Entreprises

DOSSIER CYBERSÉCURITÉ - Cyberattaques : personne n’est à l’abri

CYBERSÉCURITÉ. Vendredi 24 janvier aura lieu à l’IUT de Dijon le premier Forum cybersécurité et numérique à portée régionale co-organisé par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le Centre régional de cybersécurité BFC (CSIRTBFC) et la French Tech BFC, l’écosystème des acteurs qui oeuvrent collectivement pour l’innovation et le développement économique des startups et entreprises de la Tech de Bourgogne-Franche-Comté. À cette occasion, ce dossier spécial fait le point sur la nécessité d’organiser sa cybersécurité avec les acteurs du secteur en BFC, que l’on soit une TPE, une collectivité locale, en milieu rural ou en ville. Bonne nouvelle : les ressources locales sont là !

Lecture 20 min

Publié le 22 janvier 2025
Emmanuelle de Jesus

En juillet 2024 était publié le premier rapport annuel sur la cybercriminalité commandé par le ministre de l’Intérieur d’alors, Gérald Darmanin, avec des chiffres éloquents : 278 703 infractions liées au numérique avaient été enregistrées par les forces de sécurité intérieure en 2023 (en augmentation de 9 % par rapport à 2022, selon le Service statistique ministériel de la sécurité intérieure, SSMSI), dont 59 % constituées par des atteintes « numériques » aux biens (escroqueries, arnaques en ligne), 34 % par des atteintes « numériques » à la personne, 5 % par des atteintes aux institutions. En 2023, le CSIRT-BFC (Centre régional de cybersécurité BFC, opéré par l’ARNia, l’Agence régionale du numérique et de l’intelligence artificielle) dévoilait une typologie des cyberattaques recensées par ses services : 40 % concernait des TPE/PME/ETI ; 23 % des collectivités locales et 10 % des établissements de santé. Avec une nouveauté par rapport à l’origine des cyberattaques : personne n’est plus à l’abri, de la plus petite collectivité locale à la moindre TPE.

« Historiquement, les cyberattaques étaient plutôt de type étatique, retrace Jean-Félix Chevassu, directeur d’offre cybersécurité chez Adista (télécoms, cloud et cybersécurité). « Pour faire des cyberattaques, il fallait un certain niveau technique. N’importe qui ne pouvait pas être un hacker malveillant. Il y a une quinzaine d’années, c’était surtout les services d’espionnage qui s’attaquaient à d’autres États pour déstabiliser une organisation étatique ou s’attaquer à l’image d’un pays. Maintenant, les cyberattaques se sont démocratisées avec des outils disponibles sur le web qui permettent très facilement, sans niveau technique important, de déstabiliser une entreprise avec une attaque automatisée pour quelques euros ». La conclusion s’impose d’elle-même : toute entité est potentiellement une victime, comme le confirme Serge Durand, ex-vice-président du groupe Airbus et « observateur attentif » de la cybersécurité dont il a pu vivre les prémices dès le début des années 2000 avec l’apparition des BlackBerry permettant la communication en mode push.

« Les connexions sont alors devenues beaucoup plus ouvertes, donc forcément plus dangereuses. J’ai eu des exemples dans les forums cybersécurité auxquels je participe régulièrement. Les témoignages de victimes de cyberattaques émanent souvent des PME où le patron est sursollicité et où il n’a pas le temps ou les compétences pour prendre en compte le problème. Il faut que chaque chef d’entreprise, y compris des petites, comprenne pourtant que l’enjeu cyber est extrêmement important. Nous sommes dans un monde hyper relié, n’importe qui peut attaquer n’importe quelle entreprise. Chaque individu est une cible potentielle. Regardez le nombre de mails de phishing que l’on reçoit, même si on a des actions préventives ! »

LES OIV PROTÉGÉS

En France, la réglementation a imposé, il y a presque 20 ans, une protection des opérateurs jugés stratégiques par l’État, comme l’écrit l’ANSSI (Agence nationale de la sécurité des systèmes d’information) sur son site internet : « En 2006, le dispositif Secteur d’activité d’importance vitale (SAIV) est mis en place afin de protéger les opérateurs jugés indispensables à la survie de la nation contre les actes malveillants (terrorisme, sabotage, cyberattaque) et les risques naturels, technologiques, sanitaires… Ces opérateurs identifiés par les différents ministères de tutelle seront désignés par arrêté « Opérateurs d’importance vitale » (OIV). Fin 2013, pour faire face à l’augmentation en quantité et en sophistication des attaques informatiques, l’article 22 de la loi de programmation militaire vient compléter ce dispositif en ajoutant une nouvelle pierre à l’édifice, imposant aux OIV le renforcement de la sécurité des systèmes d’information critiques qu’ils exploitent : les systèmes d’information d’importance vitale (SIIV). »

historiquement les cyberattaques étaient plutôt de type étatique. Aujourd’hui, ces dernières se sont démocratisées avec des outils disponibles sur le web ne nécessitant pas de niveau technique important »
Jean-félix Chevassu, directeur d’offre cybersécurité chez ADISTA

Deux dispositifs viennent compléter l’arsenal de défense contre les hackers : les directives Sécurité des réseaux et de l’information, dites « directives Nis » (Network and Information System Security) 1 et 2, dont l’objectif est d’assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d’information de l’Union européenne. Nis 1 a été adoptée le 6 juillet 2016 et transposée en France le 26 février 2018 ; son périmètre d’application est étendu par Nis 2 (publiée le 27 décembre 2022 au Journal Officiel de l’Union européenne) qui amènera aussi les États membres à renforcer leur coopération en matière de gestion de crise cyber. « À l’échelle nationale, Nis 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés, détaille Yves. Verhoeven, sous-directeur stratégie de l’ANSSI sur le site de l’organisme. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC 40. » Mais qu’en est-il des plus petits opérateurs dont on a vu qu’ils constituent le gros des victimes de cyberattaques ?

TOUT LE MONDE EST VISÉ

Si l’ANSSI note globalement une meilleure connaissance par l’écosystème économique et par les collectivités locales de l’existence de la menace cyber, les plus modestes (TPE notamment), ne pensent pas être des proies suffisamment intéressantes pour les cyberattaques dont l’immense majorité relève du rançongiciel. Et c’est une erreur, s’alarme Jean-Félix Chevassu : « Curieusement beaucoup de chefs d’entreprise aujourd’hui n’ont pas encore pris conscience qu’ils sont potentiellement une cible. Parce qu’ils se disent : “pourquoi je serai attaqué moi ? Je n’intéresse personne, je n’ai pas de données qui valent beaucoup d’argent.” Ils n’ont pas compris que les attaquants réclament maintenant comme rançons de tous petits montants. L’attaque est menée par des robots (botnets), qui scannent en permanence toutes les failles possibles exposées sur internet. Or une entreprise est forcément exposée sur internet, parce qu’elle a un accès au web, un site web, un serveur de messagerie, un serveur de fichiers… toutes ces connexions vers l’extérieur présentent autant de moyens nouveaux pour que des petites et des moyennes entreprises soient attaquées. »

Le problème est celui de la détection de la cyberattaque car on s’en aperçoit lorsqu’il est déjà trop tard : « Bien souvent, le cybercriminel amène des éléments de preuve, de fuite de données sensibles, poursuit Jean-Félix Chevassu. Ça peut être des secrets de fabrication, des données personnelles des collaborateurs de l’entreprise ou des clients, des données contractuelles, des bases clients, des bases de produits, des bases de prix, ce genre de choses. La détection intervient un peu tard, puisque on est là devant le fait accompli alors que le cybercriminel réclame une rançon pour restituer les données et ne pas les mettre en vente sur le darkweb. Bien souvent, mais ce n’est pas systématique, le système d’information du client a été aussi chiffré. C’est ce qu’on appelle le cryptolockage : les serveurs ne démarrent plus, le parc informatique du client n’est plus opératif ». Avec des conséquences parfois dramatiques dont un forum comme celui du 24 janvier permet à l’auditoire de mesurer l’ampleur.

JUSQU’À LA FAILLITE

« C’est l’intérêt de tels rendez-vous, soutient Serge Durand : souvent le chef d’entreprise qui y assiste tombe de l’armoire et se dit : “ce n’est pas possible, j’ai autant de risques, c’est aussi intrusif la cyberattaque ?” Oui, c’est aussi intrusif. Ce qui les choque aussi, ce sont les témoignages de ceux qui ont été cyberattaqués : je peux vous dire que la leçon est largement apprise à leurs dépens, si ce n’est qu’ils ont quelquefois fait faillite. » « Il faut prendre aujourd’hui en compte qu’une attaque, c’est presque aussi dramatique qu’un incendie, reprend Sébastien Morey, directeur du Centre régional de cybersécurité de Bourgogne-Franche-Comté (CSIRT-BFC). Revenir à la normale peut prendre des semaines ou des mois. Ça veut dire que pendant ce temps-là, il n’y a plus de chiffre d’affaires, il n’y a plus de ventes parce qu’on ne fabrique plus. Si une entreprise a de la trésorerie elle pourra sûrement s’en sortir. Si c’est un peu plus compliqué, elle va être malmenée. Il y aura sûrement des impacts sur les salariés, des primes prévues seront annulées… ». « C’est très perturbant, soutient encore Jean-Félix Chevassu. C’est un peu comme un cambriolage chez soi, on a l’impression d’avoir été violé dans son quotidien. C’est très difficile. Ce qui est anxiogène, c’est aussi toute la période de réponse à incident, de reconstruction : là, il y a un investissement énorme en temps pour retrouver les informations, recréer les systèmes, refaire toutes les configurations pour que ça refonctionne. Ce qui entraîne forcément une perte d’exploitation, une perte de chiffre d’affaires… et explique que de petits acteurs ne peuvent plus exercer leur activité parce que forcément leurs charges sont toujours là, ils doivent toujours payer leurs loyers, leurs employés mais ils n’ont plus de revenu parce qu’ils sont incapables de reprendre leur production, sauf à faire des choses à la main comme on a vu dans les hôpitaux, mais ce n’est pas tenable dans le temps pour une activité industrielle. Il y a une pression énorme puisque pendant tout ce temps les collaborateurs ne peuvent plus travailler. Donc une grosse angoisse de perdre leur travail, de perdre leurs clients, de perdre leurs partenaires, tout leur écosystème… ».

STRATÉGIE D’ENTREPRISE

On aura compris la nécessité d’une véritable politique de cybersécurité au sein des entreprises de toutes dimensions, comme dans les collectivités locales. « Aujourd’hui, on ne peut pas ne pas prendre en compte cette problématique alors que l’on en parle partout, que les entreprises sont aussi au courant à travers leurs organisations patronales, le Medef, la CPME, les chambres de commerce… font beaucoup d’informations là-dessus. On sait que ça coûte de l’argent. Mais ne plus prendre en compte ce sujet, ce n’est pas trop normal en 2025 », soutient Sébastien Morey. Serge Durand va plus loin en évoquant une obligation de chaque chef d’entreprise à cet égard : « Le dirigeant doit avoir la conscience des risques qu’il fait prendre à son entreprise en n’ayant pas une politique extrêmement sévère en termes de cybersécurité. La première des choses est de mettre en place la politique cyber, choisir son responsable des systèmes d’information et ensuite mettre en place cette politique. Et moi, je suis pour la sévérité, c’est-à-dire qu’il faut des règles ! Car sinon on est trop dépendant de négligences internes. » Jean-Félix Chevassu évoque lui la nécessité d’envisager la cybersécurité comme partie prenante de la stratégie des entreprises : « C’est un projet qui doit être mené par le dirigeant au même titre que son plan de financement, son plan de développement et tous les projets stratégiques d’entreprise parce qu’il en va de la survie des sociétés et des collaborateurs dans leur métier. Et ce projet d’entreprise n’est pas que technique, il est aussi sur les processus. Exemple : un collaborateur s’en va. Je dois suivre un processus tel que : détruire son mot de passe, récupérer son matériel, vérifier qu’il ne parte pas avec des données de l’entreprise. » Pour être efficace, il importe aussi que l’ensemble des personnels soit impliqué, au travers de plans de formation qui prennent parfois des visages très simples, comme l’explique Jean-Félix Chevassu : « 90 % des cyberattaques proviennent de phishing. Savoir déceler que la connexion qu’on me demande n’est pas une vraie connexion et que notre mot de passe est en train d’être volé, ça empêche déjà 90 % des attaques. Si, dans un deuxième temps, on met également un système de double authentification, on réduit encore plus le nombre de cyberattaques. »

L’IA, POISON ET ANTIDOTE

L’irruption de l’intelligence artificielle vient encore complexifier l’écosystème de la cybersécurité : l’IA permet en effet, en un temps record, de créer de nouveaux logiciels malveillants. Mais, et c’est la bonne nouvelle, sa capacité à traiter de manière extrêmement rapide un nombre incommensurable de données lui permet de scanner très vite des comportements anormaux et opérer de la détection comportementale. Une IA entraînée à connaître le mode de fonctionnement des collaborateurs (horaires habituels de connexion, systèmes utilisés, sites visités…) détectera en effet en temps réel toute déviance des schémas habituels des fonctionnements. Si l’entreprise ou la collectivité locale a prévu, grâce à son responsable sécurité (interne ou non), un système de déconnexion immédiat, une attaque en cours est ainsi rapidement circonscrite. Une cyberattaque laissant des traces, une IA qui en a connaissance sera aussi plus à même d’en reconnaître les prémices, et d’anticiper des cyberattaques menées en parallèle. Bref, une alliée à se faire d’urgence pour sécuriser les systèmes d’informations : « Cette technologie, conclut Jean-Félix Chevassu, est comme la pharmacopée : elle peut être à la fois le poison et l’antidote ».

LEXIQUE

Cyberattaque

Ensemble coordonné d’actions qui visent des informations ou les systèmes qui les traitent, en portant atteinte à leur disponibilité, à leur intégrité ou à leur confidentialité. L’ANSSI identifie quatre grandes familles de cybermenaces : la cybercriminalité à visée lucrative, l’espionnage, la déstabilisation et le sabotage. Selon la motivation de l’attaquant et le mode opératoire adopté, chaque cyberattaque pourra être associée à l’une de ces menaces.

OIV
Personne morale publique ou privée qui gère ou utilise des établissements ou des ouvrages dont la destruction ou même l’indisponibilité obéreraient gravement le potentiel militaire, la force économique, la sécurité, voire la capacité de survie d’un État, ou mettraient en danger sa population.

Rançongiciel
Les rançongiciels ou ransomwares sont des logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès.

ANSSI

L’Agence nationale de la sécurité des systèmes d’information est l’héritière d’une longue série d’organismes chargés d’assurer la sécurité des informations sensibles notamment de l’État : la Direction technique des chiffres créée en 1943 à Alger ; le Service central technique des chiffres, qui lui a succédé à Paris en 1951 ; le Service central du chiffre et de la sécurité des télécommunications, créé en 1977 ; le Service central de la sécurité des systèmes d’information en 1986 ; la Direction centrale de la sécurité des systèmes d’information créée par le décret n° 2001-693 du 31 juillet 2001 au sein du Secrétariat général de la défense nationale. Le décret n° 2009-834 du 7 juillet 2009 créant l’Agence nationale de la sécurité des systèmes d’information donne à cette agence, en plus de la sécurité des systèmes d’informations de l’État, une mission de conseil et de soutien aux administrations et aux opérateurs d’importance vitale, ainsi que celle de contribuer à la sécurité de la société de l’information, notamment en participant à la recherche et au développement des technologies de sécurité et à leur promotion. L’ANSSI bénéficie de l’expertise d’un comité stratégique constitué de responsables de haut niveau de l’administration. La mission de ce comité est de proposer la stratégie de l’État en la matière. Son directeur général, Vincent Strubel, a été nommé par décret en date du 4 janvier 2023.