Le 15 juin, le MEDEF des Yvelines organisait un après-midi sur la cybersécurité, un sujet crucial pour l’intégralité de la population. L’animateur de cette conférence, Yves Grandmontagne, n’y va pas de main morte : le journaliste et fondateur de Datacenter magazine regrette une seule chose, que l’amphithéâtre prévu pour une centaine de personnes ne soit pas comble. « Tout le monde peut être attaqué » prévient-il d’emblée. Et pour démontrer son propos, trois patrons d’entreprises yvelinoises venaient témoigner. Tout d’abord Jean-Airy Augsburger, Président Directeur Général de DOGA. Il reçoit une demande d’offre pour de l’outillage électroportatif et son service commercial réalise le devis.
Le « client » le valide mais indique une adresse différente de son siège social pour la livraison. Par pur hasard, l’un des commerciaux décide de l’appeler en passant par le numéro du standard disponible sur internet, il s’avère finalement que la société acheteuse n’avait rien demandé. Toutefois l’histoire ne s’arrête pas là puisque DOGA va être victime de la même péripétie. Une entreprise allemande appelle le PDG pour lui demander le paiement d’une facture de 50 000 euros alors qu’il n’avait rien commandé. Jean-Airy Augsburger découvre alors que plusieurs adresses mails à son nom et différentes demandes d’offres ont été réalisées. Les hackers, en « bon élève » avaient même réussi à récupérer le numéro KBIS (numéro permettant à un entrepreneur ou une entreprise de justifier son inscription au registre du commerce et des sociétés) et utilisaient son papier à en-tête. Après enquête, ils auraient réussi à extorquer entre 150 et 200 000 euros à diverses sociétés européennes.
De son côté, Frédéric Taviaux, le directeur de l’agence de Mazet Mercier, raconte une autre facette des cyberattaques. L’entreprise limayenne se retrouve infectée par un virus informatique le 1er octobre 2022 et perd alors deux ans de sauvegarde. Le personnel se met alors en ordre de bataille pour réaliser tous les fichiers perdus mais l’ambiance n’est pas spécialement au beau fixe. « Comment garder la confiance de ses équipes après un tel dysfonctionnement ? » s’interroge-t-il. Si huit mois plus tard, tout est quasiment rentré dans l’ordre, Frédéric Taviaux concède avoir dû faire face à quelques arrêts maladies pour des problèmes « sans trop de gravité ». Yves Grandmontagne pointe alors cet aspect psychologique. Lors d’une précédente conférence, il recevait le maire d’un village breton de 380 âmes. À l’instar de Mazet Mercier, tout le système informatique se retrouve en panne à cause d’un mail contenant un virus. « Un an plus tard, la personne qui a ouvert cet e-mail dort toujours mal la nuit » explique le journaliste. L’autrice épônoise Angeline Vagabulle – un nom d’emprunt – a consigné ces ravages dans son livre « Cyberattaque ». Au fil des pages, elle relate la cyberattaque dont elle a été victime au sein de sa multinationale et la solitude ressentie pour relancer l’activité. Cette peur peut également trouver sa source à travers une autre conséquence : d’après une étude américaine datant d’avril, 60 % des PME touchées par une cyberattaque déposeront le bilan six mois plus tard, un rapport confirmé par une chambre de commerce et de l’industrie du Sud de la France.
Payer la rançon que vous demandent systématiquement les hackers ne permettra d’échapper au pire. D’une part car le montant moyen demandé est d’environ 2,2 millions de dollars, ce qui n’est même pas le chiffre d’affaires de bon nombre de sociétés. D’autre part, comme le rappelle l’Agence nationale de la sécurité des systèmes d’information (ANSSI), rien n’assure que les pirates informatiques vous rendront l’intégralité des données volées, surtout sans un autre virus à l’intérieur. De plus, tout type d’établissement peut être touché et qu’importe la localisation.
En septembre, la Mairie des Mureaux a été victime d’une attaque. Et bien que la Ville précise que « l’impact est très limité sur les habitants. La problématique est plutôt en interne où les agents n’ont pas accès aux outils informatiques ». Aujourd’hui encore, il est stipulé sur son site internet que les réservations (prépaiement) aux activités périscolaires et à la restauration scolaire sont toujours impossibles ainsi que la prise de rendez-vous en ligne pour une demande d’une carte nationale d’identité ou d’un passeport. Par ailleurs, n’espérez pas un quelconque code éthique de la piraterie informatique, il n’existe pas. En décembre 2022, l’hôpital Mignot – au Chesnay – a été pris pour cible et le voilà de retour à l’ère du papier comme le titrent certains organes de presse nationale, un cas parmi tant d’autres en France. Si l’attaque est inéluctable, comment faire pour s’en prévenir ?
Anthony Streicher, directeur de l’entreprise HA PLUS PME basé à Toussus-le-Noble, esquisse une partie de la réponse à travers son expérience : « Mais quand j’ai été victime d’une cyberattaque avec fraude au président, copie de la boîte mail… je me suis posé pendant deux heures, j’ai pris un papier A4 et nous avons brainstormé avec mes équipes pour savoir quoi protéger. » Il existe également des sociétés de conseil comme Thalia Neomedia. L’entreprise épônoise propose des ateliers de cybercrise qui se déroulent sur deux heures avec pour but d’évaluer les comportements des membres d’une équipe face à cet événement, en plus de former aux premiers réflexes et bonnes pratiques. « Ce genre de pratique doit être répétée tout le temps ! La semaine dernière, j’ai rencontré à Lyon le meilleur des élèves, ils font des exercices d’hacking tous les deux mois ! » raconte Delphine Chevallier, référente Cybersécurité au sein de Thalia Neomedia.
L’humain est au cœur du débat, notamment à cause d’un objet qu’il trimbale le plus clair de son temps avec lui : son smartphone. « Pour 15 euros, je peux installer un logiciel espion et prendre le contrôle de votre téléphone portable » rappelle Arnaud, gendarme yvelinois. Pour vérifier votre santé numérique, le groupe La Poste et la Gendarmerie se sont associés afin d’expérimenter un dispositif innovant visant à détecter la présence de logiciels espions dans les smartphones, tablettes ou ordinateurs portable. 12 boîtiers sont donc disponibles dans des gendarmeries yvelinoises. L’utilisation est très simple, le boîtier génère un réseau wi-fi et vérifie que vos données vont d’un point A au point B, sans passer par des chemins de traverses. Utilisé lors de l’université des Maires, le dispositif a découvert un téléphone compromis appartenant à un élu… Que faire dans ce cas-là, comme dans un cas de cyber-attaque ? Tout d’abord prévenir la CNIL, notifier la fuite de données personnelles sous 72 h, puis déposer une plainte dans le même laps de temps.
L’entreprise victime peut même alerter le CYBERGEND, un dispositif de gendarmes présent nationalement et localement, notamment via l’adresse mail cybergend78@gendarmerie.interieur.gouv.fr. Ces affaires ne se régleront pas de manière toutdesuitesque mais les services étatiques comme la Direction générale de la Sécurité intérieure (DGSI) et l’ANSSI peuvent se regrouper dans le but de trouver les pirates informatiques et également adapter les systèmes de défense. Car c’est un cercle vicieux, les hackers ont régulièrement un temps d’avance du fait de leur position « d’attaquants ».
Les points importants à retenir sur cet après-midi consacré à la cyberattaque sont donc les suivants. Tout d’abord, personne n’est à l’abri d’une attaque informatique. Puis en cas d’e-mail frauduleux, le signaler à www.cybermalveillance.gouv.fr afin que les autorités compétentes enquêtent. Par exemple, c’est ainsi que les fameux spam accusant des utilisateurs de pédopornographie ont pu être de plus en plus filtrés. Enfin, pour éviter tout risque, n’hésitez pas à vous référer au code de bonnes pratiques de l’ANSSI. Si le risque zéro n’existe pas, être au courant permet au moins de diminuer drastiquement les failles.
Les 10 règles que pointent l’ANSSI :
Séparez strictement vos usages à caractère personnel de ceux à caractère professionnel. Vos moyens de communication personnels ne doivent pas être utilisés pour vos échanges professionnels (courriel, compte d’échange de fichiers, clé USB etc.) et inversement.
Mettez régulièrement à jour vos outils numériques. Les mises à jour ne sont pas automatiques, veillez à bien les accepter sur vos outils personnels et professionnels pour garantir leur sécurité.
Protégez vos accès par une authentification double-facteur lorsque c’est possible, ou a minima par des mots de passe complexes. Vos mots de passes doivent être longs, complexes, sans informations personnelles, uniques et secrets.
Ne laissez pas vos équipements sans surveillance lors de vos déplacements. Sous peine de les voir manipulés, compromis à votre insu et vos données volées.
Protégez votre espace de travail et vos données. Verrouillez votre poste de travail lorsque vous n’êtes pas à votre bureau et placez en lieu sûr tout matériel sensible (support de stockage).
Prenez soin de vos informations personnelles en ligne. Préservez votre identité numérique en vous montrant vigilant sur Internet et les réseaux sociaux.
Protégez votre messagerie professionnelle. Soyez vigilant avant d’ouvrir les pièces jointes et ne cliquez pas sur les liens présents dans les messages qui vous semblent douteux.
Ne faites pas confiance aux réseaux non maitrisés pour connecter vos équipements. Par exemple : des réseaux Wi-Fi publics, des bornes de recharge USB…
Faites preuve de vigilance lors de vos échanges téléphoniques ou en visioconférence. La confidentialité des conversations n’est pas assurée sur les réseaux publics.
Veillez à la sécurité de votre smartphone. Évitez de prendre votre smartphone pendant les réunions sensibles. Il peut être utilisé pour enregistrer vos conversations, y compris à votre insu.