L’imagination est au pouvoir chez des hackers de mieux en mieux organisés et de plus en plus professionnels. Face à des grands groupes aux activités sensibles souvent difficilement attaquables, les ETI, PME ou TPE deviennent des cibles privilégiées. Et ne sont pas encore suffisamment protégées.

Le 12 août 2021 au matin, les équipes de Solware Group, éditeur et intégrateur de logiciels métiers notamment pour le secteur de l’automobile, dont le siège est à Lyon, découvrent l’impensable. Dans la nuit, l’entreprise a été victime d’une cyberattaque en règle avec un chiffrement des données et un effacement préalable de leurs sauvegardes. Conséquence : les 1 500 garagistes qui avaient choisi la solution « hébergée » de la société n’ont plus aucun accès à leurs données de fichiers clients et véhicules. Du travail de pro. Le rançongiciel concerné, Conti, est connu notamment pour pouvoir divulguer les données hackées, un de ses moyens de pression pour obtenir une rançon conséquente. « Nous avons pris contact avec les hackers sur le darkweb, ils exigeaient plusieurs millions d’euros », explique Gérald Ferraro, dirigeant. Le choix de l’entreprise est, d’emblée, de ne rien cacher. Il contacte les services de la Gendarmerie, à travers la cellule dédiée à la cybersécurité, l’Agence nationale de la sécurité des systèmes d’information (Anssi). « Tous nous recommandaient de ne pas payer. Mais vu les enjeux, nous n’avions pas exclu cette possibilité. » Le 14 août, les données cryptées sont également supprimées, « sans doute suite à une erreur humaine des hackers, estime le chef d’entreprise. Les négociations n’étaient pas terminées. » Les serveurs de sauvegarde sont envoyés dans une société spécialisée, au bout de quatre mois la société récupère une partie de ses données. Coût global pour l’entreprise : 900 000 euros, notamment pour l’intervention d’experts, la reconstitution des données, l’accompagnement des clients, auquel s’ajoutent la perte de 2 millions d’euros de chiffre d’affaires et un montant d’indemnisation des clients qui frise les 3 millions d’euros. Une perte dont l’entreprise se remet doucement, « ce qui ne serait pas le cas d’environ 40 % de PME victimes d’intrusion », estime Jean-François Beuze, président de Sifaris, société spécialisée sur le marché de la sécurité des systèmes d’information.

Drame pour les entreprises concernées, ces intrusions dans les systèmes informatiques, même protégés (Solware Group par exemple a fait l’objet d’un rapport de la Commission nationale informatique et liberté faisant état d’une protection informatique satisfaisante) sont, pour les experts, sources d’inquiétudes plus globales, concernant l’ensemble du monde économique. L’évolution de la cybercriminalité, porte en effet une menace « complexe, professionnelle, aux intentions hétérogènes et en pleine évolution », estimait Guillaume Poupard, directeur de l’Anssi, lors de la présentation du rapport d’activité de l’agence en juin 2021. Parmi les risques encore peu évalués : l’utilisation de données « volées ». « Quand le chef d’entreprise décide de ne pas payer la rançon, l’un des moyens de pression des hackers est de les rendre accessibles, explique Jean-François Beuze. Des packages sont mis à disposition sur le darknet, et on constate qu’elles ont été chargées parfois 20 000 ou 40 000 fois. Or, on ne sait si c’est le fait d’un concurrent, ou d’autres hackers qui veulent faire une « doublette », c’est-à-dire les utiliser pour rançonner à nouveau l’entreprise… »

Face à des cybercriminels qui s’organisent et se professionnalisent, et des grands groupes qui, en particulier dans les activités sensibles, érigent des moyens de protection de plus en plus solides, les PME, globalement plus perméables, et/ou, pour certaines, moins vigilantes, deviennent une voie d’entrée privilégiée vers des informations sensibles, ce qui ne manque pas d’inquiéter fortement experts et observateurs. « Nous sommes évidemment attentifs à la question de l’intelligence économique, même si les informations restent souvent assez confidentielles sur ce type de cybercriminalité et que peu de chiffres reflètent la réalité, estime Christian Poyau, président de la commission Transformation numérique du Medef. Cette forme d’intrusion ne s’opère pas toujours directement sur les PME, mais les attaques indirectes sont à prendre en compte. Les hackers peuvent passer par des sociétés sous-traitantes ou fournisseurs, qui ne les intéressent pas en tant que telles, pour attaquer leur vraie cible, c’est-à-dire les grandes entreprises qui sont de plus en plus protégées donc peu accessibles en direct. » Or, « les PME ne se sentent pas assez concernées par le risque de cyber attaques, estime Benoît Fluzeau, président du Clusif, association de promotion de la cybersécurité réunissant entreprises et administrations. Et toutes les entreprises n’ont pas la même maturité dans ce domaine. » De plus en plus interconnectées avec leurs prestataires, elles peuvent être victimes de « la technique du rebond, explique Benoît Fluzeau. Par exemple par une récupération des identifiants avec lesquels la PME se connecte sur le système d’information de la grande entreprise, ce qui permet d’y exécuter des actions de malveillance. Nous avons reçu dernièrement, dans un groupe de travail composé de RSSI (responsables de la sécurité des systèmes d’information) des experts de la DGSI (direction générale de la Sécurité intérieure) qui nous a sensibilisés sur l’espionnage économique et industriel, qui représenterait, selon eux un risque en évolution. »

Même si la loi du silence, qui a longuement prévalu dans ce domaine, tend à s’amenuiser, toutes les entreprises ne communiquent pas sur les intrusions et/ou vols de données dont elles sont victimes. Dans ce contexte, les tentatives sont difficiles à évaluer : « Toute intrusion n’est pas automatiquement détectée et il est donc impossible de déterminer l’importance du cyber espionnage, estime par exemple la sénatrice LR Joëlle Garriaud-Maylam, membre du conseil d’administration de l’Institut des hautes études de la défense nationale (IHEDN). Qui plus est, les cyber-attaques, par exemple, sont souvent sous déclarées car les entreprises soit ne se savent pas attaquées ou n’osent pas signaler le cas aux autorités de peur d’inquiéter clients, actionnaires et partenaires. » La crainte, elle, progresse, y compris chez des acteurs économiques qui jusqu’alors ne se sentaient pas obligatoirement concernés. C’est ce qui apparaît notamment dans le dernier baromètre du Cesin (Club des experts de la sécurité de l’information et du numérique), dont les membres sont essentiellement des RRSI, publié en janvier 2022. 55 % des entreprises y expriment que le niveau de menaces concernant le cyber espionnage est aujourd’hui élevé, dont 15 % l’estiment « très élevé ». Un niveau d’inquiétude qui a surpris Alain Bouillé, délégué général du club : « Nous ne posions pas cette question jusqu’en 2020, explique-t-il. Or, ce ne sont en l’occurrence pas les entreprises « habituelles », telles que Total ou Airbus, par exemple, qui expriment cette crainte, mais beaucoup de boîtes qui passent en dessous des radars des entreprises réputées « sensibles ». Parmi les principales préoccupations des membres du Cesin, « des atteintes qui, en plus de celles qui sont purement frauduleuses, comme les ransomware, ou destinées essentiellement à perturber le fonctionnement d’une entreprise, d’autres sont plus silencieuses et qui peuvent servir, entre autres, à l’espionnage. » L’inquiétude s’est amplifiée au cours des dernières années. « Ces attaques ne sont pas nouvelles, évidemment, mais croissent avec la transformation digitale des entreprises, qui veut que tout un chacun expose et confie de plus en plus de données, notamment aux Gafam, poursuit Alain Bouillé. Les attaques deviennent plus pernicieuses, silencieuses, moins détectables, et peuvent concerner tout le monde. » La crise sanitaire a, dans ce contexte, joué un rôle certain : « En accélérant la transformation digitale elle a occasionné plus d’échanges, sur le cloud, mais aussi sur Zoom ou sur les réseaux sociaux. Ces échanges existaient bien entendu avant, mais leurs usages ont été exacerbés. Il fallait assurer une continuité de services, et la sécurisation a repris le dessus après le premier confinement. » Les effets de la digitalisation à outrance et de la mise à disposition des données sont des dangers soulignés également par Joëlle Garriaud-Maylam. « Il faut noter le formidable essor ces dernières années du renseignement de sources ouvertes qui permet sans espionnage d’exploiter avec astuce les nombreuses données publiques sur Internet, mais aussi dans les médias, sur les Salons, etc. pour en extraire du renseignement économique parfois équivalent à ce que peuvent produire des services étatiques. Il y a une évidente recrudescence dans le cyber espace, mais nous disposons de peu de chiffres dans ce domaine si confidentiel. »

Inciter toutes les entreprises, et particulièrement les PME, à se prémunir est « le défi » actuel, qui passe à la fois par une communication ciblée et une formation des collaborateurs. Avec un rôle des RSSI qui devient crucial. « Il y a encore dix ans, nous comptions une cinquantaine d’adhérents, constate Alain Bouillé. Aujourd’hui, au Cesin, nous sommes 800, pour près de 700 entreprises représentées. Nous constatons l’arrivée d’ETI, voire de PME qui nomment des RSSI, de plus en plus liés aux décisions stratégiques de l’entreprise dans le domaine de la sécurité. Si, auparavant, ils étaient plutôt dévolus à l’analyse de risques et à la protection, leur rôle évolue vers la détection, le développement de Socs, (Security Operations Centers), de la reconstruction des systèmes d’information quand toutes les données ont été « cryptolockées »… Le risque cyber doit devenir aussi mature que le risque incendie. » Faire comprendre les risques sans effrayer les chefs d’entreprise est également la volonté d’organisations patronales qui prennent le sujet à bras-le-corps. Ainsi du Medef, qui a été à l’initiative d’un dispositif intitulé « Alerte cyber » en juillet 2021. « Nous sommes partis d’une idée assez simple, équivalente à celle des alertes météo ou enlèvement, précise Christian Poyau. Quand une attaque cyber est détectée, les entités gouvernementales habilitées, cybermalveillance.gouv.fr et l’Agence nationale de la sécurité des systèmes d’information (Anssi) éditent une alerte transmise aux organisations interprofessionnelles (Medef, CPME, U2P), qui la relaient auprès de leurs adhérents. Le message est rédigé de manière à être compréhensible, pas seulement pour les initiés. Il précise quel matériel, produit ou site a été attaqué, et prodigue des conseils aux chefs d’entreprise pour réagir. L’association des maires de France (AMF) a également rejoint le dispositif. » Environ cinq alertes ont déjà été transmises depuis la création de ce dispositif. Une initiative qui pourra sans doute participer à favoriser des mesures préventives encore insuffisantes…