Le tout n’est pas de savoir si cela va arriver, mais quand. Voilà en substance le message qu’assènent tous les spécialistes de la cybersécurité. Alors autant se préparer à faire face à une cyberattaque et savoir réagir. Dans ce contexte, la Région Grand Est et ses partenaires viennent d’ouvrir un centre d’assistance aux victimes d’attaques informatiques, dédié aux PME, ETI, collectivités et associations.
D’autant que la menace est en perpétuelle croissance. D’après l’Agence nationale de la sécurité des systèmes d’information (Anssi), "la menace cybercriminelle et plus spécifiquement celle liée aux rançongiciels a connu un regain d’activités fin 2022, se maintenant alors à un niveau élevé. Cette menace cybercriminelle touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’Anssi en 2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %)". D’après l’Anssi, les menaces par logiciels de demande de rançon, ou rançongiciels, auraient même été multipliées par quatre entre 2020 et 2021 et par huit entre 2021 et 2022.
Risque de faillite
Selon Damien Naton, responsable du département conseil du prestataire informatique strasbourgeois Acesi (140 salariés, 24,3 M€ de CA en 2022), "toute typologie d’entreprise est attaquable. Quand elles sont attaquées, les structures en font rarement la publicité, donc les chiffres réels des attaques sont peu connus".
Pour autant, c’est une réalité qui fait des dégâts. D’après Gérald Vallet, directeur régional à Strasbourg d’Orange Cyberdéfense, "environ 60 % des entreprises victimes d’une cyberattaque déposent le bilan dans les mois suivants". À l’image du constructeur de cloisons et d’aménagements de bureaux, Clestra Hauserman (142 M€ de CA en 2021). La société bas-rhinoise a été victime d’une cyberattaque fin avril 2022. Le cryptage de l’ensemble de ses données a mis l’entreprise à l’arrêt. Malgré la restauration de la quasi-totalité des données par des experts, l’entreprise, qui a perdu plusieurs millions d’euros en quelques mois, a demandé son placement en redressement judiciaire durant l’été 2022. La société est reprise depuis l’automne dernier par le parisien Jestia.
Multiplication des menaces
Dans le Grand Est, la Région travaille sur un schéma régional de cyber sécurité depuis un an et demi. Si la menace ne semble pas plus sensible qu’ailleurs, Irène Weiss, conseillère régionale déléguée à la cybersécurité, rappelle que "le Grand Est est une région industrielle qui compte beaucoup de kilomètres de frontières avec quatre pays européens, cela peut contribuer à attirer les cyberattaques".
Autre facteur favorisant les menaces numériques : la conjoncture. "Le point de rupture dans l’accélération des cyberattaques a été la crise Covid", estime Jean-Charles Renaudin, responsable de l’activité cybersécurité au sein de Grand E-Nov +, l’agence régionale d’innovation et de prospection internationale. Pour l’expert, "la numérisation a été une nécessité durant la crise sanitaire. Ceci a induit une accumulation monumentale de données numériques. La numérisation des sphères de production, mais aussi privées avec le télétravail a entraîné une multiplication de la surface d’attaque dans les vies privées et professionnelles et la hausse des failles potentielles".
Des plans pour développer la cybersécurité
Résultante de la crise sanitaire également, sur le plan économique, la région Grand Est a publié une feuille de route de relance, le Business Act. La cybersécurité y est un point de vigilance inscrit au programme.
Cette volonté a été concomitante au plan national annoncé par le gouvernement en février 2021 pour structurer l’écosystème de la cybersécurité au niveau national et mailler le territoire. Dans le cadre de cette incitation nationale, des C-SIRT régionaux, ou centres d’assistance aux victimes d’attaques informatiques, sont progressivement déployés. Dans le Grand Est, il est opéré depuis Nancy par Grand E-Nov +. Ce centre nommé Grand Est Cybersécurité est opérationnel depuis mi-février avec une équipe de quatre personnes, chapeautée par Jean-Charles Renaudin.
Lancé dans le cadre de la deuxième phase du Business Act de la Région Grand Est, avec le soutien de l’Anssi, ce C-SIRT délivre un service gratuit d’assistance aux PME, ETI, collectivités et associations du territoire. Joignable par téléphone (0 970 51 25 25, du lundi au vendredi jusqu’à 18h00), le centre est doté d’un budget d’un million d’euros pour les trois ans à venir. Il procède à une analyse de la situation pour évaluer la nature de l’incident, puis orienter vers l’un des soixante offreurs de solution répertoriés dans la région pour intervenir. Si l’appel est gratuit, les services proposés par les offreurs de solution pour prendre la main sur la gestion de la cyberattaque sont facturés. Les C-SIRT régionaux ont aussi vocation à réaliser un suivi de l’incident jusqu’au rétablissement de la situation et enfin, proposer un accompagnement à la judiciarisation.
Le service est encore tout récent dans le Grand Est, mais "l’objectif est également de mettre en place un suivi des statistiques d’incidents cybers à l’échelle régionale", projette l’élue régionale Irène Weiss.
Pour autant, "il existe des incidents qu’on ne verra pas car les victimes ne veulent pas dire qu’elles sont victimes. Pourtant, plus l’on tarde à agir, plus cela peut se dégrader", avertit Jean-Charles Renaudin, qui constate que les cybermenaces se sont professionnalisées. D’autant plus avec la guerre en Ukraine. Selon le responsable de Grand Est Cybersécurité, il existerait "une montée en puissance des actions d’espionnage beaucoup plus difficiles à déceler".
Audit et risque humain
Avec le C-SIRT régional, la Région Grand Est étoffe la palette d’actions mises à disposition des acteurs économiques pour se préparer au mieux à la menace cyber. Depuis novembre 2022, la collectivité propose en effet un diagnostic cybersécurité "sous forme d’audits qui permettent d’augmenter le niveau de résilience en cybersécurité et évaluer la cybermaturité des structures", précise Irène Weiss.
Une démarche nécessaire selon Christophe Corne, dirigeant de l’éditeur mulhousien de logiciels de cybersécurité Systancia (8,5 M€ de CA en 2022 ; 140 salariés). "Le diagnostic cofinancé par la Région est une initiative très positive. Cet audit permet de détecter les points de faiblesse. La démarche est salutaire et très importante". D’autant plus que pour Damien Naton, "l’être humain est le premier rempart face aux cyberattaques, mais aussi souvent le maillon faible. Comme toute protection mise en œuvre ne suffit pas, il est nécessaire de se préparer, de s’exercer en amont à gérer une crise cyber, et la sensibilisation prend alors tout son sens".
La sensibilisation, c’est aussi l’affaire des assureurs. Le courtier en assurance Claude Castérot, basé à Haguenau, avec un bureau à Colmar (16 salariés ; 1,6 M€ de CA) constate que le sujet de la cybersécurité est une des sollicitations les plus nombreuses de ses clients (uniquement des professionnels), avec une demande d’information très forte. "Avant de mettre un contrat en place, il faut faire un audit. On élimine les risques si on se forme. Quand les outils sont à jour, le matériel est rarement mis en échec. Le facteur de risque est le facteur humain. Il faut ainsi travailler sur l’information et sur la formation".
Formation
À l’échelle régionale, en un an et demi, un grand pas a été franchi dans la prise en compte des enjeux de la cybersécurité. Mais un pas doit encore être fait au niveau des compétences. "En cybersécurité, le besoin d’expertise est supérieur à la capacité de formation et il est nécessaire d’élargir la base de recrutement. 10 000 à 15 000 besoins en cybersécurité ne sont pas honorés en ce moment à l’échelle nationale. Rapporté à la région, cela correspondrait à 200 à 300 postes non honorés", constate Jean-Charles Renaudin.
Pierre Parrend est directeur adjoint du laboratoire de recherche de l’école Epita et responsable de l’équipe sécurité système. Le réseau Epita forme des ingénieurs en intelligence numérique et compte un campus à Strasbourg. Selon lui, "l’ensemble des entreprises qui ont un réseau ont besoin de le sécuriser. A minima avec des référents en entreprise. Actuellement, des entreprises font appel à des prestataires parfois hors région par manque de personnel". Daniel Gwinner, ingénieur commercial chez Orange Cyberdéfense en Alsace abonde : "Localement, nous avons besoin de consultants, d’auditeurs, de commerciaux et de talents techniques".
Dans le Grand Est, le conseil régional souhaite travailler avec les universités pour plus de formations en cybersécurité. Un pôle universitaire autour de cette thématique existe à Nancy et un campus pourrait se développer dans les Ardennes. Irène Weiss le reconnaît : "Il faut donner envie aux jeunes de s’intéresser aux métiers de la cybersécurité, sans oublier les enjeux de la féminisation de cette discipline". Un incubateur dédié à des projets de start-up en cybersécurité pourrait même être une piste de réflexion du côté de la Région.
