Cyberattaque. Un mot lourd de menace pour les entreprises, flou pour certains dirigeants, douloureux pour d’autres en ayant subi les conséquences. "C’est le danger numéro 1 pour les sociétés", affirme Arnaud Gressel, fondateur du cabinet de courtage Resco à Saint-Herblain, spécialisé dans les risques cyber. Les vendéens Beneteau en 2021 ou Fleury Michon 2019, le laboratoire d’origine nantaise Eurofins cette même année, qu’on pourrait penser armés, en ont été victimes et ont dû suspendre leur activité plusieurs jours. Pour les PME, l’échelle de vulnérabilité est à l’aune des moyens accordés à leur défense (les cyberattaques les visent à 77%). Qui souvent sont fonction de la prise de conscience du danger par leur dirigeant.
"Cette prise en compte existe chez certains chefs d’entreprise qui ont su s’entourer", remarque Ludovic de Carcouët, fondateur en Vendée de Digitemis, acteur de la cybersécurité (48 salariés). Mais cet expert du sujet dont la société s’est fait la spécialité de protéger les entreprises de taille moyenne précise aussitôt : "Pour d’autres, l’informatique est un sujet lointain, d’ailleurs une majorité de dirigeants sont inconscients de leur dépendance à ce risque." Un constat partagé par Frédéric Rogé, consultant qui a créé en octobre 2020 son cabinet Incertis Strategy à Carquefou. Cet ancien responsable de la cellule négociation du GIGN intervient désormais auprès des chefs d’entreprise en cas de situation de crise : "Pour beaucoup de sociétés en Loire-Atlantique et Vendée, le risque cyber n’est pas assez connu et elles n’en mesurent pas les conséquences financières, les systèmes d’information étant tellement complexes pour leurs dirigeants". Olivier Delaye, directeur du marché pro-PME Grand Ouest chez Orange, observe de son côté que les solutions de cybersécurité de l'opérateur ont fait l'objet "de plus de 70 % de nouvelles souscriptions sur 2020 par rapport à 2019, témoignant d'une prise de conscience"
Aucun acteur du milieu de la cybersécurité ne dira que les dirigeants ignorent les dangers. Mais plutôt qu’ils le minorent. Régis Dubrulle, délégué des Pays de la Loire de l’Agence nationale de la sécurité des systèmes d’information (Anssi), l’autorité nationale en matière de cybersécurité épaulant les entreprises en cas d’attaque, résume le mieux le contexte ambiant : "Rares sont les chefs d’entreprise qui me disent que ce n’est pas un sujet. C’est déjà ça de gagné. Mais il y a toujours un gros travail à faire pour remonter les standards de sécurité".
Les attaques en nette augmentation en France comme en Pays de la Loire
Et pourtant, les chiffres sont édifiants. Sur le territoire national, selon l’étude de l’assureur spécialiste de la cybermenace Hiscox, publiée en avril 2021, 43 % des entreprises ont été attaquées en 2020 (34 % en 2019) et une sur six a déclaré que sa survie était menacée. En Pays de la Loire, aucun chiffre précis ne circule. Mais une tendance se dégage, indexée sur l’action de l’Anssi : "En 2019, nous avons été sollicités pour un incident de rançongiciel, en 2020, ce fut à huit reprises, note Régis Dubrulle. En 2021, à mi-mai, nous sommes intervenus déjà une quinzaine de fois."
Plusieurs phénomènes expliquent cette montée en puissance de la cybercriminalité. Déjà, le recours accru au télétravail avec la crise du Covid et les confinements : selon un rapport du Club des Juristes publié en 2021, un think tank présidé par l’ancien Premier ministre Bernard Cazeneuve, 20 % des assauts cyber sont le fait du travail à domicile. Ensuite, "les hackers ont changé de stratégie et sont montés en expertise, note le délégué des Pays de la Loire de l’Anssi, ils ciblent moins les particuliers pour attaquer les entreprises, ce qui est plus lucratif". Enfin, "beaucoup de sociétés paient, hélas. On peut les comprendre, les hackers étant de plus en plus ingénieux dans leur technique d’attaque et de pression, allant jusqu’à mettre la main sur les systèmes de sauvegarde et les détruire."
"Ces crises sont très déstabilisantes, abonde l’ancien du GIGN Frédéric Rogé, certains dirigeants voient le travail d’une vie disparaître et peuvent se retrouver paralysés sous la pression des pirates". Payer leur apparaît comme la planche de salut, "les entreprises étant confrontées à deux menaces majeures, résume le président du vendéen Digitemis Ludovic de Carcouët, ne plus pouvoir fonctionner et qu’on leur vole des informations confidentielles".
Quatorze années de travail disparaissent
Ce fut le cas pour une PME du nord Vendée qui, début 2021, a vu un virus indésirable crypter tous ses fichiers. Quelques jours plus tard, c’est sa ligne téléphonique qui a été piratée, des escrocs appelant des particuliers avec le numéro de l’entreprise et se faisant passer pour ses collaborateurs pour arnaquer de potentiels clients. Bilan des courses : du stress dans les équipes, une image abîmée et plusieurs dizaines de milliers d’euros de perte de chiffre d’affaires.
Le cabinet spécialisé dans l’externalisation de la paie composé de 24 salariés que dirige Gaëlle près de Nantes a lui été soudainement bloqué. C’était le 16 novembre 2020." À 7 h 30, je reçois un SMS d’une de mes salariées pour me faire savoir qu’elle ne parvient pas à se connecter au serveur. J’essaie alors de mon côté, mais c’est impossible." La société prestataire pour son informatique basée à Nantes l’informe qu’elle s’occupe du problème. "Mais à 11 heures, toujours pas de nouvelle et plus d’accès aux fichiers clients, aux contrats, à notre comptabilité interne, notre outil de facturation, l’historique de nos mails…". À midi, son prestataire l’informe finalement qu’il est victime d’un ransomware, ou logiciel de rançon. Pour la cheffe d’entreprises, 14 années de travail s’évaporent en un rien de temps. Et en ce premier jour d’attaque, elle ignore quand et comment tout reviendra à la normale.
Le blocage dure et ne trouve pas d’issue. "Nous avons vécu des hauts et des bas, poursuit-elle, on nous disait que ça avançait, et puis le lendemain un nouveau logiciel malveillant entrait en action et nous mettait encore plus dans l’embarras que la veille." Elle apprendra au fil des péripéties qu’elle n’est pas seule dans cette galère, 17 clients du prestataire informatique, tous situés en Loire-Atlantique, ayant aussi été, par effet ricochet, impactés par l’attaque. Comment réagir ?
"Ne surtout pas payer de rançon"
"La première chose est de ne surtout pas payer, insiste Fabrice Rogé. Ce n’est pas parce que vous le faites que vous aurez ce que vous souhaitez en échange, il ne faut pas oublier que les attaques, c’est une organisation humaine qui en rançonne une autre." Selon l’ancien du GIGN, le meilleur moyen de répliquer est de négocier, établir une relation, demander des délais "permettant de faire un état des lieux de ce qui est touché." Ne rien verser est le premier des conseils que donne également Régis Dubrulle de l’Anssi, "sinon on alimente le système. Les hackers qui sont des mafieux sans foi ni loi vont se dire que les entreprises paient et donc continuer leurs actes." Un des premiers réflexes est selon lui "de déconnecter les systèmes de sauvegarde qui ne sont peut-être pas tous attaqués, couper les accès internet pour ne plus permettre à l’attaquant d’avoir accès au système d’information. Et bien sûr déposer plainte pour que la force publique remonte aux hackers." Surtout, Régis Dubrulle conseille de contracter une cyberassurance.
Arnaud Gressel en a fait sa spécialité en créant son cabinet à Saint-Herblain et joue la transparence sur le coût, un potentiel frein. "Le montant d’une police d’assurance cyber est fonction du secteur d’activité et du chiffre d’affaires. Pour une TPE, ce sera moins de 1 000 euros, garantit-il, mais étant donné qu’il y a de plus en plus de sinistres, les prix risquent d’augmenter de 20 à 30 % par an". Selon une étude de l’association pour le management des risques et des assurances de l’entreprise (Amrae), seulement 0,0026 % des PME française et 8 % des ETI auraient souscrit une police d’assurance pour se protéger des cyberattaques, contre 87 % des grandes entreprises.
La cyberassurance a pour principal atout de prendre en charge l’intervention d’experts, sollicités "en une à trois heures pour analyser la situation, donner au chef d’entreprise les bonnes mesures à prendre, dit-il. Mais aussi pour épauler à gérer la communication auprès des clients, des fournisseurs, des actionnaires… Car la réputation est susceptible d’être mise à mal rapidement et dans certains cas, des maillons de la chaîne peuvent être touchés par la cyberattaque." Le dirigeant de la menuiserie Signabois en Vendée, a dû lui passer par les réseaux sociaux pour informer ses partenaires de l’attaque dont a été victime son entreprise.
Au-delà du remboursement des pertes d’exploitation et coûts liés la crise, la cyberassurance peut aussi couvrir le paiement de la rançon. Pour le représentant de l’État Régis Dubrulle, une option à absolument éviter.
"Tout était très bien organisé"
Le prestataire informatique de Gaëlle a lui payé en deux fois 200 000 euros. "Mais dès qu’il le faisait, les pirates lui réclamaient encore de l’argent, même si en gage de bonne volonté ils lui fournissaient quelques bases de données dérobées. Tout était très bien organisé. Nous envoyions un mail en anglais, dans les deux heures nous avions la réponse, ce que soit le jour ou la nuit. Et ce n’était pas toujours la même personne qui répondait, certaines étaient plus compréhensives que d’autres." Après avoir mis la pression sur la principale cible, la société d’informatique, les hackers se tournent vers ses 17 clients. Lesquels se voient réclamer chacun 10 000 euros.
Finalement, aucun n’a versé quoi que ce soit. L’intervention conjointe des services de l’Anssi et des experts de la cyberassurance ont conduit à une issue. "Quinze jours après le début de l’attaque, nous avons reçu de nouveaux codes de connexion et avons tout récupéré". Fin de l’angoisse, fin du temps passé à s’extirper du piège. Gaëlle n’a jamais su l’origine du hacking, ni l’identité des pirates. Elle n’a d’ailleurs pas cherché à en savoir davantage, voulant tourner définitivement cette page sombre. Et "depuis l’attaque, tout va bien, nous avons d’ailleurs contracté une cyberassurance et acheté notre propre serveur physique avec sauvegardes hebdomadaires pour être mieux protégés." Seul le souvenir reste ancré de deux semaines sans serveur, sources "d’énormément de perte de temps et surtout de beaucoup de stress pour tout le monde."
