Maxime Alay-Eddine est le vice-président d’Hexatrust. Ce groupement d’entreprises françaises de cybersécurité a pour objectif de couvrir toutes les failles des entreprises, quelles que soient leur taille ou leur secteur d’activité. À l’aune du conflit entre la Russie et l’Ukraine, il alerte les sociétés françaises : les risques cyber pèsent plus lourd en temps de guerre.
Avec la guerre en Ukraine, l’Anssi appelle les entreprises à renforcer leur vigilance cyber. Les menaces sont-elles vraiment plus importantes en temps de conflit ?
Maxime Alay-Eddine : C’est indéniable. Depuis le début de l’invasion militaire, l’Agence nationale de la sécurité des systèmes d’informations (Anssi) recense diverses attaques à l’encontre des institutions et banques ukrainiennes, des défigurations de sites internet, des tentatives d’intrusion sur les messageries électroniques, des cyberattaques… L’entreprise Vade Secure, membre d’Hexatrust, a noté que les tentatives d’attaques via les services de messagerie avaient été multipliées par 10. Celles-ci ne semblent pas spécialement ciblées, mais il ne faut pas se leurrer : elles provoqueront des dégâts collatéraux et ne vont pas se cantonner aux frontières du conflit. À titre de rappel, le virus NotPetya, qui avait touché plusieurs entreprises majeures en Ukraine en 2017, s’était propagé jusqu’à Saint-Gobain, lui coûtant 80 millions d’euros de résultats. On ne peut pas caractériser la menace à 100% mais il est certain que des personnes malveillantes cherchent à bénéficier du chaos ambiant. Dans ce type de situation, on constate ainsi que certains groupes en profitent pour mener des cyberattaques en désignant un autre coupable : un État ou un collectif de hackers va pouvoir agir et blâmer la Russie, par exemple. Cela rend leur identification d’autant plus difficile.
Que risquerait-on, dans un scénario catastrophe ?
M. A.-E. : Nous n’y sommes pas encore, mais le vrai danger, c’est que les incidents cyber aient des répercussions dans le monde physique. C’est ce que l’on appelle des attaques sur les systèmes industriels. Elles peuvent viser, par exemple, les éléments de production énergétique. Il existe des simulations d’attaques sur des centrales électriques, et les dégâts sont terribles : on parle de générateurs qui peuvent exploser. Le risque, c’est bien sûr que les hackers s’attaquent aux fournisseurs des centrales, voire aux fournisseurs des fournisseurs, pour pénaliser ce type de structures. Il y a une vraie probabilité d’attaque par propagation.
Pensez-vous que les alertes du gouvernement soient suffisantes pour pousser les entreprises françaises à se protéger ?
M. A.-E. : Lors de son allocution, le président a évoqué le risque cyber. Mais c’est surtout l’Anssi qui donne le tempo depuis quelques semaines, en émettant des recommandations simples et régulières. La première, qui s’adresse à toutes les entreprises, c’est de mettre à jour son matériel dès que possible. La deuxième est destinée aux sociétés qui sont déjà un peu équipées : il faut surveiller son système d’information et son réseau pour détecter une activité anormale, comme une requête réseau vers des acteurs douteux – des pays avec lesquels on n’a pas l’habitude de commercer, par exemple. Enfin, l’Anssi rappelle l’importance de diversifier ses systèmes de sauvegarde pour avoir des solutions de secours en cas de vol ou cryptage de données.
Peut-on s’attendre à ce que les entreprises suivent, plus que d’habitude, une liste de recommandations en ligne ?
M. A.-E. : Les recommandations de l’Anssi sont bonnes, la question est en effet de savoir si les entreprises vont les appliquer. C’est toute la difficulté du risque cyber : il est impalpable, immatériel. On dit souvent que les entreprises agissent lorsqu’elles sont victimes d’une attaque, et c’est vrai. Il ne faut pas négliger qu’une bonne stratégie cyber demande du temps et du budget. Peut-être qu’il faudrait une plus grande forme de sensibilisation nationale, mais d’après moi, elle doit passer par les médias. Si la menace est suffisamment relayée dans les médias « mainstream », toutes les entreprises, y compris les plus petites, vont s’intéresser au sujet.
Diriez-vous que la France est bien placée pour réagir à la menace cyber ?
M. A.-E. : La force de la France, c’est une solide industrie au niveau des fournisseurs et des intégrateurs de solutions. Nous avons de très bons ingénieurs capables de les déployer. La faiblesse, c’est la partie commerciale. Nous avons encore énormément de travail à faire pour que les entités françaises consomment des offres françaises. Ce n’est pas pour rien que l’Anssi questionne l’emploi de solutions russes en ce moment : il faut consommer local aussi en matière de produits de sécurité. C’est aussi notre rôle, au sein d’Hexatrust, de soutenir l’économie locale.
Biographie
Co-fondateur et président de Cyberwatch, Maxime Alay-Eddine est diplômé de l’Ecole Centrale de Nantes (promotion 2013) et parrain de la promotion 2022. Il a fait ses premiers pas dans la sécurité informatique en 2002, avant de mettre ses compétences au profit des entreprises. En 2015, il a co-créé Cyberwatch, afin d’aider les entreprises et administrations à traiter leurs vulnérabilités informatiques. Il est aussi vice-président d’Hexatrust, le groupement des solutions cyber françaises et cloud de confiance.
