Fleury-Michon, Altran spécialiste de l’ingénierie et conseil industriel ou Airbus au travers de leurs sous-traitants ainsi que de nombreuses sociétés et organisations françaises de toutes tailles, ont été victimes d’attaques ciblées et pénalisantes en 2019.

« Dans la nuit du 10 avril, nous avons été attaqués par un pirate à partir d’un Cloud Azure Canada et obligés de couper tous les accès internet le matin du 11 avril », explique Anne Michel, directrice organisation et systèmes d’information du groupe agro-alimentaire Fleury-Michon, qui poursuit « Dès le matin, nous avons arrêté toutes les lignes de production. Les communications et les livraisons aux clients, dont Carrefour ou Auchan, ont été suspendues. Tous les supports de stockage de la société ont été cryptés par l’attaquant mais curieusement, sans aucune demande de rançon ».

L’arrêt de la production a été de 3 jours mais la phase de crise a duré 12 jours avec la remise à niveau du système d’information. « Nous avons définitivement sorti la tête hors de l’eau en juillet », précise Anne Michel.

Cet exemple concret illustre parfaitement les lourds dommages occasionnés par une attaque informatique de grande ampleur. D’une part et surtout, par l’arrêt de la production, la désorganisation des services. Fleury-Michon ne souhaite pas communiquer sur la perte d’exploitation mais il est facile d’imaginer son coût très important. D’autre part, par l’impact psychologique sur les équipes de la DSI et sur les métiers, production, ressources humaines, comptabilité, etc. Enfin, sur le coût du prestataire en sécurité en intervention de crise, la société Intrinsec.

Les attaques les plus répandues

Selon le baromètre du Cesin (Club des experts de la sécurité de l’information et du numérique) et d’Opinion Way, en tête des cyber-attaques les plus courantes en 2018, figurait le Phishing pour 73 % des entreprises interrogées. Concrètement, il s’agit du vol de données confidentielles telles que des identifiants, mots de passe ou coordonnées bancaires, via, par exemple, un lien inclus dans un e-mail vers un site frauduleux censé être légitime.

Le Spear-phishing vient en second pour la moitié des entreprises. Il s’agit d’une variante du Phishing qui permet le ciblage de la victime, en lui faisant croire par des informations crédibles comme son numéro de Siret, un vieux mot de passe, etc., qu’il est bien le destinataire du message. L’infection par un malware, Cryptolocker (outil de cryptage des données et applications) et Ransomware (cryptage suivi de demande de rançon) concernent 44 % des attaques. Suivent l’ingénierie sociale (escroquerie avec intervention humaine), l’usurpation d’identité et la fraude, le vol d’identifiant, le déni de service (blocage d’un site web). Autant d’attaques très pénalisantes qu’il convient de circonscrire efficacement.

Le développement croissant des objets connectés (IoT), l’utilisation des applications en Cloud, l’usage de plus en plus massif de smartphones et tablettes sont autant de portes d’entrées pour les attaques. L’IoT, par la multiplication des caméras et capteurs connectés, est une cible de choix pour les attaquants. L’accès au Cloud public ou privé est, en principe, convenablement protégé. Dans ce cas, c’est surtout l’identification de l’accès au Cloud par les collaborateurs qui est la cible des cyber-attaquants à la recherche des identifiants et mots de passe. De nombreuses applications métiers sont désormais utilisées en mode Cloud (SaaS ou IaaS) finances, ressources humaines, comptabilité, production, etc.

L’aspect humain, maillon primordial pour une protection optimale

Les responsables d’entreprise font face à une pléthore de solutions technologiques de prévention ou de résolution des incidents de sécurité. La démarche à adopter pour choisir celle qui correspond aux besoins véritables de l’organisation passe par une expression correcte des besoins et un POC (Proof of concept) un essai sur un périmètre réduit de l’entreprise qui sera progressivement déployé sur tous les postes concernés.

Pour les entreprises certifiées Anssi (voir encadré), il faut valider un ensemble de règles de sécurité prenant en compte les spécificités de l’entreprise, par exemple, la difficile protection d’un parc de vieux ordinateurs sur une ligne de production. La gestion et la gouvernance des identités et accès au système d’information se complique quand l’entité de travail se décline sur de nombreux sites en France et à l’étranger. Il faut gérer notamment les comptes d’utilisateurs orphelins ou dupliqués suite au départ ou à la mutation interne des collaborateurs.

« Il faut savoir qui fait quoi et établir une remise à plat complète de la gestion des identités et accès », explique Benoit Fuzeau, responsable sécurité du SI de la Casden banque coopérative du réseau BPCE. Les projets peuvent déraper et grever les budgets suite à des problèmes liés, par exemple, à un intégrateur défaillant, avec les pertes financières afférentes qui se chiffrent en centaines de milliers d’euros.

La réussite d’un projet de sécurité, qui n’est jamais efficace à 100 %, doit tenir compte des réticences des métiers à collaborer avec le RSSI, du soutien de la direction et de la sensibilisation et de la formation de chaque collaborateur, dans un secteur en perpétuelle évolution.