Entretiens

Cybercriminalité, l’âge industriel

12/01/2021

Hier épisodique, la cybercriminalité est aujourd’hui massive, portée par la digitalisation et l’interconnexion. Elle frappe tous les secteurs et toutes les entreprises. Dont les marques de PGC, qu’elle menace dans leur réputation auprès des consommateurs. La combattre est l’affaire de tous dans l’entreprise. Entretien avec Alain Bouillé, délégué général du Cesin[1].

Procédés industriels, flux financiers, propriété intellectuelle, secret des affaires, données produits, fonctionnement des logiciels de gestion intégrée… où se situent les principaux enjeux et les plus fréquents risques pour les entreprises face à la cybercriminalité ?

Alain Bouillé : La transformation digitale des entreprises s’est faite du sol au plafond, quel que soit le secteur. Aujourd’hui, l’entreprise est totalement dépendante de son système d’information et celui-ci ne relève plus de sa maîtrise comme auparavant, car il est presque totalement externalisé. Il y a vingt ans, quand un data center ou un serveur tombait en panne, c’était une entreprise qui était paralysée ou perturbée. Aujourd’hui, avec le Cloud et les solutions mutualisées, quand un fournisseur tousse c’est la terre entière qui s’enrhume. La récente panne de Google pendant une demi-journée a touché des milliards d’utilisateurs. Les dysfonctionnements peuvent être provoqués par différentes causes que vous évoquez. Quand une entreprise est de plus en plus cyberattaquée, comme on le constate aujourd’hui avec les logiciels rançonneurs, elle arrête toute activité, est incapable de communiquer…On ne peut plus cacher la poussière sous le tapis ; l’entreprise doit être transparente, car ce n’est pas une maladie honteuse et cela finit de tout façon par se savoir.

Ajoutons un autre phénomène : l’interconnexion. Une entreprise est dépendante de nombre de sous-traitants interconnectés avec son système. Si l’un se fait attaquer, c’est l’ensemble de l’édifice qui peut s’écrouler. La société d’ingénierie Altran, attaquée en 2019 par rançongiciel, a été obligée de déconnecter son système informatique pour ne pas propager le virus à ses clients. Plus récemment, en septembre 2020, le groupe informatique français Sopra Steria, lui aussi victime d’un rançongiciel, a coupé une grande quantité de serveurs, ce qui a eu un impact sur les services rendus à sa clientèle. On ferme alors portes et fenêtres, et on coupe tous les liens avec le fournisseur affecté. Ainsi la digitalisation et l’interconnexion fragilisent l’entreprise, car elle dépend du bon fonctionnement de ses fournisseurs, de ses partenaires, et plus seulement de ce qu’elle maîtrise elle-même.

La chaîne d’approvisionnement, avec une kyrielle de sous-traitants de l’amont à l’aval, est donc particulièrement exposée ? Et de façon plus générale les interfaces d’échanges d’information interentreprises ?

A. B. : Nous entrons ici dans les actes de cyberguerre : quand le ver est dans le fruit, c’est tout le système qui est déstabilisé. L’interdépendance a ses effets pervers. Tout le monde est client des mêmes fournisseurs. Quand le fournisseur américain de logiciel de comptabilité SolarWinds s’est récemment fait pirater, il suffisait de télécharger les mises à jour pour être également touché. Nous sommes dans l’extrême des actes de cyberguerre, avec des attaquants de niveau étatique qui, pour atteindre leur cible, utilisent des chevaux de Troie comme SolarWinds.

La transparence contre le risque réputationnel

L’enjeu réputationnel et l’atteinte à la marque sont-ils bien appréhendés ?

A. B. : Non ! La cyberattaque a longtemps été vécue comme une maladie honteuse, synonyme d’incompétence du responsable informatique de l’entreprise, et le bouc-émissaire se trouvait forcément à la DSI, qui n’avait pas les bonnes protections, n’avait pas fait les bonnes mises à jour… On sait bien aujourd’hui que les meilleurs se font attraper, et s’il y a encore des entreprises où l’inconscience prévaut, la plupart sont correctement armées. Pour autant, la transparence paie, comme l’atteste le norvégien Norsk Hydro, l’un des plus grands producteurs d’aluminium européens, attaqué en 2019 et qui donna un bulletin de santé pratiquement tous les jours par communiqués de presse. Cette entreprise est citée en modèle de transparence. Les enjeux de réputation et d’atteinte à la marque doivent donc être pris en compte dans et par l’entreprise, ne serait-ce que dans la communication de crise, qui doit être contrôlée par la direction. Il faut s’y préparer en temps calme, pour qu’en période de crise la marque soit malgré tout valorisée pour avoir été protégée avant. L’improvisation est la pire ennemie en gestion de crise, particulièrement en cas de cyberattaque. Les entreprises ont en ce domaine beaucoup de progrès à faire pour communiquer correctement pendant et surtout après l’attaque.

Quand un dispositif numérique supplée l’homme pour contrôler la quantité d’un silo, la recette d’un produit, sa qualité, détecter la présence d’un allergène, peut-il être facilement détourné ?

A. B. : Oui, bien sûr. Dès que le dispositif industriel est digitalisé, il devient vulnérable et risque d’être détourné de sa finalité première. Des systèmes d’analyse d’eau potable ont été piratés avec l’envoi de faux résultats à la centrale de contrôle. On peut ainsi empoisonner une population sans le savoir. Tout dispositif destiné à faire des contrôles informatiques est susceptible d’être attaqué. Et cela s’aggrave avec la kyrielle d’objets connectés : la SNCF surveille l’état de son réseau ferroviaire avec des capteurs qui analysent la vibration des rails. Un boulon desserré non détecté, et c’est le train qui déraille si le système est piraté. Aujourd’hui, ce n’est plus seulement l’informatique traditionnelle dite de gestion qu’il faut sécuriser, mais tous les objets connectés, dont le prix de revient est tellement faible que la sécurité n’est quasiment jamais intégrée.

Exposition des circuits logistiques

Entre virus informatiques et vols de données, quelles sont les attaques les plus fréquentes ?

A. B. : Les attaques de type rançongiciel s’accompagnent désormais de vols de données. Le virus va non seulement chiffrer les données mais les extraire et organiser des systèmes de rançon à la non-diffusion d’informations confidentielles. Le vol des données va être le sport favori des hackers, car tout est donnée, qui touche tous les secteurs, toutes les personnes. Et la donnée devient de plus en plus difficile à protéger.

L’arrivée de la 5 G constitue-t-elle une extension du risque pour les entreprises, par la multiplication des objets connectés ?

A. B. : Ce qui manquait, ce sont des réseaux à même de véhiculer rapidement ces données générées de manière exponentielle. La 5 G va résoudre le problème du transfert de données, mais on va pouvoir plus facilement les voler, car les objets seront de plus en plus connectés. Les risques pour les entreprises vont s’en être démultipliés.

Dans l’univers des PGC, un secteur est-il plus touché que d’autres par les cyber-attaques ?

A. B. : Le diable se niche dans les détails. La cybercriminalité est très variée dans ses modalités, des attaques étatiques aux petits larcins…Elle peut toucher les grands groupes comme les PME. Les grands groupes, mieux protégés demandent des préparations d’attaques plus sophistiquées chez les cybercriminels. Les PME sont plus fragiles, car les questions de sécurité y sont souvent secondaires, mais elles sont plus agiles pour trouver rapidement des solutions. Si une PME a des sauvegardes intègres, elle pourra se sortir d’une attaque par rançongiciel en restaurant l’ensemble de ses données, cela peut ne prendre que quelques heures. Une grosse entreprise dotée de milliers de serveurs et de messageries aura besoin de plus de temps.

Pour les PGC, tout dépend de ce que les entreprises vendent. Si tel produit suscite une concurrence exacerbée à un moment donné, il peut attirer des convoitises. On peut par exemple paralyser le concurrent par une cyberattaque de ses circuits logistiques, par exemple. Ce sont des questions d’opportunité plus que de secteur qui déterminent les cyberattaques.

Les arrêts d’activité imputables à des cyber-attaques sont-ils fréquents (ex : Fleury-Michon à l’arrêt pendant cinq jours en avril 2019) ?

A. B. : Fleury Michon est un bon exemple. Cinq jours, c’est parfois le délai de péremption pour certains produits alimentaires. Nous avons eu en 2020 une année record par les actions de logiciels de rançonnage.

Vigilance nécessaire mais insuffisante

Les enjeux sanitaires exposent-ils particulièrement les entreprises agroalimentaires ?

A. B. : La cybercriminalité du monde bancaire, financier, n’a a priori pas causé de morts. La vie humaine commence à être un enjeu avec le monde de la santé et avec l’agro-alimentaire, où les questions sanitaires sont prioritaires. Le risque d’empoisonnement de la population devient réel, et l’entreprise joue sa réputation.

Le travail à distance offre-t-il plus opportunités d’attaques ?

A. B. : Oui, car il s’agit du travail resté le seul à n’avoir pas été externalisé par les entreprises. Les salariés consommaient sur place leur système d’information. Le fait d’avoir de manière massive des salariés travaillant chez eux dans des environnements a priori moins sécurisés facilite les cyberattaques. Les utilisateurs sont devenus indépendants, avec en particulier la multiplication des systèmes de vidéo-conférence, de partages de fichiers. Mais ils ne sont pas pour autant devenus responsables. Le gros sujet du télétravail est celui de la donnée, qui peut souvent être malmenée, non pas par volonté de nuire mais par le fait que les utilisateurs ont souvent dans les mains des outils Ferrari avec le permis pour conduire une Twingo.

Comment évolue le coût d’une cyberprotection efficace ?

A. B. : Le coût augmente à mesure que la sophistication progresse et que les risques se multiplient. C’est une question de proportionnalité. Or les entreprises ont sous-estimé les coûts des risques de cyberattaques induits par la digitalisation. L’avenir est aux produits digitaux qui intégreront la sécurité dès leur conception.

La cybersécurité ne doit-elle pas être un enjeu partagé par l’ensemble des salariés, souvent à l’origine, par mégarde ou ignorance, des cyberattaques ?

A. B. : Oui, bien sûr. Il faut une bonne dose de sensibilisation des salariés, de formation de ceux qui fabriquent les outils informatiques, développent les logiciels. La prévention est indispensable dans une démarche de cybersécurité. Mais faire reposer la sécurité informatique de l’entreprise sur la vigilance de l’utilisateur est insuffisant. Il peut être très vigilant, sensibilisé, mais il n’est pas obligatoirement formé pour repérer une cyberattaque, qui aujourd’hui ne se présente plus dans un mail avec une vingtaine de fautes d’orthographe. Je m’insurge contre le fait de dire que le problème vient toujours du maillon le plus faible et que celui-ci est l’utilisateur.

Au-delà de la défense de leurs seuls intérêts, la cybersécurité est-elle une composante de la responsabilité sociétale des entreprises ?

A. B. : La cybersécurité a depuis quelque temps fait son entrée dans les rapports annuels des entreprises. S’ils sont leur « journal des bonnes nouvelles », c’est néanmoins important, car cela montre que ce sujet est appréhendé. Mais est-il pris en compte au bon niveau dans l’entreprise ? Le comex est-il bien sensibilisé ? Certainement dans les grands groupes ou secteurs qui ont atteint une certaine maturité, comme le secteur financier, mais ce n’est pas encore le cas dans l’agro-alimentaire, par exemple, surtout dans les PME. En revanche, dans des entreprises de PGC comme Seb ou L’Oréal, la sécurité informatique est prioritaire. Tout est affaire de maturité.

[1] Club des experts de la sécurité de l​‌’information et du numérique (https://www.cesin.fr).

Propos recueillis par Jean Watin-Augouard

Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à l'utiliser, nous considérerons que vous acceptez l'utilisation des cookies.