8 Juillet 2017

La cybercriminalité angoisse les entreprises

La cybercriminalité angoisse les entreprises

Face à la cybercriminalité, les entreprises peinent à dégager les moyens financiers suffisants pour se protéger.

Elles sont continuelles et massives. La cyberguerre se déroule sur nos écrans sans même que l’on soit au courant. L’ennemi avance masqué et aspire petit à petit le contenu de notre ordinateur. Selon un rapport de FireEye, un spécialiste de la cybersécurité, une entreprise met en moyenne deux cent cinq jours pour découvrir qu’elle a été attaquée. Le temps de faire de nombreux dégâts, de récupérer de précieuses données et de revendre certaines informations sensibles. Personne n’est à l’abri. Dernièrement, le ransomware (rançongiciel) Petya – qui pourrait être finalement un virus – a paralysé Saint-Gobain, la SNCF, des entreprises aux États-Unis et en Australie.

En Ukraine, d’où il est parti, ce sont des administrations et le cœur même de l’État qui ne battait plus. Les Russes sont soupçonnés. Un mois plus tôt, WannaCry infectait plus de 300.000 ordinateurs dans près de 150 pays. En Angleterre, des hôpitaux ont été bloqués. Le Parlement a aussi été affecté. Mise à jour vérolée de logiciel de comptabilité ou mail infesté, la nature de Petya et son but sont encore flous. En échange d’un paiement de 300 dollars en bitcoin – la monnaie d’Internet – par fichier chiffré, les hackers promettaient d’envoyer une clé de décryptage. Voilà pourquoi on parle de rançongiciels. Seul hic, la clé ne fonctionnait pas et la faiblesse des sommes récoltées indique plutôt que la motivation des pirates est davantage politique que pécuniaire.

Des pertes financières estimées à 1,5 millions d’euros pour les entreprises

Médiatisées, ces cyberattaques ne sont que l’arbre qui cache la forêt. Car tous les jours, des dizaines de milliers d’ordinateurs sont la cible de pirates. « Il y a deux catégories d’entreprises: celles qui ont déjà été attaquées. Et celles qui vont l’être », tranche Jean-Noël de Galzain, à la tête de Wallix. Selon une étude de 2016 du cabinet PwC, le nombre de cyberattaques détectées par les entreprises au cours des douze derniers mois s’élève en moyenne à onze incidents par jour pour un montant moyen de pertes financières estimé à 1,5 million d’euros. Pas rien… « Les hackers lancent un filet et attrapent ce qu’ils peuvent, le risque cyber concerne toutes les entreprises », estime Daniel Benabou, directeur général d’Idesci, une start-up qui développe un outil de protection des boîtes mails sensibles.

Les attaques sont de plusieurs types. Les rançongiciels comme Petya et WannaCry s’immiscent dans les systèmes d’information via un courriel contenant une pièce jointe ou un lien « pourri » à télécharger. C’est cette action qui déclenche la contamination. 34% des incidents ont été provoqués par des salariés, 29 % par d’anciens collaborateurs, et 22 % par des fournisseurs, d’après l’étude de PwC. L’erreur est donc avant tout humaine plus que technique. Seconde cybermenace: les arnaques au président avec des fausses demandes de virement faites par mail au directeur financier ou à la comptabilité d’une entreprise. Pas méfiant, l’interlocuteur débloque en urgence les fonds qui sont ensuite récupérés par les escrocs. Entre 2010 et 2015, 485 millions d’euros ont ainsi été détournés. Et 2.300 plaintes ont été déposées. Troisième grand classique: les attaques « zero day ». « Il y en a tous les jours, souligne Pierre Guesdon, ingénieur avant-vente chez Exclusive Networks, spécialisée dans la cybersécurité. Elles touchent à des vulnérabilités inconnues, elles n’avaient été encore jamais vues. La mission des hackers, c’est justement de trouver et d’exploiter les failles des logiciels. »

Des objets connectés pilotés à distance

Enfin, les dénis de service (DDoS, dans le jargon informatique) sont la nouvelle menace à prendre très au sérieux. En septembre 2016, l’hébergeur OVH en a fait les frais. En quelques minutes, ses serveurs ont été saturés par l’envoi de millions de requêtes. Les cybercriminels n’agissent alors plus via un ordinateur, mais via des objets connectés (box, routeurs, réfrigérateur relié à Internet…), des « botnets », pilotés à distance et transformés en véritables zombies répandant un flot de données. Dans le cas d’OVH, près de 146.000 caméras de vidéosurveillance servaient d’armes du crime!

Face à l’ingéniosité de ces « méchants geeks » qui cherchent à paralyser le système de production d’une société, d’un État ou à leur soutirer des fonds, les dirigeants rechignent à élaborer une véritable stratégie de cyberdéfense, en priant que le ciel ne s’abatte pas sur eux. « Si les entreprises commencent à prendre conscience des risques, au plus haut niveau, elles n’ont pas encore affecté les budgets suffisants pour y faire face », regrette le patron de Wallix. Les groupes interrogés par PwC ont investi en moyenne 3,9 millions d’euros dans la cybersécurité en 2016, un montant inférieur à la moyenne mondiale établie à 4,6 millions d’euros. Or, subir une attaque coûte plus cher que de s’en protéger. Des PME peuvent être mises à terre. « Les services de sécurité informatique doivent être plus écoutés et respectés, pense Gwénaël Rouillec, directeur cybersécurité de Huawei. Généralement, ils sont rattachés à la direction informatique qui n’informe pas toujours la direction générale des investissements à faire en la matière. » Lui rapporte directement au CEO France.

À partir du 25 mai 2018, elles n’auront de toute façon plus le choix. Toutes les entreprises de l’UE qui utilisent des données devront alors se mettre en conformité avec le règlement européen sur la protection des données (RGPD). Obligation de définir des filets de sécurité et de signaler les intrusions aux autorités compétentes, nomination d’un délégué à la protection des données… Le non-respect du RGPD entraînera de lourdes pénalités: jusqu’à 4 % du chiffre d’affaires mondial. En attendant, de nombreuses entreprises définissent des chartes informatiques qui s’imposent aux salariés comme le règlement intérieur. Reste que les « cyber réflexes » ne sont pas encore complètement acquis. Changer régulièrement son mot de passe, ne pas le coller sur l’écran comme mémo ou le donner à un tiers, verrouiller son ordinateur quand il est inutilisé, faire régulièrement les mises à jour pour chasser les failles des logiciels, ne pas cliquer sur un mail douteux… Autant de gestes parfois vécus comme des contraintes en interne. Or, la naïveté et l’ignorance sont du pain bénit pour les pirates.