Penser, classer, assurer - Numéro 457
01/05/2016
Le CDSE compte-il des entreprises de PGC ?
Alain Juillet : Ce club réunit cent dix grandes entreprises industrielles, financières ou autres, au nombre desquelles Danone, Fromageries Bel, L’Oréal, LVMH, Michelin, Nestlé. Mais la grande consommation et surtout l’agroalimentaire y sont sous-représentés, alors que nous apportons une vraie contribution à la gestion de la sécurité, étant à la charnière entre le public et le privé.
La cybersécurité et son écosystème sont-ils bien appréhendés par les entreprises de PGC ?
A. J. : Beaucoup de dirigeants ont du mal à en comprendre l’ampleur et les enjeux. Cela reste pour eux un problème d’antivirus à l’entrée de l’ordinateur. Cette relative cécité me rappelle celle d’il y a quelques dizaines d’années devant la finance et la comptabilité : de gros investissements ont été réalisés par les directions des systèmes d’information, comme hier par les directions financières, sans réelle prise en compte des questions de sécurité. Quand une crise survient, il leur est difficile de reconnaître les failles d’investissements élevés qu’elles ont recommandés. Le même phénomène a provoqué la création de l’audit, pour contrôler la gestion. Les spécialistes cyber n’ignorent pas les problèmes, mais ils ne maîtrisent pas leur complexité dans le domaine de la sécurité, et surtout ils ne peuvent se condamner en reconnaissant leurs erreurs.
Quelles sont les pires menaces ?
A. J. : Le piratage de données (fichier clients, formules en R&D, plans d’action…), les escroqueries (« au président », substitutions de factures ou de virements…) et les chantages (attaques contre les Scada, systèmes de contrôle et d’acquisition de données permettant le contrôle à distance des installations techniques). Les piratages sont quotidiens et le fait de hackers qui pillent les fichiers ou détournent des documents. L’escroquerie au président coûte cher aux petites et aux grandes entreprises (480 millions d’euros détournés depuis trois ans en France). Michelin a avoué en avoir pâti, mais en général les entreprises restent muettes – jusqu’au jour où des petites déposent le bilan. Les cyberpirates entrent dans l’entreprise et y demeurent en moyenne plus de deux cents jours, pour identifier les fichiers, les codes, les programmes de travail ; et quand ils sont prêts, l’attaque dure quelques secondes. Enfin le chantage, la recherche d’une rançon sous la menace de détruire l’outil industriel dans une usine, prend de l’ampleur, depuis la première qui visa l’usine atomique de production d’uranium de Natanz en Iran. Un virus placé dans le pilotage des machines altère leur vitesse de fonctionnement de manière brutale et aléatoire, et c’est le chantage à sa complète mise en œuvre, qui détruirait l’usine. Les entreprises de PGC sont les plus exposées à cette menace.
Et les attaques les plus fréquentes ?
A. J. : Les plus fréquentes sont les escroqueries au président, mais les piratages de fichiers augmentent, d’autant plus qu’ils n’intéressent pas que les concurrents. Les plus dangereuses, et nous n’en sommes qu’au début, sont les attaques Scada. Le détournement d’information par des employés aussi est courant : des salariés en place ou quittant l’entreprise vendent à des concurrents ou emportent programmes, plans, brevets, fichiers ; il est facile de sortir des données sur clé USB ou par transfert. Les lois françaises empêchant certains contrôles, il faut trouver un juste équilibre, en accord avec les partenaires sociaux. Ajoutons que certains concurrents français ou étrangers n’hésitent pas à recourir à l’espionnage. La plupart des entreprises de PGC n’ont pas pris conscience des enjeux et sont donc mal ou peu armées.
Qui du terroriste mafieux, de l’« hacktiviste », du concurrent jaloux ou du salarié licencié est le plus actif en matière de cybermenace ?
A. J. : Les terroristes mafieux sont peu nombreux, même si des affaires de chantage ont déjà eu lieu avec des produits pollués. L’agro-alimentaire connaît ce problème depuis longtemps. En revanche, le hacker activiste n’en est qu’à ses débuts. Des personnes, pour des raisons idéologiques, défendent certaines causes de manière violente, comme en Grande-Bretagne certains de ceux qui veulent protéger les animaux contre leur usage dans les laboratoires, allant parfois jusqu’à des actes criminels. Le salarié licencié n’a généralement pas pour ambition de faire du mal à l’entreprise, il veut tirer profit d’informations stratégiques en les vendant au plus offrant ou à la société dans laquelle il arrive, comme dans l’affaire Falciani avec UBS.
La cybersécurité serait-elle créatrice de valeur ?
A. J. : À n’en pas douter ! Les entreprises de PGC ont ainsi construit depuis longtemps un système de prévention des risques à base d’assurance. Or cela n’existe pratiquement pas en cybersécurité, car les entreprises ne l’ont pas encore intégrée à leurs réflexions. Quand elles devront assurer toute la partie cyber de leurs activités, elles s’apercevront qu’elle a une vraie valeur, en raison des primes demandées par les assurances. Et celles-ci vont exiger des règles strictes de sécurité. Aux États-Unis il y a 4 milliards de dollars de primes d’assurances dans la cyber, en France le montant est cent fois moindre.
Comme de responsabilité sociétale, devrait-on parler aussi de responsabilité sécuritaire des entreprises ?
A. J. : Absolument ! Quand Domino’s Pizza, aux États-Unis, se fait voler quinze millions de fiches qui circulent sur le dark web, sa réputation en souffre auprès de ses clients, d’autant qu’ils sont attaqués individuellement avec demande de rançon à l’écran crypté. L’« e-réputation » dépend de la capacité de chacun à assurer sa propre sécurité. Aux États-Unis, bien en avance, la fonction de directeur de la sécurité monte en grade, pour être présente dans les comités exécutifs. Avec l’entrée dans le cyberespace et la multiplication des risques, ces entreprises ont compris que les failles sécuritaires sont ce qui peut générer les plus grosses pertes. Il faut pouvoir les prévenir, les anticiper ou y faire face très vite. Qui en est capable ? Un directeur de la sécurité proche de la direction générale.
La protection d’une entreprise contre les cyber-risques est-elle du seul ressort du service informatique ?
A. J. : Non. De même que le comptable ne peut pas signer le chèque, de même le service informatique ne peut pas être seul chargé de la protection contre les cyber-risques. On ne peut pas être juge et partie. La cybersécurité est avant tout une question d’état d’esprit. Pour lutter contre les cyberattaques, il faut qu’à tous les niveaux chacun soit conscient des risques. Les salariés travaillant beaucoup chez eux, les clés USB, ordinateurs portables et téléphones mobiles sont essentiels dans leur travail. Combien de clés USB plombées, d’ordinateurs pénétrés par un virus, de messages interceptés ? Il est urgent de sensibiliser les salariés. Une faille, c’est à terme un risque pour l’emploi dans une entreprise menacée.
Et les parties prenantes, les fournisseurs ?
A. J. : Oui, car lorsque une entreprise a mis des barrières efficaces à l’entrée, les attaques passent par les sous-traitants ; elle doit donc avoir une politique globale, passer des accords avec eux pour les amener à respecter ses règles de sécurité.
Votre recommandation majeure ?
A. J. : Le vrai problème concerne le secret et ce qu’on doit protéger. Chaque entreprise doit se poser la question de ce qu’il faut protéger et de ce qui ne mérite pas de l’être, car on ne peut pas tout protéger. Il faut identifier le niveau de secret, de 0 à 10, pour toutes les activités, du cœur du réacteur, auquel personne ne doit avoir accès, aux activités banales. Le niveau de cybersécurité ne peut pas être le même dans toutes les activités de l’entreprise, sous peine de coûter trop cher et d’être inefficace.
Les formations universitaires sont-elles adaptées aux enjeux ?
A. J. : Non, car la cybersécurité est un nouveau domaine. Il existe des écoles spécialisées, comme l’Epita, des formations universitaires et des organismes d’État comme l’Anssi, mais ils ne sont pas en nombre suffisant pour répondre à la demande. Il revient aux organisations professionnelles (Medef, CGPME, Ilec…) et aux CCI de sensibiliser leurs adhérents, car la cybersécurité est le grand enjeu des prochaines années. Pour les avoir bien connues, je pense que les entreprises de PGC ont un rôle important à jouer, car elles ont été, sur le plan du marketing, de la connaissance des clients ou de la création de produits, en avance sur les autres. Elles doivent être à la pointe de la cybersécurité.
La « Stratégie nationale pour la sécurité du numérique » présentée le 16 octobre 2015 marque-t-elle un engagement fort de l’État ?
A. J. : L’État a pris conscience du problème, car les premières victimes ont été ses services. L’Anssi, la DGSI, la gendarmerie et certains services de police font un excellent travail de sensibilisation et d’appui. Le secrétariat d’État au Numérique mobilise et coordonne beaucoup d’actions, mais l’État n’a pas les moyens de tout faire. Les organisations professionnelles et les universités doivent prendre le relais.
Qu’attendre du « Service de l’information stratégique et de la sécurité économique », créé le 29 janvier 2016 et rattaché à la Direction générale des entreprises ?
A. J. : À la différence de l’ancienne Délégation à l’intelligence économique qui avait surtout en charge la sensibilisation, la formation et la normalisation, objectifs globalement atteints, ce service a pour vocation d’être opérationnel, d’aider les entreprises à se défendre.