Romain, les attaques cyber, est-ce vraiment nouveau ?

Romain Papuchon : « J’ai été agréablement surpris il y a quelques jours de découvrir que la presse télévisuelle s’était emparée des piratages informatiques des hôpitaux de Dax et de Villefranche-sur-Saône qui ont complètement déstabilisé leurs services. Parler des attaques cyber à la télévision est plutôt récent, mais les sinistres en matière de cybersécurité sont bien plus anciens ! La télévision à la mémoire courte puisqu’en en avril 2015 une attaque contre TV5 Monde avait entraîné une interruption de la diffusion de la chaîne TV dans le monde entier !

Rappelons-nous également du virus Wannacry en mai 2017, qui a marqué le début des demandes de rançons. De nombreuses entreprises et services publics à travers le monde avaient été touchés dont le constructeur automobile Renault, 30 hôpitaux en Angleterre, le transporteur FEDEX ou encore le ministère intérieur Russe. Est arrivé ensuite en juin 2017 le rançongiciel NotPetya qui a valu au français Saint Gobin une perte financière de plus de 250 millions d’euros.

Aujourd’hui, on médiatise les hôpitaux, mais ils sont loin d’être les seuls à être concernés. Il est compliqué d’obtenir un chiffre exact des victimes puisque l’ensemble des entreprises et des organismes publics ne déclarent pas tous leurs sinistres. Cependant l’agence nationale de la sécurité des systèmes d’information (ANSSI) indique avoir traité 4 fois plus de sinistres en 2020 que l’année précédente. Alors si nous ne nous emparons pas du sujet, j’ai bien peur que pirates continuent de s’enrichir ! »

Oui, mais moi, je suis concerné ?

R. P. : « Que l’on soit professionnel du numérique, que l’on manipule des données de stratégie en tant que cadre dirigeant d’une PME, des secrets industriels en tant que technicien dans une industrie, des données personnelles en tant que conseiller dans une mutuelle ou même en tant qu’utilisateur de messagerie électronique, tout le monde est concerné !

En accédant aux systèmes d’information, vous détenez une partie de la richesse de la structure : des données sensibles, des échanges par courriel, des contacts et un carnet d’adresses, des accès à des logiciels, des droits privilégiés ou même simplement une connaissance du fonctionnement de l’organisation dans laquelle vous travaillez.

La majorité des attaques repose sur de l’ingénierie sociale, cherchant à faire réaliser par un utilisateur une action non appropriée, comme par exemple ouvrir un mail contenant un virus ou réaliser un virement bancaire sur un compte pirate. Une fois cette action réalisée, c’est toute l’entreprise qui peut s’arrêter… Alors je renouvelle : tout le monde est concerné ! »

Comment se protéger ?

R. P. : « Un antivirus, un pare-feu et une sauvegarde ne sont pas suffisants. La mise en place d’une protection efficace peut être longue et coûteuse, ce qui décourage parfois certains établissements à lancer les premières opérations. Mais ne rien faire serait une grave erreur !

De nombreuses actions devront être mises en œuvre mais avec des priorités différentes : sensibiliser la direction, bien connaître ses systèmes d’information, identifier les projets et instaurer une gouvernance, sensibiliser les utilisateurs, réaliser une analyse de risques, et enfin, par ce que c’est rarement une priorité, installer des outils et des solutions de protection.

Si vous n’avez pas encore élaboré de stratégie, réalisez un diagnostic cybersécurité pour quelques milliers d’euros, qui vous permettra de vous mesurer par rapport à l’état de l’art et vous indiquer les actions à réaliser avec leurs priorités. Parce qu’on peut difficilement être juge et partie, je vous conseille de faire appel à un prestataire externe qui ne connait pas vos systèmes d’informations et vos pratiques du quotidien.

Une fois les premières pierres mises en place, assurez-vous que votre protection est efficace. Pour cela, vous pouvez réaliser des tests d’intrusion ainsi que des simulations d’attaques cyber pour vérifier si vos procédures et votre cellule de crise sont adaptés à la situation. »

Merci à Romain Papuchon de DIGILUX  pour son analyse.