faire gagner du temps et accompagner votre croissance. Ces dernières années ont vu l’émergence de nombreuses nouveautés dans le domaine qui diversifient fortement l’offre de logiciels. Et les innovations ne sont pas prêtes de s’arrêter avec l’arrivée des chatbots, l’intégration toujours plus facile avec des app-tierces… Avec le bon logiciel, la comptabilité n’a jamais été aussi agréable!

Source : daf-mag

2018-06-14T09:47:37+02:0014 juin 2018|Catégories : Digital, Gestion, TPE|Mots-clés : , , , |0 commentaire
Lire la suite
Aller en haut