Ahmed passe de bureau en bureau. Sur les postes délaissés par leurs occupants, ce responsable de projet d’une multinationale spécialisée dans l’édition de logiciels dépose des Post-it. « Des piqûres de rappel », explique-t-il. Éteindre sa session lorsque l’on quitte son poste, prévenir son supérieur en cas d’intrusion, changer régulièrement son mot de passe… La prudence est de rigueur. Car les attaques informatiques ont explosé. Elles sont désormais multiples et très perfectionnées.

Selon une étude de l’entreprise Symantec, la France a subi 10 millions de ces attaques en 2015. L’Hexagone arrive à la neuvième place des pays les plus touchés par la cybercriminalité, derrière la Chine, les États-Unis et l’Inde. « Un nombre multiplié par deux entre 2008 et 2016 », précise Lionel Mourer, administrateur du Club de la sécurité de l’information français (Clusif) et président du cabinet Atexio. Infections par virus, phishing, rançons, fraudes, pannes entraînant l’indisponibilité du système, vols, perte de services essentiels (coupures d’eau, d’électricité, des télécoms)… Les procédés malveillants ne manquent pas. Avec des conséquences parfois dramatiques, de la perte de données essentielles jusqu’à la disparition de sommes d’argent colossales.

Malgré ces dangers, seules 49 % des entreprises ont mis en place des actions pour s’en prémunir, selon la dernière enquête du Clusif, datant de juin dernier. Ainsi, 20 % disent sensibiliser leur direction générale et 41 % affirment procéder à une sensibilisation récurrente de tout leur personnel. Par ailleurs, seules 26 % assurent disposer d’une police d’assurance liée à la perte de données. Plus rassurant, l’emploi des responsables de la sécurité des systèmes d’information (RSSI) marque une hausse. Et ces derniers sont de plus en plus souvent rattachés à la direction générale (30 % des cas). « La présence accrue de RSSI, c’est positif. Mais il s’agit surtout de grands groupes qui, faisant preuve d’une plus grande maturité, possèdent les capacités financières, les structures, les moyens techniques et organisationnels pour se prémunir contre des attaques », précise Lionel Mourer.

La prise de conscience des dangers du numérique reste parcellaire chez les employeurs. Et très insuffisante. Les actions mises en place par les entreprises pour se protéger ont ainsi enregistré une baisse de 4 % entre 2014 et 2016. En cause, la crise qui les a incitées à allouer leurs budgets à d’autres postes de dépenses. Et la menace concerne aussi le secteur public, comme le montre la dernière étude de Primo France. En 2015, cette association dédiée à la gouvernance et à la gestion du risque public a mené une enquête auprès d’une centaine de communes. Verdict ? Seules 10 % avaient organisé des formations pour sensibiliser leurs agents et à peine 15 % avaient pris connaissance du référentiel général de sécurité conçu par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Or un RSSI seul ne peut rien si la prise en compte du problème n’est pas généralisée. Et les moyens d’assurer cette sensibilisation sont multiples et parfois peu coûteux. Les recettes sont de tous ordres. La publication (news sur l’intranet, mailing aux employés, affiches, articles dans un journal interne) et les textos sur smartphones et tablettes sont couramment utilisés (57 % des cas, selon le Clusif). D’autres sociétés (20 %) ont recours à des dépliants pour promouvoir les bonnes pratiques ou à des goodies (calendriers, tapis de souris…). Plus rare, l’utilisation de quiz ou de questionnaires ludiques via l’intranet afin de retenir l’attention des salariés (12 %). Ces mesures sont-elles efficaces ? Mystère. Car seules 32 % des entreprises mesurent l’impact de leur politique de sensibilisation.

Parmi les plus à la pointe, les opérateurs d’importance vitale. Normal. Car que se passerait-il si des hackers venaient à s’emparer du contrôle du réseau ferroviaire ? Ou du réseau d’eau potable ? « Les attaques ont souvent lieu de personne à personne, par écran interposé », précise Joël Noirot, RSSI IT et infrastructures techniques de la SNCF. Par ailleurs membre du Club des experts de la sécurité de l’information et du numérique (Cesin), celui-ci met notamment en garde contre la « fraude au président ». « Les cybercriminels connaissent les structures hiérarchiques des entreprises. Ils se font passer, par mail, pour le président et demandent d’effectuer un virement. Mais si un salarié reçoit un mail suspect, il doit s’interroger avant de répondre ou de cliquer sur un lien. Et transmettre le message au RSSI. À la SNCF nous en avons reçu une dizaine de ce genre. Aucune tentative n’a réussi. »

L’entreprise ferroviaire organise régulièrement des campagnes de faux phishings afin de tester ses troupes. Lors de la dernière, seuls 7 % des salariés ont été dupés. « Un résultat assez satisfaisant », estime Joël Noirot qui souligne que, pour d’autres entreprises, « les chiffres varient entre 20 et 30 % ». « Être confronté de façon répétitive aux règles de sécurité informatique permet de garder les gens éveillés à ce type de menace », approuve Olivier Ligneul, RSSI du groupe EDF et vice-président du Cesin.

Le fournisseur d’électricité français teste ses collaborateurs via la Hack Academy, le site Web antihacking du Club informatique des grandes entreprises françaises (Cigref). EDF propose également Keep an eye, un serious game dans lequel chaque joueur devient l’ange gardien d’un salarié de l’entreprise en le suivant dans différents univers (domicile, bureau, transports, etc.) pour l’aider à protéger ses données. « C’est mieux qu’un questionnaire à choix multiples, estime Antoine Bajolet, RSSI chez TDF. L’immersion, totale, oblige à une certaine réactivité car les sessions sont limitées dans le temps. » TDF possède une charte informatique annexée au règlement intérieur de l’entreprise. « Les salariés arrivent avec leurs propres pratiques. Il faut que l’entreprise modifie leurs comportements », explique Antoine Bajolet.

De la même façon, il convient de former ses sous-traitants à la cybersécurité. « Les PME sont plus souvent attaquées car plus vulnérables. Elles sont aussi un point d’entrée pour pénétrer dans les grosses boîtes. Ces dernières doivent donc les conseiller », insiste Laurent Heslault, directeur des stratégies de sécurité chez Symantec. Cette aide est d’autant plus cruciale que les petites structures, mal informées et souvent isolées, restent les cibles privilégiées des pirates. « Avec des conséquences bien plus graves, souligne Marie Prat, coprésidente de la commission innovation et économie numérique de la CGPME. Elles peuvent très bien ne pas s’en remettre et mettre la clé sous la porte. »

Avec le soutien de l’Anssi, la CGPME a édité un guide des bonnes pratiques, simple et accessible à tous. Afin d’être au plus près des entreprises et de répondre ainsi à leurs besoins, l’Anssi a, elle, étendu ses bureaux dans les régions. Car les petites entreprises sont souvent perdues face à la réglementation et aux divers interlocuteurs. Une réglementation qui, d’ailleurs, suscite le questionnement. « La loi informatique et libertés, qui date de 1978, n’est plus adaptée car elle ne dit pas un mot du télétravail. Or un actif sur cinq bosse à domicile de façon régulière, remarque Frantz Gault, directeur général de LBMG, une start-up qui promeut le travail flexible. Pour réduire les risques, les entreprises doivent recourir au VPN [virtual private network], au cloud, crypter les données et demander un cryptage de la box wi-fi. »

Des pratiques qui peuvent déconcerter les moins initiées. Aujourd’hui, seules 34 % des entreprises utilisent la cryptographie des données, d’après le Clusif. Alors même que les politiques de sécurité de l’information doivent s’appliquer à de plus en plus d’entités au sein des entreprises : sécurité informatique, RH, direction générale… Histoire de sécuriser réseaux et données et d’instaurer des outils de gestion appropriés à la mobilité des salariés. Face à un danger toujours plus grand et menaçant, le Cigref estime que « la cybersécurité passe par le développement d’une profonde culture cyber en entreprise mais aussi au sein de la société dans son ensemble ». Avec une formation à la sécurité informatique dès l’école.

V. A.

Après les attentats de Charlie Hebdo, une centaine de collectivités territoriales ont vu leurs sites Web piratés. Celles-ci sont-elles très exposées ?

Leurs sites Web ont été défigurés par les messages de propagande de Daesh. Mais au-delà, ces collectivités peuvent être attaquées afin de récupérer des données sensibles. Comme les données cadastrales, l’état civil, les données fiscales… Des vols qui peuvent être utilisés dans le cadre d’usurpations d’identité ou de fabrication de faux papiers. Avec des conséquences potentiellement dramatiques pour les victimes. La dématérialisation des procédures, c’est formidable. Mais à condition de prendre des précautions en amont. Et le facteur humain reste clairement la faille.

Comment une collectivité peut-elle se prémunir ?

Respecter les bonnes pratiques d’« hygiène informatique » n’est pas compliqué, cela relève du bon sens. Le premier pas vers la sécurité consiste à mettre à jour très régulièrement son système d’exploitation, ses logiciels, les systèmes de sécurité. C’est crucial et… gratuit ! Ensuite, il faut utiliser un antivirus. Et adopter les bons réflexes.

Quels conseils pouvez-vous donner ?

Par exemple ne jamais utiliser une clé USB de provenance inconnue, ne pas ouvrir les mails à l’origine douteuse, ne pas cliquer sur des liens lorsqu’on n’en connaît pas l’expéditeur. Dans ce troisième cas, il peut s’agir d’un cryptolocker, un logiciel malveillant qui bloque vos données tant que vous ne payez pas une rançon. Enfin, la sauvegarde des données sur un disque dur externe ou un cloud reste impérative.

Propos recueillis par V. A.