La cybercriminalité, le pôle de compétitivité aéronautique et spatial du Sud-Ouest sait de quoi il en retourne : il a été lui-même attaqué début mars. Une attaque sous la forme d'un fameux FOVI, faux ordre de virement international. « Heureusement, on s'en est bien sortis mais ce n'est pas le cas de la plupart des entreprises », témoigne Franck Lepecq, en charge des PME et point du contact sur la cybersécurité au sein d'Aerospace Valley.
Sensibiliser, informer, analyser la maturité des PME
Outre le programme fédérateur Albatros lancé en 2014, outre sa participation au think tank régional PRISSM (Professionnels de l'industrie et de la sécurité et de la sûreté numérique du midi), Aerospace Valley lance aujourd'hui une action collective qui se terminera en août 2018. Quinze PME sont en cours de sélection pour bénéficier d'une analyse de maturité en terme de cybersécurité, menée par des services de l'Etat en région. Si besoin, des prestataires extérieurs labellisés ANSSI interviendront dans l'entreprise pour sécuriser ses systèmes d'information. Une action collective financée par la Direccte à hauteur de 75.000 euros. « Nous ciblons pour l'instant les entreprises du secteur aéronautique, spatial et système embarqués de Midi-Pyrénées et d'Aquitaine, plutôt de moins de 50 salariés ; détaille Franck Lepecq. La Région Midi-Pyrénées pourrait à terme abonder à son tour. Dans le futur, notre objectif est d'aller plus loin sur les nouvelles grandes régions. »
Quatre acteurs en région
Quid des services de l'Etat impliqués ? « Aerospace Valley dispatchera les entreprises en fonction des compétences requises, de leur implantation, etc., vers quatre structures : la DGSI , la DPSD , le service Intelligence économique de la Gendarmerie et la Réserve citoyenne cyberdéfense (composée en Midi-Pyrénées de dix réservistes citoyens habilités confidentiel défense et recrutés chez Airbus, Thales, Air France, l'Enac, la DGAC, l'enseignement supérieur, ndlr) », explique le major Fabrice Crasnier, enquêteur au sein de la division analyse criminelle et investigations spécialisées de la Gendarmerie. Services qui par ailleurs peuvent ou même doivent être sollicités en prévention et en aval, lorsque l'entreprise subit une cyberattaque. Le péril est vaste : Midi-Pyrénées serait la troisième région la plus attaquée en Europe, avec de plus en plus d'attaques visant les sous-traitants, ETI, PME, Scop. La Direccte Midi-Pyrénées avait d'ailleurs réalisé une étude en 2015 sur le sujet, qui a démontré que « les PME étaient peu inclines à s'engager dans une démarche de cybersécurité, estimant que le retour sur investissement était peu mesurable, et qu'elles n'iraient que si leurs donneurs d'ordres les y incitaient », d'après Sébastien Guérémy de la Direccte.
En région, entreprises, universités, institutions sont régulièrement attaquées
Pourtant , le panorama local de l'année 2015-2016 en terme de cyberattaques, esquissé par Fabrice Crasnier qui est aux premières loges, fait froid dans le dos : il faut compter avec les FOVI (certaines entreprises vidées de leur trésorerie ont fait faillite : dernièrement une scop avec 140.000 ? de trésorerie a été délestée de 135.000 ?), le défaçage de sites internet de l'entreprise (remplacement de la page web) et les ransonwares, ces logiciels malveillants qui prennent en otage des données personnelles. « Très à la mode aujourd'hui, j'en ai quatre par semaine », lance le major. « La mairie de Toulouse a eu trois ransonwares sur trois ordinateurs différents, ça leur a coûté 80.000 ? ! » D'où la nécessité aujourd'hui d'intégrer la cybersécurité dans tous les process et la culture de l'entreprise, avec une sensibilisation de tout le personnel. Et d'être ultra-réactif lorsque son entreprise est attaquée : demander à la banque le retour des fonds dans les 24 heures et porter plainte dans les 48 heures auprès de la police ou la gendarmerie.
Attention au risque pénal
Si les risques sont grands en terme de réputation, vols ou pertes de données ou vols de fonds, l'aspect juridique n'est pas à négliger. «Le chef d'entreprise a l'obligation de mettre en place des moyens raisonnables pour garantir un niveau de sécurité optimal », précise Céline Castets-Renard, professeur de droit à Toulouse1-Capitole et membre de la Réserve citoyenne cyberdéfense. « La loi Informatique et liberté du 6 janvier 1978 oblige à sécuriser les données personnelles, en particulier les données sensibles.» Les patrons de PME sont souvent les derniers à imaginer que leur entreprise puisse subir une atteinte à leur système d'information. Or, quand cela arrive, «c'est catastrophique pour l'image et la réputation : parfois plus que la sanction pénale elle-même», alerte Céline Castets-Renard. Contacts : @email Action collective : @email
Aérospatial. Midi-Pyrénées est la 3e région la plus cyberattaquée en Europe. Aerospace Valley lance une action de sensibilisation et de diagnostic au sein des entreprises, du secteur aéronautique et spatial pour commencer. Mais toutes les entreprises doivent se protéger.
