Sylvain Jourdy est co-fondateur et P-DG de l’entreprise Lojelis. Spécialisé dans le conseil technologique aux entreprises, le cabinet a subi une cyberattaque en juillet 2021. Sylvain Jourdy a tenu à témoigner de son expérience lors de la conférence Sécurité économique et cybersécurité : un enjeu pour toutes les entreprises, organisé par Semkel* à Clermont-Ferrand le 17 mars 2022.
Votre entreprise a été victime d’une cyberattaque. Que s’est-il passé, exactement ?
Sylvain Jourdy : On n’est pas dans Star Wars, ce qui s’est passé est extrêmement simple : le CEO de notre filiale aux États-Unis s’est fait pirater sa messagerie. Il a reçu un e-mail émanant prétendument de notre fournisseur de messagerie (Microsoft Office 365) pour mettre à jour son mot de passe. Il a répondu favorablement. Sauf qu’au lieu de changer son mot de passe, la manipulation a transmis aux pirates son mot de passe. Cela a permis à un individu de créer un alias et se faire passer pour notre CEO afin de s’installer dans les conversations. Notre directeur administratif et financier a reçu des messages à la syntaxe étonnante – des questions somme toute assez anodines, auxquelles il a répondu. En parallèle, le ou les pirates ont demandé à un de nos principaux clients aux États-Unis – la société Michelin – de changer le RIB de la filiale américaine de Lojelis. Dans un logiciel de gestion intégré (ou ERP) classique, un processus s’enclenche de vérification des informations critiques, telles qu’un changement de RIB. Une demande de vérification a donc été envoyée, qui n’a pas été suivie d’effet puisque personne chez nous n’était au courant de cette demande. Sauf que cette dernière a provoqué le blocage de notre compte fournisseur. Nous ne pouvions plus être payés.
Comment avez-vous réagi ?
S.J. : L’ERP de Michelin étant très centralisé, la demande de vérification a été transmise au siège français. Le service sécurité de Michelin s’est saisi de l’affaire et nous a contactés. Nous avons mené un travail de 2 à 3 jours avec leurs équipes pour passer en revue nos réactions depuis la découverte de l’incident, et déterminé que nous avions bien réagi. Malgré cela, nos paiements ont été bloqués pendant plusieurs semaines, alors que nous réalisions l’année dernière 500 000 euros de chiffre d’affaires aux États-Unis.
Est-ce que vous avez entrepris des actions pour mieux sécuriser vos infrastructures ?
S.J. : Il est important de souligner qu’il n’est pas honteux d’en parler. Au contraire, il faut expliquer ce qu’il s’est passé pour trouver ensemble les parades. Il est aussi nécessaire d’évaluer l’impact des nouveaux outils mis en place. Par exemple, nous avons changé d’outil d’accès à nos bureaux, dans lequel est agrégée l’information de la présence de salariés en temps réel. Cet outil n’a rien à voir avec la gestion financière mais il devient un point d’entrée puisqu’il va se connecter à notre système d’information RH qui est lui relié à notre système d’information financier.
Et pour former vos collaborateurs ?
S.J. : Nous sensibilisons régulièrement nos collaborateurs ; nous avons aussi modifié la fréquence de changement des mots de passe de messagerie. Ce sont des rappels permanents à opérer dans l’entreprise parce que l’être humain va toujours vers la facilité. Sa routine ne lui permet pas d’être en permanence vigilant en matière de cybersécurité. Alors que l’essentiel de la cybercriminalité relève de la malveillance humaine : des systèmes informatiques qui attaquent d’autres systèmes informatiques, il y en a peu sur Terre.
D’autres entrepreneurs vous sollicitent-ils pour échanger avec vous autour de cyberattaques ?
S.J. : Oui, souvent. Un ami dirige une société aux États-Unis qui est actuellement bloquée depuis un mois parce qu’un ransomware lui demande 15 millions de dollars pour débloquer ses infrastructures. Comme il travaille avec les services de sécurité américains, il a interdiction de payer l’amende. J’ai aussi subi une autre tentative de fraude qui illustre l’éventail des possibilités en matière de piratage. En plein mois d’août, je reçois un appel du centre d’appel du Crédit Agricole, dont je suis client. Le numéro qui s’affiche est bien celui du centre d’appel du Crédit Agricole – j’ai vérifié par la suite. La personne au téléphone me dit qu’il y a sur mon compte des mouvements de fonds suspects émanant du Maghreb et me demande si je suis à l’origine de ces mouvements. Mon interlocutrice me demande de vérifier cela sur mon téléphone portable. C’est là que j’ai été alerté car quand je lui ai dit que j’allais plutôt utiliser mon ordinateur, elle a insisté pour que je le fasse sur mon téléphone. En fait, son idée était de me faire utiliser l’identification faciale car, à l’instant où on l’utilise pour entrer dans son espace bancaire, toutes les opérations en cours sont validées et cela aurait déclenché un un ordre de virement de 900 euros. J’ai ensuite rappelé le numéro qui m’avait contacté pour savoir qui était à l’origine de cette demande et je suis tombé sur un vrai centre d’appel Crédit Agricole. Mon conseiller bancaire habituel m’a confirmé le piratage. Il s’agissait donc d’un double piratage : de mon numéro de carte bancaire d’une part et du standard du Crédit Agricole d’autre part.
Que retenez-vous de ces expériences ?
S.J. : Il faut s’attendre à tout et prendre garde aux détails. Tout ce qui sort de l’ordinaire permet d’identifier un problème potentiel.
Biographie
Ingénieur de formation, Sylvain Jourdy a exercé une activité de consultant durant une vingtaine d’années, notamment chez Michelin, avant de fonder l’entreprise Lojelis en 2005. Ce cabinet de conseil en systèmes d’information est spécialisé dans les solutions ERP, la business intelligence et le numérique. L’entreprise édite aussi des logiciels, notamment dans les domaines de la santé, de l’environnement et de la communication.
*777 Corp, qui édite le média Intelekto, détient également le cabinet de renseignement, de protection des affaires et de formation Semkel
