Depuis janvier, 20 000 sites web français ont été piratés. Les attaques contre Thalès et de TV5 Monde ont été rendues publiques, comme l'escroquerie qui a fait perdre 500 000 € à Nausicaa, à l'été 2014... Les cyberattaques, qu'elles soient crapuleuses ou idéologiques, sont désormais une réalité concrète.
Frappes ciblées ou aveugles, nombreuses sont les entreprises qui peuvent en être victimes, sans même le savoir. Et pour cause : selon un rapport de Symantec, les cyberattaques ont augmenté de 81 % l'an dernier dans le monde, et près de huit sur dix en France ont visé des PME. Des cibles faciles pour les hackers, explique Emmanuel Dupont, officier de la Réserve Citoyenne de Cybersécurité dans la région. « Les TPE-PME ne sont pas les cibles privilégiées des pirates informatiques. Elles ne détiennent pas forcément de données valorisables, n'ont que peu de trésorerie, et une atteinte à leur image aurait peu de répercussions. Par contre, elles sont très mal protégées, et sont donc très exposées. Les logiciels de sécurité sont insuffisants ou obsolètes, les personnels ne sont pas sensibilisés, il n'y a aucune sauvegarde des données... Elles sont des victimes collatérales toutes désignées pour des attaques d'ampleur, qui utilisent des failles non corrigées dans les systèmes. Mais aussi, des virus destructeurs, des logiciels malveillants, qui ciblent des systèmes industriels, ou des ransomwares ». Des logiciels qui paralysent les systèmes en réclamant une rançon, et qui se multiplient.
Attaques mortelles
Quelle qu'en soit l'origine, une attaque peut avoir des conséquences fatales pour une entreprise, en entraînant la perte de données capitales, fichiers clients, commandes en cours, recettes ou plans. Ou encore, la destruction de machines-outils. Selon les cas, l'agonie peut être rapide, ou très lente « Le plus souvent, les gens mettent des années à comprendre ce qui leur est arrivé », explique Raouti Chehih, directeur d'Euratechnologies, qui pilote le Cluster Eurorégional de Cybersécurité. « Ils voient leur chiffre et leur compétitivité baisser, leurs concurrents prendre de l'avance... Ce n'est que des années plus tard qu'ils comprennent qu'ils ont été victimes d'un piratage. »
Le prix de la tranquillité
Pour sécuriser les réseaux industriels, qui sont de plus en plus connectés, directement ou non, à Internet, un simple antivirus ne suffit pas, il faut des solutions spécifiques », résume Grégory Snauwaert, dirigeant d'Axbx, éditeur de logiciels de sécurité basé à Villeneuve d'Ascq. « Mais les développeurs ne s'intéressent que très peu au marché des PME. Et de l'autre côté, on a toutes les peines à faire prendre conscience aux chefs d'entreprise qu'eux aussi sont concernés. Souvent, ils n'y connaissent rien. Même quand ils investissent, ils ne touchent plus à rien pendant deux ans, plus rien n'est à jour. C'est surtout un problème économique. Il faut voir la tête d'un patron de PME quand on lui montre une facture de 15 000€ pour un an. Pour lui, c'est de l'argent dans le vent. Même avec des tarifs plus adaptés, ce qu'on entend souvent, c'est "on fonctionne comme ça depuis dix ans, on n'a jamais eu de souci". »
« C'est comme payer pour une assurance », renchérit Raouti Chehih. « Tant qu'on n'a pas de problème, c'est toujours trop cher. Mais le jour où ça tombe, si on n'est pas protégé... » Ce sont les ennuis qui pleuvent. Pourtant les acteurs ne manquent pas dans la région, comme le montre le Cluster. « Dans le public ou dans le privé, près de 7 000 personnes travaillent sur ces questions, » poursuit Raouti Chehih. « C'est un secteur qui représente 630 M€ de chiffre d'affaires dans la région. » L'État aussi met la main à la pâte, au travers de la Réserve Citoyenne de Cybersécurité, qui, sous l'égide du ministère de la défense, aide les entreprises à identifier leurs failles.
Les bonnes pratiques
« Il faut sensibiliser les équipes aux bonnes pratiques, dans la durée », martèle Paul-Henri Huckel, de chez Lexsi, un cabinet de conseil en cybersécurité présent à Lille. « Un mail ne suffit pas, il faut en envoyer régulièrement. » Et répéter des consignes simples, souvent négligées : ne pas surfer sur des sites non sécurisés, ne pas télécharger à tout-va, ou ouvrir les pièces-jointes qui paraissent étranges, changer souvent les mots de passe... Un point sensible pour Gregory Snauwaert. « Quand on voit la gestion des mots de passe dans les PME, gardés sur des post-its sur les écrans, ou juste le nom du conjoint ou du chien, ça fait peur. C'est pour ça que des solutions simples émergent, des systèmes biométriques ou avec cartes à puce par exemple. »
Vers plus de réglementation ?
En matière de cybersécurité, la négligence pardonne peu, et peut être dangereuse à plus d'un titre. Mais pour autant, aucune réglementation n'oblige à se protéger... Pour l'instant. Car à en croire Arnaud Dubois, fondateur de Dhimyotis, spécialiste de la sécurité des données et des échanges à Villeneuve d'Ascq, une révolution couve. « Les gens sont plus sensibles à ces questions, ils commencent à comprendre que, par exemple, les e-mails transitent en clair sur les réseaux, les opérateurs peuvent les lire. Rien n'est crypté. N'importe qui peut prendre votre boîte mail en deux minutes, écrire à votre place, personne ne verra la différence. C'est pour ça que la certification va devenir obligatoire pour les mails. Des normes sont mises en place à l'échelle européenne. Certaines grandes entreprises sensibles imposent d'ailleurs déjà à leurs salariés et fournisseurs d'avoir des mails certifiés, ça va se généraliser. »
« Pour le moment, les banques et les assurances vous couvrent en cas d'attaque, mais ça ne va pas durer » prévient quant à lui Grégory Snauwaert. « Un système sans protection, c'est comme une voiture avec les clés sur le contact. En cas de vol, l'assurance ne couvre pas. La même logique s'appliquera bientôt aux réseaux. »
