Combien sont-elles, les entreprises bretonnes, à avoir été la cible des pirates ces derniers mois ? Difficile à dire, la majorité d’entre elles ne déposant pas plainte parce que n’étant pas couvertes par leur assurance sur le risque cyber, par peur de perdre leur temps ou parce qu'elles craignent pour leur image de marque. Mais le phénomène semble prendre une ampleur exponentielle. Comme une épidémie de Covid-19. Chez Cadiou Industrie (460 salariés, 67 M€ de CA en 2019), fabricant de portails installé à Locronan dans le Finistère, l’attaque est arrivée pendant la nuit, en juin 2020. "Vers 21 heures, un programme de production s’est arrêté. Les équipes ont donc appelé l’astreinte", se souvient Antoine Perret, responsable des systèmes d’information (RSI). L’entreprise coupe alors tout accès à Internet au plus vite… Mais le mal est fait. Les données de l’entreprise ont été cryptées et les cybercriminels demandent une rançon. Premier - bon - réflexe : "On ne paye pas ! On ne sait pas dans quel état ils nous rendraient nos données de toute façon", explique Antoine Perret. Au lieu de ça, les efforts des équipes de Cadiou se concentrent sur la récupération de données, le nettoyage des ordinateurs. "Ils avaient même chiffré nos dernières sauvegardes ! Heureusement, nous avons pu récupérer une version plus ancienne de notre système pour tout remonter de zéro", indique le responsable RSI.
Cet épisode a été un vrai traumatisme pour tous les salariés et dirigeants de Cadiou. "Mais si tout le monde s’est trouvé affecté car on ne pouvait plus travailler, chacun a aussi fait son possible pour aider. Ceux qui étaient à l’aise avec les ordinateurs ont, par exemple, donné un coup de main pour désinfecter les PC", souligne le RSI. Une solidarité qui a permis à Cadiou de redémarrer la production à peu près normalement au bout de trois semaines et de fonctionner normalement au bout de six.
Un préjudice à 3,8 millions d’euros pour Lumibird
Chez Lumibird (560 salariés, 126 M€ de CA en 2019), spécialiste européen des technologies laser, basé à Lannion dans les Côtes-d’Armor, c’est la solidité financière qui a été mise à mal. En avril 2020, en plein premier confinement, le groupe breton a été victime d’un important détournement de fonds, via une fraude aux moyens de paiement auprès de sa filiale britannique Halo Photonics. Montant du préjudice : 3,8 millions d’euros. Fondée par Marc Le Flohic, toujours aux commandes de l’entreprise, Lumibird explique avoir "immédiatement déposé plainte et pris toutes les mesures adéquates pour faire cesser le détournement de fonds." Pour autant, bien qu’elle indique que la fraude n’a pas été de nature à remettre en cause son développement, l’ETI bretonne a vu ses résultats impactés. Ainsi, lors de la publication de ses comptes 2020, Lumibird, cotée en Bourse sur le marché Euronext, a précisé aux investisseurs que son résultat net s’établissait à 5,6 millions d’euros mais qu’il serait ressorti au niveau de 2019 (à 8,8 millions d’euros), "hors l’effet de la fraude". À la suite du détournement de fonds, Lumibird a procédé à une revue des procédures existantes de prévention des cyberattaques et intrusions frauduleuses dans ses systèmes IT. L’entreprise a également ouvert une enquête interne afin de déterminer l’origine de la défaillance et les mesures additionnelles à mettre en œuvre afin d’empêcher toute nouvelle fraude.
Fuite de données chez Ocealab
Autre secteur éprouvé par les cybercriminels, celui de la santé. En pleine crise sanitaire, en février 2021, ce n’est pas le virus qui a atteint le laboratoire d’analyses médicales morbihannais Ocealab (131 salariés, 19 M€ de CA en 2019) mais une fuite de données. Au même titre que d’autres laboratoires français, la PME bretonne a été victime d’une "faille de sécurité importante" d’un logiciel. Dirigée par Olivier Kerrand, l’entreprise a vu des informations confidentielles de ses patients "échapper à son contrôle", en dépit de mesures de sécurité mises en œuvre. Ses sites d’Auray, Muzillac, Sarzeau, Vannes et Quiberon ont été concernés, soit 121 600 patients ayant eu recours à ses services entre juin 2018 et février 2019. Des noms, prénoms, dates de naissance, données d’état civil, numéro de sécurité sociale, etc. se sont ainsi retrouvés sur le darkweb (ou web caché), pouvant donner lieu à un marchandage. Dès la fuite de données connue, Ocealab a mis sur pied une cellule de crise et lancé des investigations afin de comprendre ce qui s’est passé, les failles éventuelles, etc. Elle s’est aussi tournée vers des avocats spécialisés dans les questions de cybersécurité pour obtenir réparation.
Des victimes difficilement quantifiables
"Tous les jours, je fais des analyses de dossiers pour 2 à 3 nouvelles entreprises, pour des systèmes bloqués, du phishing (ou hameçonnage), des demandes de rançons… Ça explose de partout", constate Christophe Beuchard, directeur commercial et marketing de la PME rennaise de cybersécurité Acceis (20 salariés), qui opère principalement dans les secteurs de l’agroalimentaire, la santé et l’industrie.
L’Agence nationale de la sécurité des systèmes d’information (Anssi), qui a comme bénéficiaires les administrations et les entreprises d’importance vitale, a relevé 100 événements de sécurité indésirables ou inattendus en 2020 pour la région Bretagne (3 % des événements de sécurité en France, NDLR). "La plupart des événements sont des attaques ayant peu d’impact sur le système d’information des entités victimes. Il s’agit majoritairement de signalements de vulnérabilités, de ventes ou de fuites de données ou d’indisponibilités de sites internet", précise cependant l’Agence. La gendarmerie de Bretagne va un peu plus loin dans le recueil d’informations. Elle a recensé, en 2020, trois sociétés (évoluant dans l’assurance, l’informatique et l’ingénierie) victimes de rançongiciel (ou ransomware), une technique qui permet de verrouiller les machines ciblées après en avoir chiffré le contenu. C’est le poison du moment. Six autres entreprises (des TPE-PME essentiellement) ont par ailleurs été victimes de faux ordres de virement. Un type d’arnaque qui, par persuasion, menaces ou pressions diverses, vise à amener la victime à réaliser un virement de fonds non planifié.
Espionnage industriel même chez les PME
Le groupe de services informatiques brestois Asten (120 salariés, 12,5 M€ de CA en 2019), qui a créé son service cybersécurité voilà trois ans, observe lui aussi deux types d’attaques : celles, directes et ciblées, sur les datacenters et serveurs. Et les autres sur le vol de données et/ou demandes de rançon. "La revente de données est très lucrative. Les informations nom et adresse ne valent plus grand-chose : 50 centimes. Par contre, une carte bancaire vaut 2 € et, les plus valorisées, les données de santé, se vendent jusqu’à 6 ou 7 €", détaille Franck Guibert, directeur général du groupe. Et aujourd’hui, toutes les entreprises, même les plus petites sont visées. "Les grandes entreprises sont plus difficiles à attaquer car elles sont désormais très sécurisées. Mais les PME et TPE sous-traitantes sont un point d’accès pour l’espionnage industriel aussi. En volant des données à plusieurs sous-traitants, il est possible de reconstituer des projets", explique le DG.
Les failles du télétravail
Selon une étude du cabinet d’études Forrester, 90 % des entreprises françaises ont été la cible de cyberattaques en 2020. La menace cyber est donc omniprésente, notamment du fait de la numérisation des entreprises et du développement du télétravail. "L’adoption des nouveaux process, l’utilisation du cloud, les visioconférences et l’éloignement de certains cadres et décideurs de l’entreprise ont poussé les cybercriminels à plus d’audace", confie le lieutenant-colonel Jacques Audenis de la gendarmerie de Bretagne, engagé dans un travail de prévention auprès des entreprises. "La surface d’exposition au risque a augmenté pendant les confinements en raison du télétravail", le rejoint Régis Le Guennec. Ce chef d’entreprise en région rennaise est le gérant d’IPCyb, une agence qui sensibilise et forme des collaborateurs aux risques et menaces numériques. Il craint même que le pire soit devant nous : "Parfois les cybercriminels restent en sommeil plusieurs mois. Ensuite, arrivent les moyens de pression. Ils menacent leurs victimes de livrer des données publiques s’ils ne payent pas de rançon. Il peut y avoir des problématiques autour de la compétitivité, de l’intelligence économique, de l’image de l’entreprise, de brevets, de R & D, de fichiers clients, etc. Tout cela a de la valeur !"
Les experts bretons ont la parade
Face à la recrudescence des attaques et pour déjouer les plans des pirates, les entreprises de cybersécurité cherchent la parade. Une chance. La filière bretonne, et notamment rennaise, a des compétences reconnues jusqu’au sommet de l’État. Les rennais Sekoia et Wallix et la start-up morbihannaise Iot Bzh, figurent ainsi parmi les entreprises lauréates du grand défi cybersécurité lancé par le gouvernement. Son objectif : rendre les systèmes d’information plus résilients. Primé, Sekoia (95 salariés) va toucher une aide d’1 million d’euros pour son projet 0-SOC, qui vise à générer des alertes fiables sur les menaces et permettre aux entreprises de réagir avant que cela ne soit grave. La PME, qui a levé 10 millions d’euros à l’automne dernier, se focalise sur trois piliers : l’anticipation des menaces, la détection et l’automatisation des défenses. "D’autres solutions modélisent les analyses de risque de l’entreprise. Nous, nous analysons directement les menaces, nous les agrégeons. On se balade dans un graphique de données un peu comme dans le film Minority Report. C’est une énorme base de données, qui aide à comprendre les modes opératoires et qui va servir aux enjeux de détection", explique David Bizeul, directeur général délégué de Sekoia. La société rennaise travaille notamment aux côtés des entreprises du CAC 40 (BNP Paribas, Société Générale, Suez…). Une fois que le projet 0-SOC sera concrétisé, sa plateforme technologique Sekoia.io va encore gagner en efficacité, au bénéfice de ses clients.
Prise de conscience des chefs d’entreprise
Depuis la médiatisation d’attaques parmi des ETI et PME, les chefs d’entreprise sont globalement plus à l’écoute sur les questions de cybersécurité. "On sent une prise de conscience ", constate Franck Guibert d’Asten, qui encourage les entreprises à mettre en place des plans de réponse robustes, adaptés aux cyberattaques.
Cela passe déjà par l’application de bonnes pratiques, comme en témoigne l’entrepreneur rennais du numérique Olivier Méril, PDG de MV Group (260 salariés, 41 M€ de CA en 2020) : "Nous avons connu deux attaques lors du premier confinement, ce qui n’était jamais arrivé auparavant, et pourtant nous avons la chance d’avoir des équipes affûtées. La principale zone de danger que l’on a détectée, c’est l’utilisation du matériel personnel chez soi. Les portes ouvertes se font par les ordinateurs. Quand on a un parc informatique piloté par une équipe informatique, tout est plus sécurisé. On est sûr que les antivirus sont à jour et mis en œuvre…" Dans tous les cas, le facteur humain représente la principale vulnérabilité en entreprise. Des formations permettront de sensibiliser les salariés sur les courriels frauduleux, par exemple. C’est le premier point d’entrée des attaques.
