Entretien avec Arnaud Deschavanne et Christophe Gueguen, experts Numérique chez Magellan Consulting
La
généralisation des usages numériques apporte avec elle son lot de menaces
cyber. Pour y faire face, les entreprises doivent faire preuve de vigilance
afin de protéger leur système d’information et les données de leurs clients.
Quels dispositifs mettre en place pour se prémunir ? Et quels sont les
principaux réflexes à avoir en cas de cyberattaque ? Arnaud Deschavanne et Christophe
Gueguen, Associate Partners chez Magellan Consulting, cabinet de conseil
spécialisé dans la transformation digitale des entreprises, font le point.
Aujourd’hui,
avec la croissance du numérique, le risque cyber est démultiplié. Quels
conseils donneriez-vous aux entreprises pour protéger leurs données ? De quels
moyens disposent-elles, et notamment les PME ?
Arnaud
Deschavanne : Mon premier conseil sera basique, mais comme
j’aime à le dire, la sécurité se cache bien souvent dans les détails. Je
conseillerais avant tout aux entreprises de bien connaître leur système
d’information.
Les
projets vont de plus en plus vite, et avec la généralisation des usages
numériques et la multitude de services utilisés, nous ne savons plus réellement
où se trouvent les informations numériques, comment sont gérés les accès aux
réseaux, ni si les mises à jour des logiciels sont réalisées.
De
plus, avec le déploiement du télétravail, l’entreprise doit être d’autant plus
vigilante sur ses moyens de capacité de première détection.
Pour
accompagner les entreprises, l’ANSSI, l’Agence nationale de la sécurité des
systèmes d’information, a mis publiquement à disposition un guide d’hygiène
informatique qui liste une quarantaine de règles de sécurité. Ce guide est
applicable aux petites structures, qui peuvent parfois se présenter comme des
victimes collatérales des attaques, qu’aux grands groupes. Avec le numérique,
il n’y a plus de frontière ; tout le monde peut être concerné par les
cyberattaques.
Je
recommanderais ainsi ce guide aux PME, comme les artisans ou les commerçants,
qui, éloignés de métier de l’IT, peuvent parfois ressentir le besoin d’un
accompagnement, mais aussi aux start-up qui, avec leur croissance fulgurante,
peuvent rapidement être amenées à traiter des informations sensibles, notamment
pour leurs clients grands comptes, sans forcément disposer du niveau de
sécurité et de contrôle nécessaires.
« Le coût médian d’une cyberattaque s’élève à 50 000
euros, avec une perte de chiffre d’affaires moyen annuel estimée à 27 % et un coût
de reconstruction moyen évalué à 900 000 euros. »
Afin
que nous prenions bien la mesure du risque, pourriez-vous nous communiquer
quelques chiffres marquants ? Quel est l’impact financier d’une cyberattaque
sur une entreprise ?
AD
:
Il apparaît difficile de citer des chiffres précis, tant les formes d’attaques
peuvent varier. Parle-t-on uniquement des rançongiciels (ou ransomwares) ou
aussi des attaques des collaborateurs ? Il faut aussi noter qu’une seule
entreprise sur deux porte plainte après avoir été victime d’une attaque.
Et
il en est de même pour le coût, car là aussi, les répercussions d’une attaque
sont diverses et difficilement quantifiables (perte des données, réputation…).
En
2021, en France, 54 % des entreprises ont été victimes d’au moins une
cyberattaque. L’ANSSI comptabilisait cette même année plus de trois intrusions
avérées dans des systèmes d’information par jour. Selon la 7e édition du
baromètre annuel de la cybersécurité des entreprises du CESIN (Club des Experts
de la Sécurité de l’Information et du Numérique), le phishing – hameçonnage en
français – reste le vecteur d’attaque le plus fréquent pour 73 % des
entreprises.
En
ce qui concerne l’impact financier, le coût médian d’une cyberattaque s’élève à
50 000 euros, avec une perte de chiffre d’affaires moyen annuel estimée à 27 %
et un coût de reconstruction moyen évalué à 900 000 euros. Pendant cette phase,
les services de l’entreprise sont à l’arrêt, ce qui a aussi un impact financier
pour l’entreprise, le temps de récupérer les sauvegardes. Mais si celles-ci
sont atteintes et que le système d’information est touché, l’entreprise peut
aller jusqu’à mettre la clé sous la porte. Trois PME attaquées sur cinq déposent
le bilan dans les 18 mois suivant l’attaque.
C’est
pourquoi il est primordial d’investir dans la sécurité de son entreprise. La
sécurité a longtemps été le parent pauvre. Pourtant, le risque est bien là, et
la filière des menaces cyber s’est nettement professionnalisée.
Christophe
Gueguen : Nous pourrions comparer les attaques au cancer, en se
disant que ça arrive toujours aux autres. Mais on le voit, les cyberattaques
touchent aujourd’hui tout le monde.
Il
y a 15 ans, les clients avaient tendance à dire qu’ils n’avaient aucune donnée
sensible, et qu’une perte de données était relative. Aujourd’hui, ces derniers,
et plus particulièrement les grands comptes, sont devenus plus exigeants, et
imposent une protection de leurs données à leurs prestataires. Ces clients nous
contactent parfois pour nous demander d’aller auditer des startups, afin de
s’assurer du niveau de protection de leurs données. Un certain contrôle qui
peut également être demandé aujourd’hui par les assurances pour couvrir les
risques. Les entreprises doivent faire preuve de vigilance. Je pense notamment
au cas d’un client qui avait négligé une filiale, dans un coin du monde, qui s’est
présentée comme un point d’entrée pour les attaquants, lui donnant accès à tout
le réseau.
Avec
la généralisation du télétravail, vous le disiez, les entreprises doivent être
encore plus vigilantes. Quelles sont à cet égard les précautions à prendre ?
AD
:
Les usages ont changé. Précédemment, nous étions dans une sécurité
périmétrique. Aujourd’hui, avec le déploiement du télétravail, les portes
d’entrée sont diverses. On a poussé le besoin de réactivité des collaborateurs,
avec cette nécessité de disposer d’un accès partout, tout le temps. Aussi, la
connaissance du système et la réactivité de l’entreprise doivent répondre à
leur tour à ces nouvelles utilisations.
CG
:
En effet, de ces nouveaux usages naissent de nouveaux risques. Avant, les
connexions des salariés se faisaient en interne, schématiquement entre 9h et
18h. Aujourd’hui, les connexions peuvent se faire à distance et à n’importe
quelle heure. À ce titre, il est plus difficile d’évaluer si un comportement
dit « anormal » pourrait alerter l’entreprise d’une potentielle attaque. C’est
pourquoi il faut bien connaître son réseau.
AD
:
Avec la crise Covid, le télétravail s’est généralisé, mais les entreprises
n’étaient pas forcément prêtes à répondre à ces nouveaux usages, notamment en
termes de sécurité. Nous avons reçu beaucoup de demandes à cette période, pour
évaluer le niveau de risque des entreprises, leur capacité de détection et les
accompagner dans la maîtrise des leurs données.
Outre
la protection, il faut aussi sensibiliser les utilisateurs. Le phishing par
exemple représente 73 % des cyberattaques. Cette technique frauduleuse basée
sur le principe d’abus de confiance incite une personne à communiquer des
données personnelles et/ou bancaires en se faisant passer pour un tiers de
confiance.
Aujourd’hui,
il est assez facile de créer un emailing reprenant la charte graphique d’une
entreprise, de réaliser un site ou même d’acheter un nom de domaine.
En
entreprise, l’attaquant peut, via l’envoi d’un simple mail, se faire passer
pour le responsable des ressources humaines. C’est une façon de manipuler les
gens.
Chez
Magellan Consulting, nous proposons ainsi l’envoi de faux mails de phishing en
entreprise pour sensibiliser les collaborateurs. Vérifier l’adresse mail et
l’adresse du site, se méfier des pièces jointes, ne pas communiquer
d’informations personnelles sont autant de précautions qui doivent devenir des
réflexes pour les collaborateurs. Et si l’un d’entre eux clique sur un lien, il
faut absolument qu’il fasse remonter l’information, afin d’éviter la
propagation de l’attaque.
En
complément, peuvent être mis en place des outillages antispam et antiphising,
qui ne sont cependant jamais parfaits. Enfin, et cette protection tend à se
démocratiser notamment dans la sphère privée, il faut protéger les postes de
travail avec une authentification forte via une vérification d’identité. Cela
permet largement de limiter les attaques.
Comment
une entreprise doit-elle réagir face à un ransomware ? Doit-elle payer ou non ?
CG
:
Le ransomware – ou rançongiciel en français – est un programme malveillant qui
bloque l’accès des appareils ou des fichiers en les chiffrant. Il est alors
réclamé une rançon en échange du déchiffrement des données et donc, pour une
entreprise, la possibilité de poursuivre son activité. Cette attaque peut
également être un moyen détourné pour voler des données.
Les
TPE, PME et ETI sont principalement touchées, et représentent 34 % des victimes
en 2021 (+53 % par rapport à 2020 d’après les
chiffres de l’ANSSI).
AD
:
De manière générale, on dit qu’il ne faut pas payer la rançon, car cela
contribue à alimenter le crime. Toutefois, certaines entreprises qui n’ont plus
rien (c’est-à-dire lorsque les sauvegardes sont touchées) payent pour la
restauration de leur service. À une époque, les assurances cyber couvraient la
rançon, mais certaines ont été attaquées à leur tour et se sont fait voler leur
fichier clients, futures cibles des attaquants.
Après
avoir payé la rançon, de façon générale, les entreprises récupèrent leurs
données. Mais si les attaquants demandent une rançon pour ne pas diffuser les
données, il ne sert à rien de la payer, car le mal est déjà fait, et les
données sont déjà sorties de l’entreprise.
Quelle
est la procédure à suivre pour une entreprise victime d’une attaque ?
AD
:
Avant toute chose, il faut déconnecter au plus tôt les supports de sauvegardes
et couper le lien entre l’attaquant et le réseau en interdisant les accès au
réseau Internet et au réseau interne, puis, identifier la menace.
Il
faut ensuite déclarer l’attaque.
Il
y a quelques années, la mentalité était différente, et les entreprises victimes
d’une cyberattaque avaient tendance à garder cette histoire secrète.
Aujourd’hui, il faut pouvoir communiquer avec ses pairs. Tout le monde peut
être victime d’une attaque, il faut alors faire preuve de modestie et tirer un
enseignement des expériences d’autrui. Le RGPD demande de prévenir la CNIL en
72 h, et l’ANSSI demande également qu’une déclaration soit faite.
Pour
les particuliers et les petites entreprises, le Gouvernement a mis en place la
plateforme cybermalveillance.gouv.fr qui permet d’entrer en contact avec des
prestataires de proximité pour procéder à la phase de reconstruction.
Une
entreprise peut-elle être victime d’une attaque sans même le savoir ?
AD
:
Tout à fait. Surtout que l’attaquant peut rester longtemps dans le système
d’information sans déclencher le ransomware. Quand on s’intéresse au délai de
découverte, on s’aperçoit qu’en 2012, les attaquants étaient présents dans le
système d’information de l’entreprise 416 jours avant l’attaque, une durée qui
tombe à 43 jours en 2020 et même à 24 jours en 2021. C’est pourquoi il est
important pour une entreprise de connaître sa capacité de première détection.
Qui
sont ces pirates du net ? Comment opèrent-ils ?
CG
:
Les pirates ont évolué en même temps que les usages numériques qui ont explosé,
alors que le budget sécurité des entreprises n’a pas forcément suivi. Les
attaquants ont profité de cette brèche. Ceux d’aujourd’hui ne sont pas plus
performants que ceux d’hier, ils sont juste plus méthodiques. Ils se sont
professionnalisés.
Il
faut se rendre compte que nous sommes face à un véritable marché. Il y a une
industrie, il y a du financier. Les objectifs des attaquants peuvent être
divers : politiques, économiques ou personnels. Les États aussi entrent en jeu,
et ont leurs propres intérêts.
AD
:
En effet, certains pays ont besoin de cash, comme la Corée du Nord par exemple.
Cette dernière a d’ailleurs été soupçonnée d’être l’auteure de la cyberattaque
qui a touché la Banque centrale du Bangladesh en 2016.
Nous
pouvons également prendre l’exemple de l’Europe de l’Est et de la Russie qui ne
produisent pas de logiciels et n’ont pas de GAFAM. Certains ont monté des
business sulfureux et font travailler les attaquants.
Aujourd’hui,
l’attribution des attaques est compliquée, car le fléau est mondialisé. Il faut
l’imaginer comme une grande entreprise en télétravail, où chacun a sa tâche.
Sans parler du grand banditisme et de la mafia qui utilisent le cyber pour
blanchir de l’argent.
La
justice est-elle en mesure de répondre à ces infractions ?
CG
:
C’est surtout, à mon sens, une question de moyens. Pour répondre à l’explosion
du nombre d’attaques, il faut des équipes nombreuses et formées. Puis, on le
sait, le temps de la justice n’est pas le même que le temps de la victime. Il y
a aussi la difficulté de remonter ces filières mondialisées, et recueillir des
preuves.
AD
:
En effet, à ces attaques, nous devons apporter une réponse globale, qui passe
par la collaboration entre les pays. À cet égard, Europol fait un travail
formidable.
Les
mentalités ne sont pas les mêmes selon les cultures. En France, nous sommes
latins, dans une logique rousseauiste considérant que l’Homme est bon par
nature. Nous avons ainsi tendance à contourner les règles. Dans la culture
anglo-saxonne, « l’Homme est un loup pour l’Homme », et il faut s’en
protéger. Mais malgré cela, je dois dire que la France ne s’en sort pas si mal.
Propos recueillis par Constance Périn
Zoom
sur le Guide d’hygiène informatique de l’ANSSI pour renforcer la sécurité de
son système d’information en 42 mesures
Parmi les mesures
techniques que les entités publiques ou privées doivent prendre pour garantir
la sécurité de leurs systèmes d’information, on qualifie les plus simples et
élémentaires d’entre elles d’hygiène informatique, car elles sont la
transposition dans le monde numérique de règles élémentaires de sécurité
sanitaire.
Non exhaustives, ces 42 mesures
représentent le socle minimum à respecter pour protéger les informations de son
organisation. Une fois ces règles partagées et appliquées, le responsable de la
sécurité des systèmes d’information aura accompli une part importante de sa
mission : permettre à votre organisation d’interagir avec ses partenaires et de
servir ses clients en respectant l’intégrité et la confidentialité des
informations qui les concernent.
À télécharger en cliquant
ici.