Virus informatici e cyberattacchi, la prossima pandemia?

 Risque cyber, la future pandémie ?

Rançonnage, malware, phishing… Pour les entreprises, l'année écoulée aura été marquée par la recrudescence des cyberattaques, sur fond de recours massif au télétravail. Et 2021 s'annonce déjà du même bois. Voire pire.

Les Echos, Publié le 10 févr. 2021 à 7:08Mis à jour le 10 févr. 2021 à 12:36

Bouygues Construction en mars, CMA CGM en septembre, les villes d'Annecy et de la Rochelle fin décembre… En 2020, les exemples de cyberattaques d'envergure, en particulier par ransomware , se sont multipliés. Selon une étude réalisée en octobre en France pour le compte du spécialiste de la sécurité Proofpoint, 9 entreprises sur 10 déclaraient avoir été victimes d'au moins une cyberattaque majeure au cours des douze derniers mois, deux tiers déclarant même des incidents multiples. Le nombre de dossiers traités par l'Anssi, l'Agence nationale de la sécurité des systèmes d'information a été multiplié par quatre en 2020, comparé à l'année 2019, rien que pour les rançongiciels.

Bref, plus personne ne peut aujourd'hui faire l'impasse : « le risque cyber concerne toutes les entreprises », confirme Alain Bouillé, vice-président du Cesin, le Club des experts de la sécurité de l'information et du numérique. Les attaques se sont sophistiquées. « Menacer de chiffrer les informations de l'entreprise ne suffit plus aux cybercriminels », explique Vincent Desroches, chef de la division méthodes de management de la sécurité numérique à l'Anssi. Les pirates ont appris à diversifier leurs sources de revenus, « menaçant d'abord de divulguer au compte-gouttes les données siphonnées, puis de les livrer au plus offrant, en plus de les chiffrer », analyse l'expert. Le moyen de mettre un maximum de pression sur les victimes et de faire monter les enchères.

Des enjeux multiples

Les sommes en jeu peuvent alors vite grimper, et se compter en dizaines de milliers d'euros, voire en millions, avec des conséquences opérationnelles parfois catastrophiques pour les entreprises. Et, même si la doctrine officielle reste toujours la même, à savoir « ne jamais payer », rappelle l'expert de l'Anssi, certaines entreprises peuvent être alors tentées de le faire, croyant éviter le pire.

Car les enjeux cyber sont aujourd'hui « multiples pour les entreprises », souligne Alain Conrard, CEO de Prodware Group, et président de la commission digitale du Meti, « à la fois d'ordre opérationnel, de réputation, concurrentiel. Sans oublier l'impact financier en cas d'attaque. »

 

Sensibiliser, sauvegarder, assurer

Alors, comment se prémunir, couvrir ces risques ? « Il convient d'abord de bâtir un socle de sécurité », assure Vincent Desroches. La démarche peut être commencée par un audit de sécurité et une analyse de la menace, afin de prendre la juste mesure du risque. L'expert exhortant, ensuite, les entreprises « à intégrer le risque cyber dans leur stratégie, au même titre que leurs autres grands risques systémiques. »

Un poids important repose alors sur les épaules du RSSI, le monsieur « gestion du risque cyber ». « Ce qu'on préconise, surtout, à l'Anssi, c'est qu'il ait un lien étroit avec le comex, afin que la sécurité cyber fasse partie de l'ADN de l'entreprise. » Le bon moyen aussi d'installer une sécurité en profondeur, et de limiter les dégâts en cas de franchissement de la première ligne de défense.

Côté PME, « sensibiliser, faire des sauvegardes » : les recettes demeurent peu ou prou les mêmes, rappelle Jérôme Notin, directeur général de cybermalveillance.gouv.fr. Sans oublier, pour couvrir les risques résiduels, de souscrire à une police d'assurance dédiée. « Mais ce n'est pas ça, qui vous rendra vos données », souligne Jérôme Notin.

Surveiller son écosystème

Pour Alain Bouillé, « les entreprises qui s'en sortent le mieux seront surtout celles qui misent sur des solutions de supervision efficaces, afin de détecter les signaux faibles, le plus tôt possible ». Bien avant la paralysie. « Il faut vraiment surveiller tout son écosystème : cloud, partenaires, serveurs DNS… », insiste, quant à lui, Thierry Auger, directeur cybersécurité chez Lagardère. « C'est vital ! »

Alors le risque cyber, la prochaine pandémie ? « La question n'est pas de savoir si cela va arriver, mais quand… », assure Stéphane Volant, président du CDSE, le Club des directeurs de sécurité des entreprises. « On ne peut pas l'exclure, abonde Alain Bouillé. Nous sommes, aujourd'hui, très dépendants. Nous utilisons tous le même réseau et avons recours aux mêmes fournisseurs de solutions logicielles. Tous américains. » Et Jérôme Notin de s'interroger. « Qu'adviendrait-il, par exemple, si une faille majeure sur Windows Server était exploitée.»

Stéphane Volant du CDSE renchérit. «Et comment fera-t-on s'il faut créer des gestes barrières et fermer les frontières avec les milliards d'échanges chaque jour sur le Net et tous nos serveurs à l'étranger ? Où a-t-on écrit le scénario dans lequel on reconfine sans pouvoir utiliser le numérique ? La catastrophe est devant nous… ».

On comprend que beaucoup s'alarment, attendant de l'Etat une réponse rapide. Elle passera notamment par l'ouverture, à l'automne prochain, du campus cyber . Ce « lieu totem de la cybersécurité », en France, rassemblera, Tour Eria à La Défense, les principaux acteurs nationaux et internationaux du domaine : grands groupes, PME, services de l'Etat, organismes de formation, acteurs de la recherche et associations. Avec des déclinaisons déjà prévues en région… « En espérant qu'il ne soit pas déjà trop tard », souffle Alain Bouillé.

Link originale: https://www.lesechos.fr/thema/risk-management-2021/risque-cyber-la-future-pandemie-1288905