« Les agresseurs sont des feignants, ils vont au plus simple, assenait Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, au dernier Forum International de la Cybersécurité. Pour un chef d’entreprise, ne pas protéger sa société est d’autant plus irrationnel qu’il y a des solutions simples à mettre en place. » Un système de sauvegarde déconnecté de ses données stratégiques pour ne pas être exposé aux rançongiciels, qui font des ravages dans les rangs des entreprises de taille intermédiaires, par exemple.
Les acteurs de taille moyenne sont aujourd’hui une cible privilégiée pour les pirates. Les grands groupes ont tous mis en place des systèmes de protection de pointe. Seuls des acteurs étatiques ou très organisés peuvent encore s’attaquer à eux. Pour la grande majorité des escrocs qui pullulent sur les réseaux, les ETI, les PME et les petites administrations sont excessivement faciles à piller.
Le cabinet Wavestone a audité une quarantaine d’industriels pour évaluer le niveau moyen de protection cyber. Le résultat est sans appel : une majorité de sociétés sont très en retard. 47% d’entre elles n’ont aucune protection sur leurs outils de production. 69% n’ont pas d’inventaire de leur parc informatique et logiciel. 53% d’entre elles n’ont identifié aucun responsable de ces sujets.
« Les dirigeants de PME paient »
Les pirates, eux, ont des méthodes bien huilées. Ils se spécialisent par type d’actions : vols de mots de passe, vols de données, chantage, blanchiment des rançons… « C’est la survie des PME qui est en jeu, alors les dirigeants paient, constate Laurent Lemaire, Chief Business Officer chez Orange Cyber Défense. Les attaquants se sont professionnalisés : ils savent négocier avec ce type d’acteur. »
Jérôme Notin donne un exemple : un même week-end, deux victimes ont été touchées par des attaques dont le code révèle qu’elles provenaient de la même source. À la première, une chambre de commerce régionale, les maîtres chanteurs demandent 5 000 euros pour débloquer les données capturées. À la seconde, PME en croissance au chiffre d’affaires de 50 millions d’euros… il faudra débourser 150 000 euros.
Développer une culture de la coopération
Pour faire face, les défenseurs s’organisent. Du côté de l’Etat, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) est surtout concentrée sur les opérateurs vitaux. Cybermalveillance.gouv.fr s’adresse à un public plus large. D’abord avec de la pédagogie, en proposant en accès libre une multitude d’outils de sensibilisation. Mais aussi en recommandant des spécialistes locaux de la cybersécurité, afin que chaque entrepreneur puisse trouver sur son propre territoire un interlocuteur de bon niveau.
De leur côté, les grands donneurs d’ordre cherchent à mieux dialoguer sur ces sujets avec leurs fournisseurs. Pendant un temps, la tendance était de laisser le risque peser sur les sous-traitants. Désormais, la philosophie dominante est celle de la coopération. « Nous sommes tous dans le même bateau. Il faut créer un réseau de confiance, témoigne Olivier Ligneul, directeur cybersécurité du groupe EDF. Si un maillon de la supply chain est touché, c’est toute la chaîne qui est menacée. Nous avons intérêt à aider la victime. »
Les prestataires, enfin, développent de plus en plus de solutions adaptées à ce segment de l’économie. Orange Cyber Défense, par exemple, propose une protection des machines qui combinent un système d’alerte et une veille humaine permanente pour réagir en cas d’attaque. Le tout pour un prix d’une trentaine d’euros par machine. « Ce sont des solutions rôdées par les grands groupes, estime Laurent Lemaire. Et c’est notre plus gros relais de croissance aujourd’hui. »
