Cyberattaques : l'État et les entreprises françaises organisent la défense

La cybermenace est invisible. Infiltrée dans le système informatique d’un particulier, d’une entreprise, d’une institution, d’un hôpital ou même d’un État. Quand elle réussit à en prendre le contrôle, elle attaque. Et les conséquences économiques peuvent être terribles.

Les cyberattaques ont explosé, en France, ces dernières années. Les chiffres sont éloquents, et plus que préoccupants : +255% concernant les attaques par ransomware (logiciel de rançon) contre les organisations françaises en 2020 par rapport à 2019, selon une étude de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). 54% des entreprises françaises ont été attaquées en 2021 et 60% ont ressenti “un impact sur leur business” avec “une perturbation de la production (21%), et/ou une compromission d’information (14%), et/ou une indisponibilité du site web pendant une période significative”,  selon le Baromètre de la cybersécurité en entreprise Cesin 2022.

Le coût médian d’une cyberattaque pour une entreprise est de 50 000€, une entreprise perd, en moyenne, 27% de son chiffre d’affaires annuel et 60% des PME font faillite, selon les chiffres de Stoïk, assureur en ligne pour les PME contre les cyberattaques. “Le problème est que face à une cyberattaque, les PME n’ont pas la trésorerie pour se permettre de ne pas travailler pendant plusieurs jours, semaines, voire des mois”, selon la virulence de l’attaque, explique David Migliacci, growth manager chez Stoïk. Il n’y a plus de revenus, et cela coûte extrêmement cher pour réhabiliter le système”.

Augmentation de 400% des tentatives de phishing

Comment expliquer ces chiffres vertigineux ? La crise sanitaire de la Covid a transformé un grand nombre de travailleurs en télétravailleurs. Et l’humain est la proie la plus facile pour les cyber attaquants. D’autant plus, qu’en dehors du réseau sécurisé des entreprises, les connexions Internet des employés sont plus vulnérables. 47% des télétravailleurs se sont fait piéger par un phishing depuis le début de la pandémie, estime Stoïk. Les tentatives de phishing ont augmenté de 400% lors du premier confinement en mars 2020, chiffre le rapport d’activité de la plateforme Cybermalveillance.gouv.fr.

“Faire des campagne prévention”

Justement, à l’heure où ces lignes sont écrites, le site de France Connect, dont le but est précisément de “sécuriser et simplifier la connexion à plus de mille services en ligne” (impôts, banque, sécurité sociale…) avertit qu’”une campagne de phishing est actuellement en cours sous la forme d’e-mails imitant les notifications envoyées par FranceConnect après chaque connexion. Ces e-mails malhonnêtes tentent de récupérer vos identifiants”.

Si vous cliquez, vous mordez à l’hameçon, le pêcheur n’a plus qu’à remonter la ligne. C’est aussi simple que cela. Et il peut faire ce qu’il veut, notamment bloquer le réseau informatique, voler les données… et, in fine, réclamer de l’argent pour tout libérer dans le cas des ransomwares.

“Près de 75% des attaques proviennent du phishing”, précise David Migliacci, avant de donner des solutions : “Il faut principalement former les gens, faire des campagnes de prévention à ses employés pour les habituer à avoir une bonne hygiène cyber”. Comprendre : ne pas cliquer sur n’importe quel lien lorsque l’on reçoit un mail. “Il ne faut jamais donner ses identifiants sur un site sans vérifier que l’adresse url soit correcte”.

Des portes sans serrure

Cependant, l’employé qui clique, benoîtement, sur le mauvais lien n’est pas le seul fautif. “Les systèmes informatiques des entreprises ne sont pas mis à jour, explique Christophe Rodrigues, responsable de la section cybersécurité à l’école supérieure d’ingénieurs Esilv. C’est le problème le plus récurrent. Le système a été livré à un instant T où il était sécurisé, mais il n’y a pas eu de suivi sur le long terme”. Il poursuit : “Il y a des failles qui sont trouvées quotidiennement sur de nombreuses librairies que l’on utilise. Si le système utilisé n’est pas à jour, des failles de sécurité se créent avec le temps, et il y aura quelqu’un de mal intentionné pour les exploiter”. D’autant plus qu’aujourd’hui, “les outils (de cyberattaques) se développent, et plus c’est facile de profiter de ces failles, ajoute Christophe Rodrigues. Il n’y a pas besoin de connaissances poussées. C’est un peu comme s’il n’y avait pas de serrure sur la porte de votre appartement. Qui s’étonnerait que quelqu’un rentre ?”

“Avec les bonnes pratiques, mises à jour des antivirus et du système, faire des copies de sauvegarde régulièrement, et sensibiliser ses employés à un meilleur comportement en ligne, on pourrait éviter 90% des attaques”, assure David Migliacci. Avant d’ajouter : “Il faut tout de même rester humble sur Internet, si quelqu’un met suffisamment de ressources et de temps pour entrer dans un système, il va y arriver, personne n’est à l’abri”.

Campus Cyber

Si la menace cyber a longtemps été minorée par les entreprises françaises, “on en est au stade où elles commencent à en avoir conscience, mais je ne pense pas qu’elles soient encore très bien préparées”, prévient Christophe Rodrigues. 

Pour preuve, selon le Baromètre de la cybersécurité en entreprise Cesin 2022, les budgets consacrés à la cybersécurité sont encore en hausse cette année : “70% des entreprises confirment cette tendance, contre 57% en 2020. Elles sont 56% à vouloir allouer plus de ressources humaines à leur organisation. 84% vont acquérir de nouvelles solutions techniques, tandis que 62% d’entre elles ont recours aux offres innovantes issues de start-up”. Et, “40% des entreprises ont recours à des programmes d’entraînement à la crise cyber, et 47% déclarent que c’est en projet”.

“Même s’il y a du retard à rattraper, nous sommes sur le bon chemin”, constate Christophe Rodrigues, depuis son bureau, dans le tout nouveau Campus Cyber, inauguré au début du mois d’avril. Ce totem de treize étages et de 25 000 mètres carrés, érigé à La Défense à Paris, est consacré à la cybersécurité en France et en Europe. Une preuve que le gouvernement a pris la mesure de l’ampleur du phénomène et des risques encourus.

“Un manque de formation”

La formation est l’un des piliers centraux de la cyber politique menée par Emmanuel Macron. Et pour cause : “On manque d’ingénieurs cyber. Toutes les entreprises aujourd’hui peuvent se faire attaquer, et elles en ont conscience. Du coup, il y a une forte demande, analyse Christophe Rodrigues. Donc, pour nous, les écoles, il y a ce besoin d’adapter notre formation à ce contexte. Il y a un marché énorme, car il y a un manque de formation”.

Mais, pour le moment, les cyber assailants profitent des failles béantes laissées dans les systèmes informatiques. Des cyber assaillants dont les profils sont variés, selon un rapport coproduit par les sociétés française et américaine, Thales et Verint : 5 % sont des cyberterroristes, 20 % des cybercriminels, 26 % des “hacktivistes” (hacker activiste). Mais, les plus belliqueux sont les… États (49 %), qui “se concentrent souvent sur du vol de données sensibles de cibles géopolitiques”. L’éternel espionnage entre États, ennemis ou non. Mais le geek à capuche noire et asociable, selon l’imaginaire collectif, a remplacé l’espion en imper et chapeau bas en feutre.

“Une armée cyber européenne”

Il s’agit, dès lors, pour les États, comme la France, de répondre à un enjeu majeur : défendre leur souveraineté nationale face à ces barbouzes 2.0. Lors de la présentation de son plan consacré à la cybersécurité en février 2021, Emmanuel Macron annonce un budget global pour la cybersécurité à hauteur d’un milliard d’euros, dont la moitié financée par les deniers publics. En septembre dernier, à Lille, au Forum international de la cybersécurité, Florence Parly, la ministre des armées, souhaite que son ministère dispose d’un vivier de cinq mille spécialistes de la cyberdéfense d’ici 2025, soit une création de 1 800 postes dans la secteur. La loi de programmation militaire pour la période 2019-2025 alloue 1,6 milliard d’euros à la cyberdéfense.

Au niveau européen, les choses bougent aussi. Les 8 et 9 mars derniers, lors du Conseil européen, les 27 États-membres ont réclamé la mise en place d’un fonds d’intervention d’urgence pour la cybersécurité afin de faire face aux cyberattaques. La guerre en Ukraine et les nombreuses cyberattaques lancées par Moscou contre Kiev sont venues rappeler aux Européens que la menace est plus que réelle. Thierry Breton, commissaire européen en charge du Marché intérieur, a d’ailleurs estimé, sur France Info, le 11 mars dernier, qu’ ”il faut construire un bouclier cyber, peut-être réfléchir à avoir une armée cyber européenne, comme on a une armée avec Frontex qui garde les frontières”. Comme des cerbères du cyber.