« En 2021, en France, 54 % des entreprises ont été victimes d’au moins une cyberattaque »
Publié le 05/12/2022 à 17:38

Entretien avec Arnaud Deschavanne et Christophe Gueguen, experts Numérique chez Magellan Consulting


La généralisation des usages numériques apporte avec elle son lot de menaces cyber. Pour y faire face, les entreprises doivent faire preuve de vigilance afin de protéger leur système d’information et les données de leurs clients. Quels dispositifs mettre en place pour se prémunir ? Et quels sont les principaux réflexes à avoir en cas de cyberattaque ? Arnaud Deschavanne et Christophe Gueguen, Associate Partners chez Magellan Consulting, cabinet de conseil spécialisé dans la transformation digitale des entreprises, font le point.

 

 

Aujourd’hui, avec la croissance du numérique, le risque cyber est démultiplié. Quels conseils donneriez-vous aux entreprises pour protéger leurs données ? De quels moyens disposent-elles, et notamment les PME ?

Arnaud Deschavanne : Mon premier conseil sera basique, mais comme j’aime à le dire, la sécurité se cache bien souvent dans les détails. Je conseillerais avant tout aux entreprises de bien connaître leur système d’information.

Les projets vont de plus en plus vite, et avec la généralisation des usages numériques et la multitude de services utilisés, nous ne savons plus réellement où se trouvent les informations numériques, comment sont gérés les accès aux réseaux, ni si les mises à jour des logiciels sont réalisées.

De plus, avec le déploiement du télétravail, l’entreprise doit être d’autant plus vigilante sur ses moyens de capacité de première détection.

Pour accompagner les entreprises, l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information, a mis publiquement à disposition un guide d’hygiène informatique qui liste une quarantaine de règles de sécurité. Ce guide est applicable aux petites structures, qui peuvent parfois se présenter comme des victimes collatérales des attaques, qu’aux grands groupes. Avec le numérique, il n’y a plus de frontière ; tout le monde peut être concerné par les cyberattaques.

Je recommanderais ainsi ce guide aux PME, comme les artisans ou les commerçants, qui, éloignés de métier de l’IT, peuvent parfois ressentir le besoin d’un accompagnement, mais aussi aux start-up qui, avec leur croissance fulgurante, peuvent rapidement être amenées à traiter des informations sensibles, notamment pour leurs clients grands comptes, sans forcément disposer du niveau de sécurité et de contrôle nécessaires.

 

« Le coût médian d’une cyberattaque s’élève à 50 000 euros, avec une perte de chiffre d’affaires moyen annuel estimée à 27 % et un coût de reconstruction moyen évalué à 900 000 euros. »

 

Afin que nous prenions bien la mesure du risque, pourriez-vous nous communiquer quelques chiffres marquants ? Quel est l’impact financier d’une cyberattaque sur une entreprise ?

AD : Il apparaît difficile de citer des chiffres précis, tant les formes d’attaques peuvent varier. Parle-t-on uniquement des rançongiciels (ou ransomwares) ou aussi des attaques des collaborateurs ? Il faut aussi noter qu’une seule entreprise sur deux porte plainte après avoir été victime d’une attaque.

Et il en est de même pour le coût, car là aussi, les répercussions d’une attaque sont diverses et difficilement quantifiables (perte des données, réputation…).

En 2021, en France, 54 % des entreprises ont été victimes d’au moins une cyberattaque. L’ANSSI comptabilisait cette même année plus de trois intrusions avérées dans des systèmes d’information par jour. Selon la 7e édition du baromètre annuel de la cybersécurité des entreprises du CESIN (Club des Experts de la Sécurité de l’Information et du Numérique), le phishing – hameçonnage en français – reste le vecteur d’attaque le plus fréquent pour 73 % des entreprises.

En ce qui concerne l’impact financier, le coût médian d’une cyberattaque s’élève à 50 000 euros, avec une perte de chiffre d’affaires moyen annuel estimée à 27 % et un coût de reconstruction moyen évalué à 900 000 euros. Pendant cette phase, les services de l’entreprise sont à l’arrêt, ce qui a aussi un impact financier pour l’entreprise, le temps de récupérer les sauvegardes. Mais si celles-ci sont atteintes et que le système d’information est touché, l’entreprise peut aller jusqu’à mettre la clé sous la porte. Trois PME attaquées sur cinq déposent le bilan dans les 18 mois suivant l’attaque.

C’est pourquoi il est primordial d’investir dans la sécurité de son entreprise. La sécurité a longtemps été le parent pauvre. Pourtant, le risque est bien là, et la filière des menaces cyber s’est nettement professionnalisée.

Christophe Gueguen : Nous pourrions comparer les attaques au cancer, en se disant que ça arrive toujours aux autres. Mais on le voit, les cyberattaques touchent aujourd’hui tout le monde.

Il y a 15 ans, les clients avaient tendance à dire qu’ils n’avaient aucune donnée sensible, et qu’une perte de données était relative. Aujourd’hui, ces derniers, et plus particulièrement les grands comptes, sont devenus plus exigeants, et imposent une protection de leurs données à leurs prestataires. Ces clients nous contactent parfois pour nous demander d’aller auditer des startups, afin de s’assurer du niveau de protection de leurs données. Un certain contrôle qui peut également être demandé aujourd’hui par les assurances pour couvrir les risques. Les entreprises doivent faire preuve de vigilance. Je pense notamment au cas d’un client qui avait négligé une filiale, dans un coin du monde, qui s’est présentée comme un point d’entrée pour les attaquants, lui donnant accès à tout le réseau.

 

 

Avec la généralisation du télétravail, vous le disiez, les entreprises doivent être encore plus vigilantes. Quelles sont à cet égard les précautions à prendre ?

AD : Les usages ont changé. Précédemment, nous étions dans une sécurité périmétrique. Aujourd’hui, avec le déploiement du télétravail, les portes d’entrée sont diverses. On a poussé le besoin de réactivité des collaborateurs, avec cette nécessité de disposer d’un accès partout, tout le temps. Aussi, la connaissance du système et la réactivité de l’entreprise doivent répondre à leur tour à ces nouvelles utilisations.

CG : En effet, de ces nouveaux usages naissent de nouveaux risques. Avant, les connexions des salariés se faisaient en interne, schématiquement entre 9h et 18h. Aujourd’hui, les connexions peuvent se faire à distance et à n’importe quelle heure. À ce titre, il est plus difficile d’évaluer si un comportement dit « anormal » pourrait alerter l’entreprise d’une potentielle attaque. C’est pourquoi il faut bien connaître son réseau.

AD : Avec la crise Covid, le télétravail s’est généralisé, mais les entreprises n’étaient pas forcément prêtes à répondre à ces nouveaux usages, notamment en termes de sécurité. Nous avons reçu beaucoup de demandes à cette période, pour évaluer le niveau de risque des entreprises, leur capacité de détection et les accompagner dans la maîtrise des leurs données.

Outre la protection, il faut aussi sensibiliser les utilisateurs. Le phishing par exemple représente 73 % des cyberattaques. Cette technique frauduleuse basée sur le principe d’abus de confiance incite une personne à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance.

Aujourd’hui, il est assez facile de créer un emailing reprenant la charte graphique d’une entreprise, de réaliser un site ou même d’acheter un nom de domaine.

En entreprise, l’attaquant peut, via l’envoi d’un simple mail, se faire passer pour le responsable des ressources humaines. C’est une façon de manipuler les gens.

Chez Magellan Consulting, nous proposons ainsi l’envoi de faux mails de phishing en entreprise pour sensibiliser les collaborateurs. Vérifier l’adresse mail et l’adresse du site, se méfier des pièces jointes, ne pas communiquer d’informations personnelles sont autant de précautions qui doivent devenir des réflexes pour les collaborateurs. Et si l’un d’entre eux clique sur un lien, il faut absolument qu’il fasse remonter l’information, afin d’éviter la propagation de l’attaque.

En complément, peuvent être mis en place des outillages antispam et antiphising, qui ne sont cependant jamais parfaits. Enfin, et cette protection tend à se démocratiser notamment dans la sphère privée, il faut protéger les postes de travail avec une authentification forte via une vérification d’identité. Cela permet largement de limiter les attaques.

 

 

Comment une entreprise doit-elle réagir face à un ransomware ? Doit-elle payer ou non ?

CG : Le ransomware – ou rançongiciel en français – est un programme malveillant qui bloque l’accès des appareils ou des fichiers en les chiffrant. Il est alors réclamé une rançon en échange du déchiffrement des données et donc, pour une entreprise, la possibilité de poursuivre son activité. Cette attaque peut également être un moyen détourné pour voler des données.

Les TPE, PME et ETI sont principalement touchées, et représentent 34 % des victimes en 2021 (+53 % par rapport à 2020 d’après les  chiffres de l’ANSSI).

AD : De manière générale, on dit qu’il ne faut pas payer la rançon, car cela contribue à alimenter le crime. Toutefois, certaines entreprises qui n’ont plus rien (c’est-à-dire lorsque les sauvegardes sont touchées) payent pour la restauration de leur service. À une époque, les assurances cyber couvraient la rançon, mais certaines ont été attaquées à leur tour et se sont fait voler leur fichier clients, futures cibles des attaquants.

Après avoir payé la rançon, de façon générale, les entreprises récupèrent leurs données. Mais si les attaquants demandent une rançon pour ne pas diffuser les données, il ne sert à rien de la payer, car le mal est déjà fait, et les données sont déjà sorties de l’entreprise.

 

 

Quelle est la procédure à suivre pour une entreprise victime d’une attaque ?

AD : Avant toute chose, il faut déconnecter au plus tôt les supports de sauvegardes et couper le lien entre l’attaquant et le réseau en interdisant les accès au réseau Internet et au réseau interne, puis, identifier la menace.

Il faut ensuite déclarer l’attaque.

Il y a quelques années, la mentalité était différente, et les entreprises victimes d’une cyberattaque avaient tendance à garder cette histoire secrète. Aujourd’hui, il faut pouvoir communiquer avec ses pairs. Tout le monde peut être victime d’une attaque, il faut alors faire preuve de modestie et tirer un enseignement des expériences d’autrui. Le RGPD demande de prévenir la CNIL en 72 h, et l’ANSSI demande également qu’une déclaration soit faite.

Pour les particuliers et les petites entreprises, le Gouvernement a mis en place la plateforme cybermalveillance.gouv.fr qui permet d’entrer en contact avec des prestataires de proximité pour procéder à la phase de reconstruction.

 

 

Une entreprise peut-elle être victime d’une attaque sans même le savoir ?

AD : Tout à fait. Surtout que l’attaquant peut rester longtemps dans le système d’information sans déclencher le ransomware. Quand on s’intéresse au délai de découverte, on s’aperçoit qu’en 2012, les attaquants étaient présents dans le système d’information de l’entreprise 416 jours avant l’attaque, une durée qui tombe à 43 jours en 2020 et même à 24 jours en 2021. C’est pourquoi il est important pour une entreprise de connaître sa capacité de première détection.

 

 

Qui sont ces pirates du net ? Comment opèrent-ils ?

CG : Les pirates ont évolué en même temps que les usages numériques qui ont explosé, alors que le budget sécurité des entreprises n’a pas forcément suivi. Les attaquants ont profité de cette brèche. Ceux d’aujourd’hui ne sont pas plus performants que ceux d’hier, ils sont juste plus méthodiques. Ils se sont professionnalisés.

Il faut se rendre compte que nous sommes face à un véritable marché. Il y a une industrie, il y a du financier. Les objectifs des attaquants peuvent être divers : politiques, économiques ou personnels. Les États aussi entrent en jeu, et ont leurs propres intérêts.

AD : En effet, certains pays ont besoin de cash, comme la Corée du Nord par exemple. Cette dernière a d’ailleurs été soupçonnée d’être l’auteure de la cyberattaque qui a touché la Banque centrale du Bangladesh en 2016.

Nous pouvons également prendre l’exemple de l’Europe de l’Est et de la Russie qui ne produisent pas de logiciels et n’ont pas de GAFAM. Certains ont monté des business sulfureux et font travailler les attaquants.

Aujourd’hui, l’attribution des attaques est compliquée, car le fléau est mondialisé. Il faut l’imaginer comme une grande entreprise en télétravail, où chacun a sa tâche. Sans parler du grand banditisme et de la mafia qui utilisent le cyber pour blanchir de l’argent.

 

 

La justice est-elle en mesure de répondre à ces infractions ?

CG : C’est surtout, à mon sens, une question de moyens. Pour répondre à l’explosion du nombre d’attaques, il faut des équipes nombreuses et formées. Puis, on le sait, le temps de la justice n’est pas le même que le temps de la victime. Il y a aussi la difficulté de remonter ces filières mondialisées, et recueillir des preuves.

AD : En effet, à ces attaques, nous devons apporter une réponse globale, qui passe par la collaboration entre les pays. À cet égard, Europol fait un travail formidable.

Les mentalités ne sont pas les mêmes selon les cultures. En France, nous sommes latins, dans une logique rousseauiste considérant que l’Homme est bon par nature. Nous avons ainsi tendance à contourner les règles. Dans la culture anglo-saxonne, « l’Homme est un loup pour l’Homme », et il faut s’en protéger. Mais malgré cela, je dois dire que la France ne s’en sort pas si mal.

 

Propos recueillis par Constance Périn

 

 

Zoom sur le Guide d’hygiène informatique de l’ANSSI pour renforcer la sécurité de son système d’information en 42 mesures

Parmi les mesures techniques que les entités publiques ou privées doivent prendre pour garantir la sécurité de leurs systèmes d’information, on qualifie les plus simples et élémentaires d’entre elles d’hygiène informatique, car elles sont la transposition dans le monde numérique de règles élémentaires de sécurité sanitaire.

Non exhaustives, ces 42 mesures représentent le socle minimum à respecter pour protéger les informations de son organisation. Une fois ces règles partagées et appliquées, le responsable de la sécurité des systèmes d’information aura accompli une part importante de sa mission : permettre à votre organisation d’interagir avec ses partenaires et de servir ses clients en respectant l’intégrité et la confidentialité des informations qui les concernent.

À télécharger en cliquant ici.



0 commentaire
  • 7 + 6 =
Poster

Nos derniers articles

Serge Grudzinski, auteur, dirigeant de la société Humour Consulting Group depuis 1993, a inventé un ...
Le 19 janvier, le ministre Bruno le Maire a annoncé la réouverture du registre des bénéficiaires eff...
Dans cette tribune, Marie-Bénédicte Desvallon, avocate et responsable de la Commission ouverte Droit...