Avec le recours massif au télétravail, le nombre de cyber-attaques contre les entreprises a été multiplié par quatre en 2020. A Niort, un centre virtuel d’entrainement à la cyber sécurité à destination des entreprises est sur le point de voir le jour. C'est une première.
Orange, France Télévisions, Doctolib, le Conseil Départemental de la Vienne ou encore l’assureur MMA. La liste des collectivités territoriales et des entreprises françaises victimes d’attaques numériques ne cesse de s’allonger, à laquelle il convient désormais d’ajouter les établissements de santé.
"En 2020, il y a eu 27 attaques majeures contre des hôpitaux français" déclarait récemment Cédric O, le secrétaire d’Etat à la transition numérique, précisant aussitôt : "Depuis le début de l’année 2021, il y en a une par semaine". Dax, La Rochelle, Périgueux, Villefranche-sur-Saône … à chaque fois les pirates parviennent à s’introduire dans le système informatique de l’hôpital pour y déposer un rançongiciel, qui crypte les données de l’établissement de santé, les rendant inutilisables, sauf à payer la rançon demandée : 50.000 dollars, au centre hospitalier d’Oloron-Sainte-Marie (Pyrénées-Atlantiques) attaqué début mars.
Depuis le début de la crise de la Covid, les établissements de santé sont devenus les cibles privilégiées des cybercriminels, augurant qu’ils seront plus enclins à payer la rançon, au vu du besoin critique de continuité d’activité.
La criminalité s’est réorganisée du coté cyber, parce qu'avec peu d'argent on peut en gagner beaucoup, et surtout parce que c’est beaucoup plus simple, les systèmes informatiques étant encore très ouverts aujourd’hui.
L'Etat pose un milliard sur le clavier
Le gouvernement, prenant enfin la mesure des enjeux, vient d’enclencher la riposte, annonçant le déblocage d’un milliard d’euros pour renforcer la cyber sécurité des systèmes sensibles.
"Le problème c’est que les mesures développées pour lutter contre la cyber criminalité sont prévues pour des grosses structures, entreprises ou administration. Mais ces solutions ne sont pas adaptées à des petites entreprises qui n’ont souvent que trois PC branchés sur leur box. Ça couterait beaucoup trop cher et ce serait comme prendre un rouleau compresseur pour écraser une mouche."
Marc Parenthoën est arrivé à Niort en 2017, pour prendre en main le master "Management des risques des systèmes d’information" qui existait déjà depuis quinze ans. "C’est un des premiers masters de cyber sécurité qui ait été créé. Les gens de l’université de Poitiers avaient bien senti le truc venir, très tôt."
A partir des années 2000, des solutions cyber ont effectivement commencé à se mettre en place au niveau des pays. Chaque état s’est organisé pour protéger ses centrales nucléaires, ses grandes banques, son ministère de l’intérieur et ses entreprises stratégiques. Et lorsqu’elles n’étaient pas comprises dans ce dispositif, les grandes entreprises se sont protégées elles-mêmes. Tout du moins, celles qui en avaient les moyens.
"Mais dès qu’on s’éloigne des structures sensibles et des grandes entreprises, et qu’on descend vers le territoire vraiment, on se rend compte à quel point les gens, les PME, les artisans, les associations … sont complètement "à poil" face aux cyberattaques. Et en plus on est confronté à l’idée reçue que ça fait peur, et que ça coûte cher. J’ai donc fait en sorte que le master dont j’avais repris la direction, se rapproche des besoins des petites entreprises."
Venant de la réalité virtuelle, Marc Parenthoën a alors imaginé dès 2019, un « cyber range », un centre virtuel d’évaluation et d’entrainement à la cyber sécurité.
"En réfléchissant au problème, j’ai compris que ce qui allait être utile sur les territoires, c’était de lancer un dispositif de formation à grande échelle, en réalité virtuelle, et à destination des PME, des TPE et des collectivités territoriales. Le problème, c’est que les "cyber range" existants sont exclusivement réservés à la formation militaire, alors que la particularité de ce que je voulais mettre en place, c’était au contraire que ce soit à vocation civile".
Un "cyber range" à destination des PME serait une première
Soutenu par l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, « l’équivalent français de la NSA sans le coté renseignement », il pourrait voir le jour dès le mois de juin, et commencera par mener des audits dans les entreprises du territoire pour réaliser une cartographie locale des besoins.
L’idée c’est d’amener les collectivités et les petites entreprises à considérer les risques qui sont associés à leurs systèmes d’information : "Qu’est-ce qui est critique dans vos structures ?", et ensuite "Comment est-ce que vous protégez les éléments critiques qui dépendent du système informatique ?". C’est une démarche de gestion des risques que toutes les entreprises et toutes les structures n’ont pas pris le temps d’avoir. La réponse est trop souvent : "On a un antivirus, mais on ne fait rien de plus."
Ces audits se veulent complémentaires de l’action déjà mise en place par la gendarmerie dans le cadre du réseau Cybergend (7.000 enquêteurs spécialisés en criminalité numérique déployés en France, dont 40 dans la Vienne).
Au terme de ces investigations, se posera alors la question fatidique : Quel est votre plan de crise si vous subissez une attaque qui réussit à atteindre vos éléments critiques ?
"Parce que quand ça vous tombe dessus sans qu’on ait rien prévu, vous vous retrouvez face à un trou noir, sans aucun moyen de communication puisqu’aujourd’hui tout passe par l’informatique : les mails, les téléphones, les dossiers à traiter … "
Le conseil départemental de la Vienne, victime d’un rançongiciel le 21 janvier, en a fait l’amère expérience.
C’est comme le début de la guerre, on entend les sirènes et on se rend compte que notre système informatique est vicié, qu’il y a beaucoup d’éléments qui sont cryptés. Donc on déconnecte tout, les 1500 ordinateurs, et on se retrouve dans un monde qui s’arrête. On n’a plus de téléphone ni de moyens de communication, vu que c’est couplé à internet. C’est un peu le cataclysme. Parce qu’on n’était pas prêt.
Un mois et demi après, l’administration a réussi à récupérer la quasi-totalité des fichiers cryptés lors de l’attaque, et commence tout juste à retomber sur ses pieds. La gestion de la crise aura couté 140.000 € et le montant du préjudice lié à "l’inactivité" reste encore à chiffrer.
Un épilogue que l’entreprise deux-sévrienne BRM-mobilier aurait aimé connaître. Victime d’une arnaque au président en 2015, les 1,6 millions d’euros escroqués ont eu raison de la PME, qui a dû se résoudre à déposer le bilan quatre mois plus tard, précipitant au chômage la quarantaine de salariés qui y travaillaient.
Dans le cas de du Conseil départemental, les investigations menées depuis l’attaque ont permis d’identifier que les pirates étaient probablement passés par le matériel d’un prestataire pour infiltrer leur rançongiciel.
"Ça fait partie des scénarios qu’on a prévu de simuler dans le cyber range : on va imaginer une attaque sur un prestataire de service qui, via le système d’information d’une mutuelle, par exemple, va pouvoir ensuite attaquer les clients de celle-ci. On va alors vérifier que tout va bien se passer pour l’ensemble de toute la chaine, et qu’on aura correctement prévu et réagit à l’attaque".
Les entreprises privées pourront venir entrainer leurs personnels à répondre aux incidents spécifiques qui leur seront simulés grâce au cyber range. D’une manière générale, n’importe quel acteur économique pourra venir s’y former, de la PME à la grosse entreprise, en passant par l’artisan, l’agriculteur, et jusqu’aux associations. Les gendarmes viendront également s’y entrainer à la criminalistique numérique.
Enfin, il aura vocation à sensibiliser aux problématiques cybers, tous les étudiants voués à devenir manager quelle que soit leur filière, et de manière systématique. "De façon à ce qu’ils n’arrivent pas vierges là-dessus et sachent comment réagir".
La Nouvelle-Aquitaine, "territoire de la confiance numérique"
Sitôt annoncé, le projet de cyber range de l’Iriaf (Institut des Risques Industriels, Assurantiels et Financiers, composante niortaise de l’Université de Poitiers) remporte aussitôt les suffrages, preuve qu’il vient combler un réel besoin dans l’écosystème local. Au-delà de l’Université de Poitiers, porteuse du projet, et de l’ANSSI qui a tout de suite été séduite, la région Nouvelle-Aquitaine, avec sa volonté de fédérer les initiatives régionales en cyber sécurité, a elle aussi souhaité accompagner la création du dispositif.
Le cyber range est ainsi devenu un Centre de Ressources Numériques il y a un an, par la volonté de la région de devenir un « territoire de la confiance numérique », en soutenant l’innovation en cyber sécurité. Avec Limoges (en charge de la santé), et Mont-de-Marsan (tourné vers les enjeux militaires), ce sont désormais trois Centres de Ressources Numériques qui se répartissent sur le territoire régional. Echaudée par les cyber attaques contre des entreprises régionales (à l’image de Fontaine-Pajot, le chantier naval rochelais attaqué l’année dernière), la région Nouvelle-Aquitaine vient de se doter d’un « fond à voter » de 250.000 € pour financer les diagnostiques cyber de 250 entreprises locales.
Il y a une prise de conscience politique des enjeux cyber. Parce qu’il y a certes des criminels qui sont là pour faire de l’argent, mais il y a aussi des situations à vocation d’intelligence économique et de déstabilisation d’un domaine économique particulier pour prendre la main dessus. Ce qui est en jeu ce sont donc les entreprises et l’artisanat, mais aussi nos libertés individuelles et au-delà, la démocratie tout simplement. Si on y prend pas garde, on peut se faire complètement bouffer par ces guerres cyber.