Lactalis, Fleury Michon, Beneteau, Eurofins, MMA ou encore la Ville d’Angers… : la liste des récentes victimes d’attaques informatiques s’allonge sans cesse. « Depuis 2019, on observe une augmentation des cyberattaques dans les Pays de la Loire, qui suivent la tendance nationale. En particulier des rançongiciels, la menace numéro un pour les entreprises aujourd’hui », constate Régis Dubrulle, « délégué régional sécurité numérique » de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Prisé des hackers, le rançongiciel (ou ransomware) consiste à chiffrer les données de la victime, après s’être introduit dans son système informatique. Le pirate exige ensuite de l’argent en échange du décodage des fichiers. « En France, les cyberattaques auprès des entreprises ont été multipliées par quatre en un an. », évalue de son côté Olivier Delaye, directeur du marché Pro-PME Grand Ouest, chez Orange.
« 77 % des cyberattaques ciblées sur les PME »
Autres menaces répandues, le vol de données et la fraude au sens large, notamment via l’hameçonnage (ou phishing). L’hameçonnage consistant souvent à envoyer un e-mail imitant celui d’un organisme (banque, compagnie de téléphone… ) invitant à cliquer sur un lien dont l’adresse est maquillée pour paraître authentique. Ce lien renvoie ensuite l’internaute sur une contrefaçon du site de l’organisme, où lui seront demandées des données personnelles, comme ses codes bancaires. Moins connu, le cryptomining progresse aussi. Dans ce cas, un hacker utilise la puissance de calcul de l’ordinateur d’un tiers à son insu, afin de chiffrer des transactions en bitcoins. Une opération rémunérée, réalisée sur le dos des victimes.
Aujourd’hui, plus personne n’est épargné. « Les cyberattaques touchent tout type d’entreprise, PME comprises », souligne Régis Dubrulle. Les TPE et PME seraient même la cible de 77 % des cyberattaques selon le syndicat Syntec Numérique (chiffre 2017).
RCF reçoit une demande de rançon en bitcoin
À Angers, plusieurs cas ont été recensés. La radio RCF Anjou (9 salariés, 90 bénévoles) en a notamment fait l’expérience en 2015. Ce jour-là, son directeur tombe des nues en arrivant au studio. « Impossible d’accéder à l’ordinateur du secrétariat. Tout était crypté », raconte Raphaël de la Croix. Sur l’écran apparaît une demande de rançon : 1 000 € à payer en bitcoin via le réseau informatique Tor. Rien ne sera déchiffré en attendant. Devant cette situation inédite, l’équipe s’interroge. Est-ce que les données bloquées en valent le prix ? Reste-t-il des sauvegardes ? L’ordinateur contient des documents administratifs : compte-rendus de réunions, dossiers de subventions, etc., pour partie sauvegardés sur un disque dur externe.
Finalement, la radio refuse de payer. Et ignore le hacker. Quitte à avoir à refaire certains documents. « Primo, les informations perdues n’étaient pas d’importance vitale. Deuxio, nous n’avions pas envie d’alimenter un système en donnant de l’argent à un bandit, argumente Raphaël de la Croix. Et même en payant, quelles garanties avait-on de récupérer nos données ? Le hacker aurait pu faire monter les enchères… » Le réseau national des radios RCF a aujourd’hui adopté une protection antivirus plus renforcée. « La cybersécurité n’est plus négociable, il ne s’agit plus d’une option à cocher ou pas », insiste le directeur de RCF Anjou.
Rappeler les règles de base à ses équipes
Ancien dirigeant de la start-up angevine Cottos Medical, Benjamin Cosse confie aussi avoir eu quelques surprises. Comme le jour où un salarié a vu, en direct, un pirate fouiller dans ses fichiers. « On a immédiatement effacé tout le contenu du PC, réinstallé les paramètres d’usine puis les logiciels », raconte Benjamin Cosse. Un autre incident lui a coûté 800 €. Sans le savoir, la PME de 10 salariés à l’époque s’est inscrite en ligne à « un faux congrès », bien imité, avec un site web présentant un vaste programme et la (fausse) présence de figures universitaires à l’appui. « Nous avons profité de ces incidents pour rappeler aux équipes les fondamentaux : bien mettre à jour les postes et logiciels pour éviter les failles de sécurité, ne se fier qu’aux sites https (plus sûrs), éviter d’ouvrir les mails suspects, etc. », énumère Benjamin Cosse.
Le jour où une attaque a mis Beneteau à l’arrêt
Deux incidents plutôt limités. Mais derrière ces piratages, les conséquences peuvent être beaucoup plus lourdes. En atteste la récente mésaventure de Beneteau. Premier fabricant de voiliers au monde, le groupe vendéen a connu un véritable black-out en février dernier. Suite à l’intrusion d’un rançongiciel venant de l’étranger, l’industriel a dû couper le réseau informatique et internet de tous ses sites, usines et bureaux inclus… Partout dans le monde. Le groupe employant 7 500 salariés, dont 4 300 en Vendée et à Cholet, avec également des sites en Pologne, en Italie, aux États-Unis… Il est connu pour ses marques de voiliers Beneteau, Jeanneau ou encore Lagoon, et pour ses bateaux à moteurs.
Le 19 février, la mécanique bien huilée pour récolter les 7 000 pièces nécessaires chaque jour à la construction d’un bateau s’enraye. Suite à l’attaque, les usines françaises resteront quasiment à l’arrêt total pendant une semaine, n’accueillant guère que des opérations assez manuelles de réparation et finition. Plusieurs milliers de personnes se retrouvent au chômage technique.
"Ça vous coupe le souffle. On prend alors la mesure de ce qui dépend des infrastructures informatiques", confie une salariée de l’entreprise. Véritable cas d’école, cet incident a pu être maîtrisé grâce à la politique d’anticipation des risques du groupe. En effet, ce dernier possède un "plan de reprise d’activité" ou PRA pour ce genre d’attaques.
Concrètement ? Après avoir coupé le réseau, le second réflexe a ensuite été de contacter ses spécialistes en cybersécurité. L’urgence était de mettre en place les premiers gestes pour éviter la propagation de l’attaque, détecter ses causes, visualiser les dommages à l’instant T. Très vite, Beneteau monte une cellule de crise pluri-métiers, des services financiers et RH aux responsables approvisionnement et logistique. On dépose plainte à la gendarmerie, on contacte même la Commission nationale de l’informatique et des libertés (Cnil). La réglementation sur les données personnelles indiquant de le faire en cas de suspicion d’un vol de données. Le groupe sollicite enfin ses assurances qui couvrent aussi le risque cyber, pour la prise en charge de pertes d’exploitations.
Un gros travail commence alors en interne. Priorités de la cellule de crise : assurer la paie des salariés mais aussi redémarrer la production. Encore faut-il réussir à travailler, non sans informatique, mais sans internet. On appelle ça fonctionner "en mode dégradé ". Pour renouer le contact entre usines, les équipes vont par exemple se transporter d’un site à l’autre, clé USB ou disque dur externe en main, pour échanger des fichiers.
Ce fonctionnement dégradé va durer cinq semaines. La production mettra environ un mois à retrouver son rythme d’avant-crise. Il aura notamment fallu analyser un à un les PC de tous les salariés… Si l’entreprise n’est plus infectée aujourd’hui, le service informatique reste toutefois sur le pont. Car après avoir compris comment l’attaque a été menée, il faut encore vérifier qu’il n’existe pas d’autres failles de sécurité ailleurs. Au final, l’incident a contribué à renforcer encore davantage les procédures de sécurité. Depuis, la double identification a par exemple été systématisée, avec des connexions nécessitant un identifiant, un mot de passe, plus une confirmation d’identité par SMS ou un autre vecteur.
Professionnalisation des attaques
Ce boom des cyberattaques s’explique en partie par l’appât du gain. En partie par la massification et la professionnalisation des attaques. « La pratique s’industrialise, décrypte notamment Manuel Prieur, expert en cybersécurité basé à Segré-en-Anjou Bleu. Par le passé, il s’agissait plus souvent d’amateurs. On lançait un virus et on récupérait ce qu’on pouvait… Aujourd’hui, il existe un vrai écosystème, avec des acteurs organisés pour mener des attaques : untel fournit un script, un autre va lancer l’acte malveillant, un troisième négociera la rançon. Et ainsi de suite jusqu’au blanchiment d’argent. On assiste à une sorte d’ubérisation du concept ».
La crise du Covid n’aura pas arrangé les choses. « Le recours brusque et massif au télétravail, avec des salariés exerçant parfois depuis leur PC personnel et via des accès à distance non sécurisés, a aussi créé de nouvelles vulnérabilités », note Laurent Guillé, manager cybersécurité chez Wavestone.
Créer un « PRA » et miser sur la prévention
Constituer un PRA et insister sur la prévention fait plus que jamais partie des fondamentaux pour résister en cas d’incident. « Car une fois qu’on a été attaqué, c’est un peu tard », rappelle l’expert en cybersécurité Manuel Prieur. Une prévention qui s’étend pour lui du choix des mots de passe - des mots de passe de 12 caractères minimum, changés régulièrement, en veillant à ne pas utiliser les mêmes partout - jusqu’à « l’identification et la sauvegarde des données sensibles », qu’on ne souhaiterait pas voir volées, divulguées, perdues ou corrompues. Entre autres choses. Nombre d’experts comme Régis Dubrulle conseillent aussi de réaliser des sauvegardes régulières hors connexion, inaccessibles aux attaquants, « sur disque dur externe ou via un système à bandes » par exemple. Pour des conseils plus exhaustifs, l’Anssi publie gratuitement sur son site un « guide des bonnes pratiques de l’informatique », coédité avec la CPME, ou encore un guide pour « organiser un exercice de gestion de crise cyber ». Le site cybermalveillance.gouv.fr diffuse aussi une série de fiches conseils.
La cybersécurité en plein essor
Avec la recrudescence des attaques informatiques, le marché de la cybersécurité semble avoir de beaux jours devant lui. D’autant que le gouvernement français compte mobiliser un milliard d’euros dont 720 millions de financements publics, dans le cadre de sa « stratégie nationale pour la cybersécurité ». L’un des objectifs sera de doubler le nombre d’emplois dans la filière de 37 000 à 75 000 à l’horizon 2025. Par ailleurs, les Pays de la Loire figurent parmi les territoires que l’État a identifiés pour accueillir une antenne régionale du futur Cybercampus parisien qui devrait réunir 1 000 acteurs du marché, allant des écoles et administrations aux start-up et grands groupes comme Atos, Orange ou Thalès.
