La dernière réunion plénière de notre Club, le 10 mars dernier, était consacrée au thème Cybersécurité / cybersabotage-cyberattaque / Guerre économique et numérique.
Pas moins de 90 adhérents (dirigeants, DSI, risk managers…) ont participé en visio aux présentations de la table ronde d’experts réunis par Alain Lemaire, vice-président du club, sur ce sujet au cœur des préoccupations. Les attaques cyber sont en effet en forte hausse actuellement, notamment dans notre région (hôpitaux de Dax, de Saint-Jean-de-Luz, plusieurs ETI touchées…). Résumé des points de vigilance et des conseils.
Des menaces de plus en plus nombreuses
« Le nombre d’attaques est en forte hausse, constate Olivier Grall, délégué à la sécurité numérique de l’ANSSI* en Nouvelle-Aquitaine, et certaines peuvent avoir des conséquences dramatiques. » Au-delà des demandes de rançons après cryptage, des arrêts de production impliquant des pertes financières et commerciales, ces attaques peuvent atteindre à l’image de l’entreprise, donner lieu à des pénalités financières de l’INPI pour non-respect du RGPD, etc. Si ce phénomène explose, c’est notamment du fait de la montée du numérique, dont dépendent désormais toutes les activités économiques : ERP, comptabilité, GPAO et outil de production, R&D… qui peuvent être attaquées, voire détruites. Le télétravail, en développement actuellement, est un risque supplémentaire. « Et nos lois protectrices sont de plus difficiles à faire appliquer dans un environnement virtuel et sans frontières.«
« Par ailleurs, note Eléna Poincet, co-créatrice et dirigeante de Tehtris** (élue personnalité IT de l’année par Le Monde Informatique), tous les systèmes et logiciels qui équipent la majorité des ordinateurs dans le monde présentent des failles de sécurité. Webex, Microsoft Exchange, mobiles Google, Android et autres… sont autant de portes d’entrées dans les systèmes d’information. » Il faut quelques minutes, quelques heures, tout au plus quelques semaines, pour pénétrer une entreprise du CAC40 ! Et beaucoup plus de temps à celle-ci pour détecter le piratage.
Tout cela a conduit à la « désinhibition » de personnes, voire d’Etats.
« Le Cloud Act aux Etats-Unis autorise juridiquement les autorités américaines à avoir accès aux données stockées (même cryptées) dans des serveurs (cloud) de filiales étrangères, même si ces données ne les concernent pas…. Il est donc essentiel de s’assurer auprès de qui ses données sont stockées, en évitant par exemple de stocker ses données commerciales chez des prestataires filiales de sociétés américaines ou autres. »
Le vol de données revient moins cher que la R&D ! Aujourd’hui, une attaque rapporte aux hackers entre 200 000 et 1 300 000 euros, pour un faible investissement.
« La question n’est pas si vous allez être attaqué, mais quand. »
Aucune entreprise n’est à l’abri aujourd’hui, et il est indispensable de mettre en place une véritable analyse de risques. « Ce n’est pas parce vous ne voyez rien qu’il ne se passe rien« , alerte Olivier Grall.
Une politique de sécurité n’est pas obligatoire légalement, mais devrait être impérativement définie.
Lionel Agulhon, directeur du laboratoire de sécurité de Serma Safety & Security**, qui audite de nombreuses sociétés et participe à leur protection, évoque les étapes clés pour se protéger :
- Connaitre les risques ;
- Identifier ses biens sensibles ;
- Définir une stratégie de sécurité ;
- Faire des plans de continuité ;
- Faire évaluer sa sécurité : des tests doivent être réalisés périodiquement pour s’assurer de la valeur des moyens de protection en place.
Et en cas d’attaque ?
Stéphane Jourdain, Responsable de la Sécurité des Systèmes d’Information de Cheops Technology**, prévient : « Il ne faut plus se demander si on sera attaqué mais quand, et si nous saurons être résilient techniquement et humainement. » Il décrit le processus d’une attaque de type crypto-malware : signalement, par exemple si les clients n’accèdent plus au site marchand, déclenchement d’une cellule de crise, dépôt de plainte, réponse aux rançonneurs…
Il ne faut pas non plus oublier de souscrire une assurance cyber comprenant la prestation d’une équipe cellule de crise.
Nous disposons de membres du Club et d’acteurs locaux sur qui nous appuyer. Et le Conseil Régional propose actuellement un diagnostic sécurité des SI.
Un soutien du Conseil Régional Philippe Roches, Chargé de mission cybersécurité au Conseil Régional de Nouvelle-Aquitaine, a présenté la feuille de route de la Région qui a débloqué 300 000 euros pour la cybersécurité. Avec son prestataire Orange Cyberdefense, elle propose de réaliser des diagnostics et une aide à la mise en place d’une politique de sécurisation, pour 50 entreprises qui seront retenues pour ce programme, ETI et grosses PME, tous secteurs industriels confondus. |
Au cœur du LIRYC Nous avons été reçus pour cette plénière dans les locaux de l’IHU LIRYC, l’Institut de Rythmologie et Modélisation Cardiaque. Mondialement reconnu, il rassemble des chercheurs de 21 pays (biologistes, mathématiciens, recherche clinique, modéleurs…) qui travaillent sur les maladies électriques du cœur, avec des projets comme le cœur numérique. Son business model innovant repose sur des partenariats public-privé avec des industriels et start-up de la Région, et un réseau de mécènes en cours de développement. Téléchargez la plaquette de LIRYC Téléchargez le bulletin de soutien |
* L’ANSSI – Agence nationale de la sécurité des systèmes d’information pour la région Nouvelle Aquitaine – est l’autorité nationale en matière de cybersécurité. Elle accompagne les grands services de l’Etat et opérateurs d’importance « vitale » (transport, énergie, certains services de la santé…) et vise à établir les lois.
** Adhérents du Club des ETI Nouvelle-Aquitaine
Téléchargez la présentation de TEHTRIS