Le 19 avril 2022, Jérôme Goeminne, le directeur général du Groupement hospitalier de territoire (GHT) Cœur Grand Est, a reçu un coup de fil de la cellule de veille du ministère de la Santé : 350 000 fichiers, copiés sur des postes informatiques de l’hôpital de Vitry-le-François (Marne), étaient en vente sur le darkweb, pour 1,3 million de dollars, payables en bitcoin. Le lendemain, Jérôme Goeminne décide de couper tous les flux internet des huit établissements dont il a la charge, "pour éviter toute contamination", souligne le directeur du GHT basé à Verdun, dans la Meuse, qui emploie 5 500 personnes.
Quelques semaines après, en plein chantier de reconstruction du système informatique, le directeur estime que son établissement ne s’en "tire pas trop mal. Nous n’avons pas été chiffrés par un ransomware, aucune donnée médicale n’a été dérobée", souffle-t-il. Le retour à la normale est programmé pour le mois de septembre prochain. D’ici là, il faudra nettoyer et décontaminer 700 serveurs et 3 750 postes informatiques. "Pour l’instant, il est trop tôt pour donner le coût précis de cette attaque. Mais les retours d’expérience montrent qu’il faut compter environ 2,5 millions d’euros pour un établissement hospitalier de taille moyenne. Et nous en avons huit…", détaille Jérôme Goeminne.
Comment s’y sont pris les attaquants ? "Notre système d’information est dans les normes, et aucune erreur humaine n’est à déplorer", relate le directeur du GHT Cœur Grand Est. Les hackers ont exploité une faille informatique, sur le seul serveur de l’ensemble du GHT qui n’était pas encore à jour, pour se procurer les mots de passe et les identifiants de techniciens directement dans la mémoire vive du serveur. Avec ce sésame, ils avaient accès à l’ensemble du système d’information du GHT. "Pour le personnel, la prise de conscience a été brutale. On ne peut jamais faire assez attention", résume Jérôme Goeminne.
Une entreprise sur deux
Une prise de conscience des enjeux liés à la cybercriminalité qui n’est pas toujours partagée par les chefs d’entreprise français. Dans un baromètre publié en mai 2022 par la Commission européenne, plus de 50 % des dirigeants interrogés indiquaient n’être "pas du tout préoccupés" par la menace constituée par les ransomwares lors de leur utilisation d’internet à des fins professionnelles. Mais d’après le dernier baromètre du Club des experts de la sécurité de l’information et du numérique, plus d’une entreprise française sur deux déclare avoir subi au moins une attaque cyber en 2021.
Voyant la menace se rapprocher dangereusement, le groupe de BTP Livio a décidé de prendre le sujet à bras-le-corps. La société vosgienne, basée à Fresse-sur-Moelle, s’apprête à investir plusieurs dizaines de milliers d’euros pour renforcer massivement la sécurité de son système informatique. Elle vient aussi de recruter un nouveau directeur des systèmes d’information (DSI).
"Il nous manquait certaines compétences et réflexions sur le sujet, confirme la cogérante Anne-Claire Goulon. Il nous fallait un DSI généraliste et multisite. Un pilote capable d’être en alerte". Sa mission, trouver tous les leviers existants pour rehausser le niveau de sécurité du groupe aux 400 salariés et aux 65 millions d’euros de chiffre d’affaires. "Nous avons des données clients, des plans de structures de génie civil, des heures consolidées d’études. Si cela nous arrivait, ce serait une vraie gestion de crise. Maintenant, tout l’enjeu est de trouver la juste mesure de protection et de mettre en place un système efficace de reprise d’activité sachant qu’un jour, nous nous ferons attaquer."
Tentatives de fraude
Même s’il n’a pas encore connu de cyberattaque en tant que telle, Livio doit aujourd’hui faire face à des mails piratés, des tentatives de fraude au président ou encore de détournements de trésorerie. "Et la pression s’est accrue depuis trois ans, confie Anne-Claire Goulon. C’en est devenu infernal. Nous avons prévenu la gendarmerie et nous avons d’excellents collaborateurs qui ont le réflexe de vérifier n’importe quel transfert d’argent ou d’information. Nous posons également des questions systématiques à nos fournisseurs pour savoir ce qu’ils font de nos données et où ils les hébergent. Mais cela reste incroyable tout ce qu’on peut savoir sur nous et notre organigramme. Ils connaissent tout." D’où la nécessité d’ériger des protections efficaces le plus rapidement possible. Après un premier diagnostic, Laurent Gervilliers, le nouveau DSI, a proposé un plan d’action divisé en plusieurs chantiers : "Il faut d’abord sensibiliser nos collaborateurs à la bonne utilisation des clés USB, des mots de passes et à la bonne gestion des mails pour éviter toute fraude au phishing."
Prix à payer
Autres chantiers engagés : le changement d’antivirus, la mise en place de plans de reprise et de continuité d’activité (PRA-PCA), la sécurisation du VPN via une double authentification, la mise en revue de l’ensemble des bornes wifi et le renforcement de la protection des GSM via des conteneurs professionnels et privés. Un plan d’action global de plusieurs dizaines de milliers d’euros finalement accepté dans sa totalité par la direction. "Pour une entreprise du bâtiment comme la nôtre, ce n’est pas neutre, rappelle Anne-Claire Goulon. Mises bout à bout, toutes ces mesures représentent des sommes que nous n’aurions pas imaginé dépenser il y a encore trois ou quatre ans." Au total, ce sont entre 50 000 et 100 000 euros d’investissements qui sont envisagés. "C’est le prix à payer pour notre sécurité", répond Laurent Gervilliers. Et la facture pourrait encore s’alourdir puisque Livio étudie actuellement la possibilité de souscrire à une assurance cyber et de renforcer ses équipements informatiques avec un progiciel de gestion intégré (PGI) ou encore un système d’intégration d’applications d’entreprise (IAE).
Une course à l’armement qui profite pour l’instant à de très grosses sociétés comme Vinci Énergies et sa marque dédiée aux technologies de l’information Axians (CA : 3 Md€ en Europe dont 500 M€ en France ; 22 000 salariés dont 1 700 dans l’Hexagone). Cette dernière peut compter sur ses deux entités Axians Communication et Systems Nancy-Metz, et Axians Cloud Builder Nancy-Strasbourg (50 salariés à elles deux) récemment regroupées à Maxéville dans un bâtiment entièrement rénové. Surfant sur ces nouveaux besoins en cloud et en cybersécurité, le spécialiste nancéien de la transformation numérique des entreprises veut doubler ses effectifs en trois ans. "Nous avons la chance d’avoir un marché porteur et des technologies qui se complexifient, confie le chef d’entreprise d’Axians Cloud Builder Nancy-Strasbourg Laurent Feldmann. C’est en ce sens que nous voulons proposer des offres de service complètes pour que nos clients soient en sécurité chez nous et qu’ils puissent continuer à se concentrer sur leurs métiers à eux". Autre objectif : dépasser les 30 millions d’euros de chiffre d’affaires d’ici 2025, contre 20 millions d’euros actuellement. "Ce monde technologique est devenu tellement complexe que les entreprises ont besoin de plus en plus d’accompagnement", déclare Guillaume Garric, directeur général d’Axians Communication et Cloud. Mais il n’y a pas que les grandes structures qui ont de l’ambition dans le domaine.
Chaîne de défense
Toujours en Lorraine, plusieurs start-up innovent pour protéger les données et résister aux assauts des cybercriminels. Lancée en 2017, la start-up Cyber-Detect, spin-off du Loria, le Laboratoire lorrain de recherche en informatique, propose une nouvelle approche pour repérer les logiciels malveillants : quand les autres antivirus ont besoin de la signature d’un virus pour le repérer, la solution Gorille repose sur une technologie appelée "analyse morphologique", permettant de comprendre ce que va faire le logiciel sans l’avoir jamais identifié auparavant. "La cybersécurité est une chaîne de défenses qu’il faut dresser autour de l’entreprise", explique Régis Lhoste, le dirigeant de Cyber-Detect, qui rappelle que la solution Gorille compose un seul maillon de cette chaîne, celui qui doit contrer les "attaques sophistiquées" par des logiciels malveillants : "À l’heure actuelle, notre antivirus n’est pas fait pour protéger les postes de travail", précise Régis Lhoste. Autre produit made in Lorraine dans le domaine de la cybersécurité, le logiciel Scuba, développé par Cybi. Lancée en juin 2022, la start-up s’appuie aussi sur l’expertise du Loria pour proposer une nouvelle approche de la gestion des vulnérabilités. "Notre solution permet d’identifier des chemins d’attaque et de proposer un plan de remédiation", détaille Fabian Osmond, le directeur général de Cybi. Concrètement, la technologie développée permet de ne plus laisser sans mise à jour un serveur critique pour le système d’information de l’entreprise. Une solution qui aurait – peut-être – évité bien des nuits blanches à Jérôme Goeminne, le directeur général du GHT Cœur Grand Est.
