La question n’est désormais plus de savoir si l’on va être attaqué mais quand. D’où l’importance pour les entreprises, collectivités territoriales, de disposer d’outils pour identifier et prévenir les attaques cyber.
Des cyberattaques en forte augmentation
Délégué adjoint à la sécurité numérique de l’ANSSI* de Nouvelle-Aquitaine, Martin Veron expose d’entrée de jeu l’état de la menace. On compte quatre fois plus d’attaques en 2020 et une hausse de 40 % en 2021. Les cybermercenaires désormais professionnalisés, disposent de ressources considérables, et agissent au sein de bandes organisées, avec une force décuplée. Ils n’ont pas de cible privilégiée et attaquent par opportunisme. Quand ils sont dans le système de l’organisation, ils adaptent leur demande : rançon plus ou moins forte, revente lucrative de données. Toutes les entreprises et organisations sont potentiellement concernées.
Des conséquences lourdes pour l’entreprise
Le risque cyber se définit comme l’ensemble des risques liés à l’usage des technologies numériques. Il porte sur la confidentialité, l’intégrité ou la disponibilité du patrimoine informationnel de l’organisation.
Vols de savoir-faire, hameçonnages, usurpation de mails, autant d’exemples de menaces visant à utiliser frauduleusement des informations personnelles ou professionnelles. Les répercussions financières et humaines sont énormes. Outre la perte d’exploitation liée à l’arrêt de la production, perte de clients, d’argent, de temps.
Le préjudice pour les entreprises se signalant se chiffre rapidement à plusieurs centaines de milliers d’euros. Une donnée sous-évaluée car seulement une entreprise sur 267 porte plainte. Se sentant coupables, responsables, la plupart des organisations paye la rançon, ce que déconseille fortement l’adjudant-chef Cédric Cazenave. Le dépôt de plainte déclenche un process de « réponse à incident » : diagnostic, investigations et tentative de restauration du système. (Encadré : Lire le témoignage de David Goyard DSI de Cofidur). La prévention reste toutefois une stratégie efficace, associée à un investissement sur le risque cyber (assurances, outils de détection…).
Un scénario fréquent d’attaque
« Le plus souvent explique Martin Veron, l’attaquant choisit le où les postes de travail, au cœur de l’environnement bureautique. Si le poste est connecté à Internet, il devient potentiellement une cible. Le hacker prend la main par le hameçonnage, ou en exploitant une vulnérabilité du système ». Il ne lui reste plus qu’à investiguer, à générer quelques milliards de mots de passe en quelques minutes, pour mettre la main sur celui d’un administrateur pas suffisamment robuste par exemple. Il accèdera au réseau interne puis au « super serveur », centralisateur de toutes les données, et deviendra le seul maître à bord. « D’où l’importance, soulignée par Martin Veron, de sensibiliser prioritairement l’utilisateur ».
L’utilisateur, premier rempart de la sécurité
Pour contrer les hameçonnages et attaques de plus en plus perfectionnés, quelques conseils de prévention sont dispensés par l’adjudant-chef Cédric Cazenave : « pour résoudre les failles de sécurité, explique le militaire, les mises à jour des applis et autres logiciels doivent être systématiquement réalisées. Les sauvegardes doivent être effectuées sur des supports amovibles, régulièrement testés et débranchés de l’ordinateur ». Le cyber gendarme recommande également d’être particulièrement vigilant quant aux émetteurs de mails.
Au cœur de la sécurité, le mot de passe
Submergés par tous les mots de passe de nos différents comptes personnels et professionnels, nous rechignons à les changer. Compte-tenu de la puissance de calcul phénoménale dont disposent les hackers, le mot de passe doit avoir certaines caractéristiques. Il doit être long, entre 10 et 12 caractères, complexe, et non facilement identifiable. Pour Martin Veron, « plutôt que le renouvellement régulier, mieux vaut privilégier un mot de passe très robuste. Le couplet ou le refrain d’une chanson que l’on connaît par cœur par exemple ». Retenir la première lettre de chaque mot, en combinant majuscules et minuscules et ajouter un ou deux caractères spéciaux. Un bouclier indispensable qui peut être complété par une double authentification.
ANSSI* – Agence Nationale de la Sécurité des Systèmes d’Information : service créé en 2009 rattaché au secrétariat général de la défense et de la Sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale.
D’autres outils et conseils sont disponibles sur :
Témoignage de David Goyard, Directeur des Systèmes d’Information – Entreprise industrielle Cofidur
Entreprise de référence sur le marché de l’industrie électronique, Cofidur a fait l’objet d’une cyber attaque en février 2022. David Goyard a relaté les 28 jours de tension extrême de lutte contre l’attaque.
Exploitant une faille de sécurité du pare-feu, l’attaquant injecte un virus dans un premier temps. Puis il s’infiltre dans le système et commence à exfiltrer les informations vers une plateforme. Fort heureusement, un technicien en interne détecte cette infiltration. Dès lors, l’entreprise se met dans une bulle. Elle coupe toute connexion Internet et demande à l’ensemble de ses collaborateurs de changer les mots de passe. Cette mise à jour forcée permet d’éviter la troisième et dernière étape : le cryptage, aboutissant à une demande de rançon.
Ne pas arrêter la production
David Goyard reconnaît que « quand ça arrive on a beau avoir toutes les formations et sensibilisations du monde, on se retrouve dans une situation anxiogène. Personne ne comprend et on ne sait pas ce que sera le lendemain ». Un seul objectif : arrêter le massacre et assurer la continuité de l’activité. Cette décision prise par le Comité de crise a permis de limiter la perte financière liée à l’attaque.
Investir pour le Système d’Information
Au moment de l’attaque, l’entreprise ne dispose pas d’une assurance liée au risque cyber. Grâce à son réseau, elle trouve un prestataire au bout de cinq jours. Heureusement colmatée, l’attaque a permis de sensibiliser davantage les dirigeants, qui ont validé des budgets complémentaires. La perte liée à l’attaque, ainsi que celle des frais de réponse à incident ont ouvert des portes. L’entreprise a investi sur un EDR. Basé sur l’intelligence artificielle, cet outil analyse les systèmes et constate les activités anormales. Lorsqu’il les a détectées, il verrouille les postes concernés, évitant ainsi la prolifération. Plus précis qu’un antivirus traditionnel, il est aussi plus cher. Il est en outre utilisé par les prestataires intervenant sur des incidents et permet d’œuvrer avec une plus grande efficience.
Des assurances existent mais, comme l’explique Kevin Hem, DSI de la CCI, « les prix des polices ont explosé et les prérequis en terme d’exigences ont aussi augmenté ».
Déposer plainte et communiquer
Dès le lendemain de l’attaque, le DSI sollicite les cyber gendarmes, dépose plainte et prévient l’ANSSI et la CNIL. L’entreprise doit aussi communiquer à la fois auprès de ses salariés, compte-tenu de leurs données personnelles ciblées, mais aussi les clients et fournisseurs. « Un sujet de longue haleine, souligne David Goyard qui a nécessité près de trois semaines pour les convaincre que leurs données n’étaient pas compromises ».
