Mai 2020 : une PME angevine, qui souhaite rester anonyme, conclut un échange avec un fournisseur grec qui lui demande le paiement d’une première échéance de 50 % sa facture : "Habituellement, témoigne le dirigeant angevin, le règlement s’effectuait à 30 jours. En plein confinement, nous nous sommes dit que ce fournisseur, avec qui nous travaillons depuis une dizaine d’années, avait besoin de liquidités, et nous ne nous sommes pas méfiés. Le compte bancaire avait changé, domicilié en Espagne, et là aussi, cela nous a paru crédible, au vu de la situation économique en Grèce." La PME angevine effectue alors un virement de 11 000 euros. Quelques jours plus tard, le versement de la seconde moitié de la facture est demandé par le fournisseur, et le dirigeant angevin le contacte alors. "Celui-ci nous a annoncé que les termes du contrat initial n’avaient pas changé et qu’il n’avait pas reçu d’argent de notre part." Les 11 000 euros s’étaient donc envolés dans la nature, et l’entreprise locale aurait même pu se faire délester du double de cette somme.
Attaque de l’homme du milieu
Cette arnaque, appelée "attaque de l’homme du milieu", est courante, comme le sont un tas de malversations qui visent les entreprises sur internet. Pour s’infiltrer entre le client et son fournisseur, les hackers ont intercepté les échanges, créé un nom de domaine avec une légère et insoupçonnable variante, et misé sur la confiance : "Tout le monde sait que cela existe mais je n’avais pas imaginé être un jour victime d’une cyberattaque, affirme le dirigeant angevin. Depuis, nous avons mis en place un plan d’action pour sécuriser nos bases de données et nous louons des espaces de cloud pour héberger ce qui l’était auparavant chez nous sur des disques durs. Nous avons aussi sécurisé les accès à distance et installé des pare-feu. Ce sont des solutions abordables, mais cette protection a tout de même un coût." L’entreprise de 20 personnes pour 3 millions d’euros de chiffre d’affaires, qui travaille aux trois quarts à l’international avec 45 pays, a donc investi à la hauteur de ses possibilités. "Tout dépend de la part de risque que l’on garde, estime le dirigeant, mais on sait que la sécurité à 100 % n’existe pas."
Nouvelle directive européenne
D’autant que désormais, tout le monde est visé : "Dès que l’on ouvre Internet, on est attaqué", affirme Olivier Paugam, cofondateur et directeur technique d’Ignimission (3,18 M€ de CA en 2022), à Angers. La start-up de 40 personnes est spécialisée dans la collecte de données et travaille entre autres sur des questions de cybersécurité pour de grands comptes, entreprises du CAC 40, banques, sociétés pétrolières et gazières, médias ou encore secteur public comme des ministères ou de grandes collectivités.
"Ces grandes entreprises n’ont pas attendu pour se protéger des attaques, affirme le dirigeant. Elles doivent même répondre dans ce domaine à des normes imposées par l’État ou l’Union Européenne." La directive européenne NIS (Network and information security) adoptée en 2016 et transposée en France en 2018, vise en effet à augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d’activité. Ils doivent ainsi déclarer les incidents à l’Agence nationale de la sécurité des systèmes d’information (Anssi) et avoir mis en œuvre des systèmes de sécurité. "Cela va descendre vers un tas d‘autres entreprises, poursuit Olivier Paugam, avec la directive NIS 2. Elle sera étendue à plus de 18 secteurs d’activité, aux sociétés de plus de 50 millions d’euros de chiffres d’affaires et 250 salariés."
Adoptée en décembre 2022, cette nouvelle directive NIS2, qui sera appliquée en France au plus tard au second semestre 2024, concernera ainsi des milliers d’acteurs, PME, groupes, collectivités, administrations, qui vont devoir monter en compétences en matière de cybersécurité. La directive NIS 2 ne concernera qu’une partie des entreprises, mais les autres n’en doivent pas moins se prémunir contre les hackers.
"Aujourd’hui, toutes les entreprises, y compris les TPE, se trouvent confrontées à la gestion de ce risque, affirme Arnaud Gautier, directeur de l’offre Cyberbackup de la société Unyc, fournisseur manceau de solutions logicielles et télécoms pour les entreprises (60,7 M€ de CA en 2022, 176 collaborateurs), qui a lancé sa propre solution de protection de données. "En 2022, la moitié des entreprises françaises ont été la cible d’une cyberattaque, c’est massif. Parmi elles, 70 % ont pu récupérer leurs données, mais 30 % n’ont pas pu. Et parmi ces 30 %, beaucoup ont fait faillite dans l’année qui a suivi. Les données sont le cœur du réacteur. Sans données, donc sans sauvegarde, une entreprise est morte, et les reconstituer coûte très cher."
Le facteur humain
Si les attaques peuvent concerner aujourd’hui toutes les entreprises, de toutes tailles et de tous secteurs, leur type est tout aussi varié : la violation de données, le rançongiciel (un programme malveillant est téléchargé sur un poste de travail et une rançon est demandée pour le débloquer), le phishing, ou hameçonnage (les données personnelles sont récupérées pour être utilisées sur d’autres ressources), la fuite de données, lorsqu’un utilisateur ouvre une brèche avec par exemple un mot de passe trop faible… "Il y a des tas d’attaques possibles, assure Karim Zkik, enseignant à l’Esaip, à Saint-Barthélémy d’Anjou, une école supérieure qui forme, entre autres, des étudiants en cybersécurité aux niveaux bachelor et ingénieur, et il existe des dizaines de variantes selon les catégories. Les TPE et PME sont les plus vulnérables car elles n’ont pas toujours les filtres permettant de déjouer ces attaques. Malheureusement, souvent une entreprise s’engage parce qu’elle a été attaquée. Il faut investir dans un minimum d’outils et il n’y a pas de retour direct sur cet investissement. Acheter une machine ou de l’outillage est plus concret." L’investissement dans la cybersécurité est en effet à l’image de la prime d’assurance payée chaque année, qui peut ou non servir en cas d’accident. "Beaucoup d’entreprises n’ont pas non plus de personnes responsables de la cybersécurité", ajoute Karim Zkik.
Ce que confirme Arnaud Valence, enseignant chercheur en cybersécurité au laboratoire Confiance numérique de l’Esiea, à Laval, école d’ingénieurs du numérique : "La cause la plus importante, à 75 %, est le comportement cyber risqué de salariés de l’entreprise. Il y a un manque de culture à ce sujet, c’est la menace la plus importante. La difficulté est de faire en sorte que le sujet ne soit pas uniquement technique au sein de l’entreprise, cantonné à la direction des services informatiques, mais qu’il soit partagé par l’ensemble des services."
En 2022, selon un rapport du cabinet de conseil Astarès, les cyberattaques auraient coûté 2 milliards d’euros à la France. Le coût moyen pour les entreprises ou organisations victimes s’élèverait à 59 000 euros, et sur 385 000 attaques étudiées par le cabinet, 90 % concernaient des entreprises privées. Parmi elles, 330 000 PME. Ne serait-ce qu’en heures de travail perdues, évaluées à 7 millions, le coût représente plus de 250 millions d’euros.
Les entreprises victimes de cyberattaque témoignent rarement de leurs mésaventures. "Que feriez-vous si votre banque se faisait attaquer ? interroge Karim Zkik. Vous en changeriez. Les entreprises restent discrètes car cela pourrait faire fuir les clients. Les statistiques existent mais on ne donne pas les noms." Les hôpitaux, les collectivités, comme la ville d’Angers victime d’une cyberattaque en 2021, sont moins avares de communication sur le sujet.
Une attaque déjouée par Séché Environnement
Basé à Laval et spécialiste du traitement et de la valorisation des déchets, le groupe mayennais Séché Environnement (895 M€ de CA en 2022, 5 700 collaborateurs dont plus de 2 500 en France) a déjoué une cyberattaque au printemps 2023. Le 26 mars, les équipes techniques ont détecté des activités suspectes sur les systèmes informatiques de l’organisation. "Rapidement, raconte le groupe, le réseau internet de l’entreprise a été isolé et de premières mesures techniques ont été mises en œuvre afin de préserver les applicatifs non touchés et contenir toute propagation de l’attaque dans notre système d’information. Une cellule de crise a été mise en place par nos équipes techniques, accompagnées par des experts externes spécialisés en cybersécurité dans la gestion de ce type d’incident, la remédiation et l’accompagnement dans la gestion de crise. Une notification a été réalisée auprès des autorités compétentes ainsi qu’un dépôt de plainte."
En réagissant rapidement, les équipes informatiques ont limité les conséquences de l’attaque et l’organisation du groupe n’a pas été affectée, demeurant totalement opérationnelle. "C’est notre solution de type EDR (Endpoint Detection and Response), poursuit le groupe Séché, qui a permis de détecter et contrer des activités suspectes sur les serveurs et les postes de travail. Lors de la détection de l’incident, le fait de couper la connexion Internet a suffi à stopper toute possibilité aux attaquants de poursuivre les actions manuelles." Les experts cybersécurité du groupe ont alors pu rechercher l’origine et la nature de l’attaque, avant d’identifier les systèmes compromis.
Séché Environnement a mis en place différents outils de protection : des formations cybersécurité ont été organisées pour les collaborateurs, des sensibilisations sont menées sur les risques, des campagnes de phishing sont lancées régulièrement, invitant ensuite les utilisateurs à se former via des cours en ligne. Une équipe dédiée analyse en permanence le trafic Internet, l’infrastructure réseau interne, les serveurs et postes de travail ou encore les bases de données pour repérer les éventuels incidents ou vulnérabilités et y remédier. Des outils récents de détection et de réponse EDR ont aussi été mis en place, et l’on utilise l’intelligence artificielle pour analyser plus finement encore les informations produites par les solutions de sécurité. Séché Environnement a rapidement fait échouer l’attaque. Le temps est en effet compté lors d’une mésaventure de ce type. " Les dégâts dépendent des mécanismes de réponse, précise Karim Zkik. Celle-ci doit être rapide et plus on tarde, plus les dégâts sont importants." Mais toutes les entreprises ne peuvent pas se doter d’outils tels que ceux qu’utilise le groupe mayennais, et font en proportion de leurs capacités. Aussi, les CCI, les réseaux d’entrepreneurs, ont pris le sujet à bras-le-corps, proposant des temps de sensibilisation ou des formations aux PME pour faire prendre conscience des enjeux, diagnostiquer et agir, et informer également les collaborateurs. Car pour les hackers, les grandes organisations ou entreprises, qui ont mis en place des barrières de plus en plus perfectionnées, l’attaque est moins facile. Ils se tournent donc vers des cibles plus vulnérables, qui elles aussi, doivent impérativement se protéger.
À Saint-Barthélemy-d’Anjou, un hub dédié à la cybersécurité
Pour que les entreprises et collectivités s’informent et se protègent, fin 2022, l’école supérieure angevine Esaip, qui forme des ingénieurs et des étudiants au niveau bachelor dans les domaines de l’environnement et de l’informatique, a lancé le Cybersecurity Innovation Lab. "Nous sommes partis d’un constat, explique Christophe Rouvrais, directeur de l’Esaip, celui que la cybersécurité n’est pas seulement un sujet d’experts mais que c’est quelque chose qui doit se diffuser dans les pratiques. Si on veut une société de confiance numérique, il faut acculturer les personnes aux bons réflexes." Ouvert aux entreprises et collectivités du territoire, aux étudiants et aux particuliers, il vise à permettre au plus grand nombre de travailler sur les questions de cybersécurité. "Il y a un réel besoin de sensibilisation et de formation sur ce sujet dans la région, affirme Karim Zkik, responsable du Cybersecurity Innovation Lab by Esaip. Il s’agit de porter la bonne parole auprès des différents acteurs et de mener des partenariats avec des institutions et des entreprises. C’est un lieu pour recevoir et former. Depuis la création, nous avons accueilli une vingtaine d’entreprises que nous mettons dans des situations de crise et nous avons organisé plusieurs événements." Le Cybersecurity Innovation Lab de l’Esaip est doté de trois laboratoires dédiés aux simulations d’attaque, à la défense, à la supervision et la surveillance. Chaque année, l’école angevine forme une centaine de jeunes à la cybersécurité, au niveau bachelor ou au diplôme d‘ingénieur. "Il y a une très forte demande dans ce d’activité, constate Karim Zkik. Au moins 80 % de nos étudiants ont une offre d’emploi avant même d’avoir totalement terminé leur cursus."
