«A partir de ce moment-là, vous ne mangez plus, vous ne voyez plus vos enfants et vous vous remettez à fumer», témoigne Olivier Sauvage, le responsable de la sécurité des systèmes d’information de la coopérative Cooperl. Au petit matin du samedi 9 mai 2020, il vient de comprendre que son groupe agroalimentaire breton est en train de subir une cyberattaque de type ransomware (ou rançongiciel, logiciel malveillant qui prend en otage des données personnelles et réclame une rançon pour y redonner accès, NDLR) : le pire cauchemar de toutes les entreprises!
Des fichiers ont été renommés et chiffrés, des serveurs et des applications sont inaccessibles. Notre responsable fait immédiatement couper PC et serveurs et lance une cellule de crise avec la direction. Heureusement pour la Cooperl, la production de viande n’est pas interrompue. Seule l’administration du groupe se retrouve perturbée pendant plusieurs semaines. Un moindre mal pour l’entreprise, qui se permet d’ignorer la demande de rançon des criminels et parvient vite à redémarrer.
Cela ne se termine pas toujours aussi bien. Clestra Hauserman, le spécialiste alsacien des cloisons amovibles, a été contraint de déposer le bilan l’année dernière. Il a perdu plusieurs millions d’euros avec l’immobilisation de ses usines par un autre rançongiciel. Ses activités ont été reprises par la société Jestia au mois d’octobre dernier.
Les pertes cumulées de chiffre d’affaires provoquées par des ransomwares auraient atteint 2,8 milliards d’euros pour les entreprises françaises en 2022, d’après la start-up de cybersécurité Anozr Way. Il y a bien sûr les rançons qui peuvent atteindre plusieurs dizaines de milliers d’euros et que certains prennent le risque de payer. Les dégâts vont cependant bien au-delà, quelle que soit la cyberattaque. Il faut faire face à «des amendes, des dépenses en relations publiques, des coûts liés aux actions immédiates à mettre en place pour protéger les clients», comme le décrit une étude du cabinet Deloitte. Et des frais cachés tels que «l’atteinte portée à l’image de l’entreprise, l’interruption d’activité, la perte d’informations confidentielles».
Le coût médian d’une cyberattaque se serait ainsi élevé à 18.645 euros par entreprise cliente de l’assureur Hiscox en 2021. Ce qui a conduit à menacer la santé financière de 24% des victimes. Combien mettent ensuite la clé sous la porte? On cite souvent le chiffre de 60% de PME qui succomberaient à ce genre d’attaque! Difficile à vérifier, il n’existe aucune statistique fiable sur ce risque létal dans notre pays.
Dans le détail, ce sont les grandes entreprises qui enregistrent le plus d’incidents, d’après les données d’Orange Cyberdefense pour 2022. Tout simplement parce qu’un nombre élevé de salariés et de terminaux engendre automatiquement une plus grande surface d’attaque. Toutefois, elles sont mieux pourvues pour résister. Thales, poids lourd mondial de l’électronique dans l’aérospatiale, la défense et la sécurité, compte plus de 80.000 collaborateurs dans le monde et 33.000 fournisseurs. Tous peuvent être des vecteurs potentiels d’intrusion. Le groupe nous a ainsi confié subir chaque minute plus de 1.000 tentatives de cyberattaques… qui ne se soldent que par 35 vrais incidents de cybersécurité par mois.
Autant dire que l’entreprise est plutôt bien entraînée pour affronter une situation périlleuse. Ce qui est arrivé le 31 octobre dernier. Le groupe mondialement redouté de cyberpirates Lockbit 3.0 prétend au petit matin détenir des informations confidentielles et très sensibles sur Thales. Il annonce qu’il les mettra en ligne quelques jours plus tard. Lorsqu’il met sa menace à exécution le 11 novembre suivant, les révélations font pschitt. Il s’agit de procédures de réinitialisation d’équipements sans intérêt volées à un partenaire. Soulagement du côté de Thales. Mais l’affaire a été tellement médiatisée que son action a chuté en Bourse temporairement et qu’il a dû passer de longues semaines à rassurer ses clients.
Aujourd’hui encore, le mystère reste entier sur les motivations des criminels. «Ont-ils voulu adresser un message politique au gouvernement français dans le cadre du conflit russo-ukrainien? Cherchaient-ils à spéculer sur notre cours de Bourse? Porter atteinte à notre image? Ou simplement gagner en notoriété?», s’interroge encore Stéphane Lenco, le responsable de la sécurité de l’information. Cela prouve en tout cas que les hackers n’ont même pas besoin de compromettre les systèmes d’information d’une grande entreprise pour lui nuire.
A côté de ces grosses structures, PME, TPE et ETI apparaissent plus vulnérables car moins bien protégées. Elles représentent même 40% des victimes de rançongiciels, selon les derniers chiffres de l’Anssi (Agence nationale de la sécurité des systèmes d’information). Les criminels ont tendance depuis deux ans à se déporter vers elles car elles sont plus faciles à attaquer. Les prestataires, fournisseurs ou sous-traitants sont aussi dans leur viseur car ils peuvent servir de porte d’entrée pour atteindre les grandes entreprises.
Même si l’épidémie de ransomwares semble se calmer ces derniers mois, le niveau de menace générale reste élevé selon Cybermalveillance.gouv.fr, la plateforme qui prévient et assiste en ligne le grand public et les entreprises qui ne sont pas d’importance vitale. «Le hameçonnage (faux mails contenant des liens viciés, NDLR) est en recrudescence. Il a touché 27% des entreprises et associations en 2022 contre 13% l’année précédente. Juste après, on trouve le piratage de comptes, qui s’élève à 22% des cas», nous précise Jean-Jacques Latour, le directeur expertise cybersécurité de l’organisme.
C’est précisément ce qui est arrivé à Fabienne Ardouin, directrice de deux hôtels parisiens. Sa messagerie a été détournée sur l’extranet de Booking.com pour dérober de l’argent à ses clients. Comme elle est aussi coprésidente de la commission Europe et numérique du GNI (Groupement national des indépendants de l’hôtellerie), elle voit passer de plus en plus de cas de piratages de ce type. «La plupart du temps, l’hôtelier reçoit par mail une demande de réservation d’une personne âgée demandant qu’on lui confirme la localisation de l'hôtel, mais avec un faux lien Google Maps. En cliquant dessus, le destinataire télécharge sans le savoir un logiciel malveillant. Les hackers n’ont plus ensuite qu’à prendre le contrôle de son compte», nous explique-t-elle.
Alors, que faire pour protéger ces PME et ETI? Pour commencer, mieux s’approprier les bonnes pratiques les plus élémentaires. L’éditeur Microsoft, dont les logiciels sont massivement utilisés en entreprise, a bien voulu partager ses statistiques mondiales avec Capital. Et les résultats donnent le vertige: 78% des appareils comportent au moins un logiciel qui n’est pas mis à jour. «Quand le correctif officiel d’une faille est disponible, les hackers ne mettent que quatorze jours à publier les premiers codes malveillants. Cela signifie qu’une entreprise ne dispose en général que de deux semaines pour effectuer une mise à jour», alerte Arnaud Jumelet, national security officer de Microsoft France.
Autre chiffre à tomber de sa chaise, 70% des sociétés n’ont pas encore adopté l’authentification multifacteur qui reste la meilleure défense contre le phishing (autre nom du hameçonnage). De mauvaises pratiques d’administration subsistent également. «Des opérations sensibles sont réalisées depuis des postes non sécurisés qui vont aussi servir à lire des mails ou à naviguer sur le Web», se désole encore Arnaud Jumelet. La France ne ferait ni mieux ni moins bien que les autres pays: elle présente les mêmes faiblesses structurelles facilement exploitables par des assaillants.
Le Medef veut pourtant rester optimiste. «Il y a encore quatre ans, pratiquement personne ne parlait de cybersécurité. Depuis, les chefs d’entreprise ont pris conscience du sujet. Ils ont tous entendu parler des risques à un moment donné et le niveau moyen de protection s'est amélioré», souligne Christian Poyau, coprésident de la commission mutations technologiques et impacts sociétaux du Medef. La plateforme Yogosha met en relation des hackers éthiques avec des entreprises désireuses de se faire tester. Elle a plutôt l’habitude de faire affaire avec des acteurs avertis. Pourtant, il y a un an, elle a eu la surprise de commencer à recevoir des demandes de petites structures sans les avoir jamais démarchées. «On sent qu’il y a une montée en sensibilisation des dirigeants de PME et ETI qui prennent la sécurité au sérieux», relève Yassir Kazar, patron de Yogosha.
On notera effectivement que les TPE sont désormais 42% à réaliser des sauvegardes régulières de leurs données et 76% à adopter des mots de passe complexes, d’après un récent sondage de l’Afnic (Association française pour le nommage Internet en coopération). Et 51% des responsables adhérents du Cesin (Club des experts de la sécurité de l’information et du numérique) ont mis en place des entraînements à la cybercrise avec des exercices de simulation.
Il n’est ainsi plus rare que de fausses campagnes de phishing soient lancées à destination des salariés pour tester leurs réactions. Le recours aux logiciels de «détection et réponse des terminaux», plus efficaces et diligents que les antivirus, augmente également. Le Cesin a d’ailleurs observé une légère baisse du nombre de cyberattaques réussies en 2022. «Elles sont passées à 45% en 2022, contre 54% l’année précédente», constate avec satisfaction son délégué général, Alain Bouillé.
Toutefois, pour le Medef, cette évolution risque de buter sur un frein financier: tout le monde n’a pas les moyens de s’équiper. «On pourrait raisonner sur des outils de financement, imaginer que les aides à la digitalisation intègrent un soutien aux investissements dans la cybersécurité», suggère Christian Poyau. Le gouvernement ne l’entend pas de cette oreille. Pas question de financer la protection des entreprises privées avec l’argent du contribuable. Une exception sera cependant faite à destination de 750 PME et ETI considérées comme sensibles, et qui vont bénéficier d’une enveloppe de 30 millions d’euros pour renforcer leur protection. Mais pour Bercy, le vrai défi reste d’opérer un changement culturel sur la durée face à une cybercriminalité qui s’industrialise. Pour convaincre les plus récalcitrants, le ministère mise sur la prévention et le relais des acteurs de terrain. En attendant le jour où plus aucune entreprise ne pensera que les cyberattaques n’arrivent qu’aux autres.
Des assurances sur mesure pour les PME
«Le risque cyber est encore relativement peu assuré», déplorait la Direction générale du Trésor au mois de septembre dernier. Pour rendre les assurances plus attractives, le cadre juridique a été clarifié concernant notamment le paiement des rançons exigé par les hackers. L’Anssi recommande toujours de ne pas céder au chantage. Mais la loi d’orientation et de programmation du ministère de l’Intérieur prévoit désormais une indemnisation par les assurances, à condition que les entreprises portent plainte dans les 48 heures qui suivent la découverte de l’attaque. Au-delà de ce cas particulier, l’assurance sert surtout à couvrir tous les types de dommages, comme la perte d’exploitation ou le préjudice d’image. La responsabilité civile est aussi concernée, puisque l’entreprise est responsable en cas de fuite de données et que ses utilisateurs ou clients peuvent se retourner contre elle.
Bercy souhaiterait maintenant que le marché s’adresse davantage aux petites structures, souvent retoquées parce qu’elles ne remplissent pas des conditions de protection minimales ou découragées par des conditions financières trop exigeantes. «Le montant des primes d'assurance cyber est élevé car ces produits ne bénéficient pas encore d’une mutualisation optimale. Plus il y aura d'entreprises à se couvrir, plus les caisses seront alimentées et plus les garanties seront offertes au juste prix», relève l’avocat Thibaut Gribelin, du département assurances au cabinet K&L Gates. Aujourd’hui, environ 5% des PME seulement seraient cyber assurées, d’après la start-up Stoïk. Ce nouvel acteur, créé fin 2020, les cible justement, ainsi que les TPE et ETI. Via des courtiers, il propose de couvrir ces entreprises à partir d'une centaine d'euros par mois. Le prix comprend un accompagnement pour renforcer leur cybersécurité et une assistance en cas d’attaque. «Nous avons aussi bien des bouchers charcutiers que des e-commerçants ou des sociétés du secteur industriel», témoigne Jules Veyrat, le président de Stoïk. «Leur niveau de cybersécurité est souvent jugé trop faible pour être assurées contre ce risque complexe, nous leur proposons un accompagnement pour qu'elles puissent le devenir».
Les différentes stratégies utilisées par les pirates
Thales victime de vol de données
Le 31 octobre 2022, le groupe de rançongiciel Lockbit 3.0 annonce détenir des informations critiques sur le français Thales. Une nouvelle extrêmement médiatisée qui entraîne la chute momentanée en Bourse de l’industriel. Les hackers mettent en ligne les données une dizaine de jours plus tard. Les documents ont été dérobés à un partenaire et se révèlent insignifiants. Mais l’affaire aura quand même provoqué des dégâts réputationnels et boursiers pour Thales.
Un hôtel à la messagerie piratée
Au mois de janvier dernier, une hôtelière parisienne subit un détournement de sa messagerie sur l’extranet de Booking.com. Certains de ses clients sont contactés pour payer une deuxième fois leur réservation: 4.000 euros auraient ainsi été détournés. L’image de l’établissement est entachée et la directrice a dû suspendre ses réservations sur la plateforme pendant trois semaines, provoquant une vraie perte de chiffre d’affaires.
Une coopérative perturbée par un ransomware
Le 9 mai 2020, le groupe agroalimentaire Cooperl est victime d’un ransomware. Les assaillants ont pu s’introduire dans le système informatique parce que les accès à distance avaient été facilités pour permettre aux salariés de télétravailler pendant la pandémie. Les criminels ont ensuite attendu un jour férié pour activer le logiciel malveillant. La production de viande n’a pas été interrompue, seuls les services administratifs ont été perturbés. Une rançon a été demandée mais l’entreprise l’a ignorée.
- Accès à tous les articles réservés aux abonnés, sur le site et l'appli
- Le magazine en version numérique
- Navigation sans publicité
- Sans engagement
