La menace grandissante des cyberattaques

La cybersécurité, c'est comme l'exercice : on se rend souvent compte qu'il fallait s'y mettre une fois qu'il est trop tard. Demandez à Jules ou à Damart, visés l'année dernière par des cyberattaques. Piratage, demande de rançon, e-commerce et logistique à terre, récupération des données, puis laborieux nettoyage et sécurisation des systèmes informatiques pendant des mois… Les conséquences d'une cyberattaque peuvent être dévastatrices. Et surtout onéreuses : selon la firme de cybersécurité française Anozr Way, elles ont généré plus de 2,8 milliards d'euros de pertes de chiffre d'affaires cumulées en France en 2022. L'agroalimentaire, la logistique et le commerce sont les trois secteurs dans lesquels les entreprises déclarent le plus de cyberattaques, selon l'assureur Hiscox.

En termes de cybersécurité, toutes les sociétés ne sont pas logées à la même enseigne. La fine fleur du capitalisme français doit composer avec les devoirs que lui impose son statut d'opérateur d'importance vitale (OIV). Les OIV, c'est une liste secrète de 250 entreprises françaises soumises à la loi de programmation militaire, car leur activité est considérée comme cruciale par l'État et de nature à faire peser une menace pour la sécurité nationale en cas de perturbation. Mais il s'agit en réalité d'un secret connu de tous, puisque la liste est évidente lorsqu'on se met à chercher les acteurs cruciaux à la bonne marche d'un pays : les grandes banques, les opérateurs télécoms, ceux du transport, les industriels de la défense et du nucléaire bien sûr… et les majors de la grande distribution.

Issu du monde physique, le régime des OIV a aussi une déclinaison numérique en termes de cybersécurité, avec une protection et un suivi renforcés de la part de l'Agence nationale de la sécurité des systèmes d'information (Anssi). « Les grands distributeurs sont catégorisés OIV. L'Anssi nous suit et nous devons régulièrement lui rendre des comptes », confirme l'un d'entre eux, sous couvert d'anonymat. Plus répandu, le statut d'opérateur de services essentiels (OSE) concerne également des entreprises dans le transport de marchandises, la logistique et la restauration, avec des obligations cyber similaires à celles des OIV.

Les bonnes pratiques pour renforcer sa cybersécurité

• Maintenir ses systèmes informatiques à jour.
• Réaliser des sauvegardes régulières, sécurisées et isolées.
• Cloisonner les systèmes informatiques critiques.
• Mettre en place la double authentification.
• Appliquer le principe de zéro confiance qui nécessite de justifier son identité à chaque nouvel accès au réseau.
• Sensibiliser les employés aux risques de cyberattaques et aux méthodes de piratage les plus courantes.
• Réaliser des tests de pénétration pour mettre à l'épreuve ses cyberdéfenses.
• Prévoir un plan de continuité d'activité en cas d'attaque.

Les PME, nouvelle cible de prédilection

«Avant, pour hacker, il fallait être hacker. Aujourd’hui, vous pouvez acheter un “malware” (logiciel malveillant, NDLR) entre 15 et 30 € en ligne, puis jeter ça sur l’entreprise que vous voulez.»

Walter Peretti, professeur de cyberdéfense à l’École supérieure d’ingénieurs Léonard-de-Vinci (Esilv)

Chez ces OIV, OSE et, plus généralement, dans les grands groupes, la menace est prise au sérieux, et la sécurité s'est beaucoup renforcée ces dernières années, estime Walter Peretti, qui enseigne la cyberdéfense à l'École supérieure d'ingénieurs Léonard-de-Vinci (Esilv). « Les grands groupes ont bien compris quel était le coût d'une cyberattaque. Si on en subit une, ça va; si on est touché une deuxième fois, les dégâts peuvent être lourds. Ils ont donc mis de l'argent et sont relativement bien protégés », estime-t-il. Conséquence, les pirates se reportent de plus en plus sur « des entités moins bien protégées », relève l'Anssi, dans son rapport sur l'état de la cybermenace en France en 2022. Il peut s'agir de PME, ou de plus grandes entreprises n'ayant pas renforcé leur sécurité, se croyant moins exposées. Le secteur de l'agroalimentaire, fait d'un large tissu de PME et peu acculturé au numérique, s'avère être un terrain de chasse privilégié pour les pirates. L'utilisation croissante de l'informatique sur les sites de production, sans que ces nouveaux équipements soient toujours bien sécurisés et séparés des autres systèmes informatiques, constitue aussi une porte d'entrée intéressante. Les hackers se sont notamment attaqués en France au groupe Avril (marques Lesieur, Vivien Paille… ) et au transformateur de viande de porc Jean Floc'h en 2021, ainsi qu'à la PME CDPO, spécialiste du conditionnement des œufs, début 2023.

Les PME sont très intéressantes pour les pirates : elles sont moins bien protégées et sont aussi astreintes à beaucoup moins de transparence financière et de contrôles qu'un groupe coté. Il leur est donc plus facile de sortir de l'argent pour payer une rançon demandée par les pirates afin de retrouver l'accès à leurs systèmes informatiques. « Pour un pirate qui choisit une PME avec des reins assez solides, lui demander une rançon de 150 000 euros en bitcoins, c'est jouable », résume ainsi Walter Peretti.

Pas simple pour ces entreprises de se défendre, car elles n'ont pas forcément les moyens de recruter un directeur des systèmes d'information (DSI) ou des spécialistes de la cybersécurité. Elles passent donc par des prestataires qui mutualisent ces services entre plusieurs entreprises. « Dès qu'il y a une action à mener, ça nous coûte un rein. En plus de payer à la tâche, nous devons payer un abonnement pour garantir qu'on viendra nous aider en cas de problème », témoigne Rémy Groussard, directeur général du confiseur Tonton Pierrot. Il raconte aussi subir fréquemment des tentatives d'extorsion de pirates, dans lesquelles ces derniers se font passer pour la banque de l'entreprise et lui demandent de confirmer dans son appli bancaire des paiements en apparence légitimes. Il estime que toutes les actions cyber menées pour sécuriser les systèmes et les données de l'entreprise lui coûtent « l'équivalent d'un salaire supplémentaire par an, charges comprises ». Pas négligeable pour une société de 80 salariés, « mais c'est obligatoire, car une cyberattaque peut mettre une entreprise à terre ».

Des malveillants impunis

Les pirates n'ont toutefois pas cessé de lorgner les grands groupes, dont les données sont celles qui ont le plus de valeur. Etc'est aussi l'une des raisons de leur ciblage des PME. Un nouveau type d'attaques, dites par supply chain, pénètre les systèmes d'un petit fournisseur pour ensuite gagner l'accès à ceux d'un grand groupe client de cette entreprise, explique Fabien Poletti, directeur technique de Cdiscount. « Quand vous êtes intégrés avec un fournisseur, si celui-ci est hacké, le hacker peut essayer de remonter jusqu'à vous en vous envoyant des fichiers corrompus. Nous y sommes très attentifs. Nous imposons notamment à nos fournisseurs des audits de sécurité et des tests de pénétration (tentatives bénignes de piratage réalisées par des individus bien intentionnés, NDLR). » Difficile d'imaginer la cybermenace disparaître ou même se résorber. Le nombre de hackers augmente, car il n'a jamais été aussi facile de devenir pirate. Des kits sont disponibles enligne pour quelques dizaines d'euros seulement.

Quand vous êtes intégrés avec un fournisseur, si celui-ci est hacké, le hacker peut essayer de remonter jusqu’à chez vous en vous envoyant des fichiers corrompus.

Fabien Poletti, directeur technique de Cdiscount

« Avant, pour hacker, il fallait être hacker. Aujourd'hui, vous pouvez acheter un “malware” (logiciel malveillant, NDLR) entre 15 et 30 € en ligne, puis le jeter sur l'entreprise que vous voulez. Gagner 150 000 € pour 30 € dépensés, c'est un joli retour sur investissement », ironise Walter Peretti. D'autant plus attrayant que ces pirates enherbe prennent peu de risques : ils ne sont presque jamais retrouvés. Et avec l'accès de plus en plus simple à des intelligences artificielles qui peuvent automatiser ces tentatives de piratage à grande échelle, ou aider à berner les victimes en imitant la voix ou l'allure d'une personne de confiance, les possibilités ne feront que grandir. Pour couronner le tout, les autorités françaises confortent le modèle économique des hackers - chiffrer les données d'une entreprise pour les rendre inutilisables et demander une rançon pour les restaurer. Bruno Le Maire a en effet fait voler en éclats le message historique des autorités et des professionnels de la cybersécurité : « Ne payez jamais de rançon. » En septembre 2022, le ministère de l'Économie a légalisé le remboursement par les assureurs des rançons payées par les entreprises aux pirates qui prennent en otage leurs données. « Les assureurs ont réussi leur lobbying auprès du Trésor et de Bercy. C'est catastrophique pour le message envoyé aux pirates, même si on a surtout clarifié un flou, puisque de fait on laissait déjà les entreprises payer des rançons », note un professionnel de la cybersécurité.

Des listes de « pigeons » français

La pratique pose en effet plusieurs problèmes. D'abord, elle fait courir le risque de faire privilégier la France à d'autres pays par les pirates, puisque nos entreprises hésiteront moins à payer une rançon qui leur sera remboursée par leur assureur. Payer, c'est aussi potentiellement financer des groupes mafieux ou terroristes, qui ont bien identifié l'extorsion de fonds numérique comme nouvelle source de revenus. Enfin, les entreprises peuvent se retrouver dans des listes de « pigeons » qui acceptent de payer.

Celles-ci sont ensuite revendues à d'autres pirates en quête de proies faciles. Selon Hiscox, deux tiers des entreprises situées en Europe de l'Ouest et aux États-Unis acceptent de payer une rançon. « On court le risque d'alimenter le système et cela fait augmenter le risque de récidives, mais nous sommes satisfaits d'avoir désormais le droit d'indemniser les paiements de rançons, reconnaît Nicolas Kaddeche, directeur technique de l'assureur en France. Notre politique consiste à éviter de payer au maximum. Mais, dans certains cas, quand on connaît bien le passé du pirate et selon la sensibilité des données, cela peut-être la meilleure solution. »

Pour Jérôme Notin, directeur du dispositif étatique Cyber malveillance, qui aide les PME et les particuliers, il n'y a pas de fatalité, et peu importe leurs moyens, les entreprises peuvent et doivent s'améliorer. Le moindre progrès est bon à prendre, explique-t-il. « Ce qu'il faut retenir, c'est que les cybercriminels ont tellement de cibles potentielles et sont tellement fainéants, que si on est un tout petit mieux protégé que son voisin ou son concurrent, on ne sera pas la victime. Les attaques ciblées d'entreprises sont très rares. La plupart du temps, les pirates jettent de grands filets chez de nombreuses victimes à la fois et voient ce qui en ressort. » En matière de cybersécurité, les derniers seront toujours les premiers piratés.

Les différents types d'attaques

• Ransomware. La plus répandue des techniques. Elle consiste à chiffrer les données et systèmes d'une entreprise et à lui demander de payer une rançon pour qu'elle puisse les récupérer.
• Hameçonnage et hameçonnage ciblé. En se faisant passer pour un expéditeur d'e-mail de confiance, les pirates arrivent à convaincre la victime de cliquer sur un lien ou d'ouvrir une pièce jointe vérolée. L'hameçonnage peut aussi être ciblé, grâce à des données personnelles volées par les pirates.
• Distribued denial of service (DDOS). Les attaques par déni de service distribué surchargent un serveur ou un site web d'un nombre ingérable de requêtes afin de le faire tomber. La force brute.
• Exploitation de failles. Tous les logiciels comportent des failles de sécurité. Celles-ci sont régulièrement corrigées par les développeurs, mais les entreprises ne tiennent pas toujours leurs systèmes à jour, ce qui fait le bonheur des pirates. Dans des cas beaucoup plus rares et impliquant souvent des acteurs étatiques, des failles dites « zero day », c'est-à-dire jamais découvertes par les développeurs, peuvent être exploitées, sans qu'il soit donc possible de s'en prémunir.
• Attaque via la supply chain. Pour atteindre une grande entreprise bien protégée, les hackers visent le maillon le plus faible de sa chaîne d'approvisionnement, le piratent puis utilisent cette identité de confiance pour tenter de s'introduire dans le réseau de leur véritable proie.
•  Attaque par ingénierie sociale. Peu de technique, mais une bonne dose de ruse : les attaques par ingénierie sociale consistent à faire payer de son plein gré la victime, en se faisant passer pour sa banque au téléphone, par exemple, afin de lui faire valider une transaction frauduleuse dans son application bancaire.

OIV, OSE : qui sont ces entreprises à qui l'État demande une vigilance particulière ?

Les opérateurs d'importance vitale (OIV) sont 250 entreprises considérées comme vitales par l'État. La loi leur impose des exigences supplémentaires, et elles doivent rendre compte à l'Agence nationale de la sécurité des systèmes d'information (Anssi) des moyens mis en œuvre pour assurer leur cybersécurité. La liste est secrète, maison sait que les grands distributeurs en font partie, et probablement aussi les leaders de l'agroalimentaire. Les opérateurs de services essentiels (OSE) sont beaucoup plus nombreux (plusieurs milliers) et complémentaires des OIV. Ils doivent remplir les mêmes obligations que les OIV auprès de l'Anssi. Le transport de marchandises, la logistique, et la restauration sont considérés comme des services essentiels. Dans le cadre de la révision de la directive européenne NIS (Network and Information Security), le nombre d'entreprises concernées sera multiplié par dix, et les obligations de sécurité seront renforcées.

Sélectionné pour vous

Fausses promotions : l’UFC-Que Choisir attaque huit sites en justice, dont E.Leclerc et Amazon

Tous les chiffres de l’e-commerce alimentaire, qui marque le pas début 2023

Asos lève 86 millions d’euros pour remonter la pente