8 octobre 2019, Commentaires Commentaires fermés sur Voyage Initiatique au cœur de la cybersécurité de nos entreprises locales

Le Medef 44 a participé le 16 septembre dernier à la 18ème édition de la Nantes Digital Week, le « Festival du numérique pour tous », qui a rassemblé plus d’une centaine d’événements dédiés au numérique dans la métropole nantaise.

L’édition de cette année a été mise en place en partenariat avec le Startup Palace, qui a accueilli la soirée dans ses locaux, et dont le dirigeant, Mathieu Le Gac, a animé la table ronde.

Le thème de la soirée : cybersécurité et entreprises locales, illustré par les interventions de six professionnels concernés par les différentes facettes de cette thématique.

La table ronde s’est ouverte par une intervention de Francis Bergey, RSSI Adjoint au sein du groupe Voyages-SNCF. Son témoignage portait sur la gestion du risque cyber au quotidien dans une grande entreprise, retraçant les différentes phases de prise en compte du risque, en expliquant que la création du service dans lequel il travaille s’est faite suite à un incident, qui a poussé l’entreprise à mettre en place des moyens dédiés après avoir réalisé l’ampleur de la menace. Construire une politique en matière de cybersécurité débute bien entendu par un audit, qui fait souvent apparaître de nombreuses failles. Celles-ci peuvent concerner les systèmes et logiciels dont les mises à jour n’ont pas été effectuées, les process non adaptés, ou encore les pratiques des collaborateurs (comme par exemple l’utilisation des mots de passe) qui sont autant de cibles potentielles pour les tentatives de fraude. Il est donc nécessaire de gérer l’existant et de passer par un management adéquat pour limiter les risques.

Mathieu Le Gac

Pour faire écho à cette vision « entreprise », un expert du Ministère de l’intérieur est ensuite intervenu sur le rôle de l’Etat dans la prévention de ce risque et l’accompagnement apporté aux entreprises, mais également sur le contexte géopolitique lié aux risques « cyber », et sur leurs conséquences possibles sur les entreprises de la région. Le Ministère a tout d’abord une mission de police judiciaire concernant les infractions commises sur les sites. La question du périmètre de la juridiction peut toutefois poser problème, lorsque les auteurs de l’infraction sont situés en dehors de l’Union Européenne, phénomène se produisant régulièrement avec par exemple les « fermes à Trolls » et autres nids de hackers situés dans des pays de l’ancien bloc de l’Est. Outre cette mission de police, les agents interviennent également auprès des entreprises et des établissements stratégiques, tels que les Pôles de compétitivité, pour effectuer des missions de sensibilisation et d’information sur les risques existants, et notamment sur l’espionnage industriel. Des affaires sont régulièrement publiées dans la presse concernant des vols de données commis par des salariés, voir des étudiants en stage, dans certaines grandes entreprises françaises. D’autres risques existent, qu’ils concernent le terrorisme, l’influence, l’ingérence ou encore les tentatives de déstabilisation d’une entreprise ou d’une administration par un Etat étranger, à l’image de la propagation massive de fausses nouvelles à caractère politique sur les réseaux sociaux, ou encore du parasitage de votes électroniques dans certaines démocraties occidentales. L’espionnage économique lui-même évolue, étant passé d’un fonctionnement « classique » où un agent étranger pouvait corrompre un employé d’une structure visée, à aujourd’hui des pratiques de piratage utilisant les failles des systèmes informatiques de celle-ci.

Ces risques existent pour toutes les entreprises, et certains cas en particulier se sont produits en Loire-Atlantique, avec par exemple le vol des ordinateurs des collaborateurs (lors de leurs déplacement ou de leur participation à des salons), les intrusions dans les systèmes d’informations faites par des pirates amateurs, l’infection des ordinateurs et réseaux locaux par des virus, transformant ainsi le matériel de l’entreprise en relai pour des opérations de piratage à grande échelle (avec des conséquences judiciaires potentielles pour celle-ci), ou encore le « Ransomware », qui prive l’entreprise de l’accès à ses propres données, bloquant ainsi toute l’activité économique de celle-ci. L’entreprise se voit contrainte de payer une rançon pour retrouver accès à ses données, sans garantie aucune que celles-ci soient indemnes.

La libre circulation de l’information démultiplie le risque d’espionnage, de vol de données, d’intrusion ou encore d’actes de cyberguerre, et vulnérabilise considérablement les entreprises.

Marc Lebrun

Pour se prémunir contre ces risques, plusieurs réponses possibles existent, à commencer par l’audit de sécurité, proposé par certaines entreprises spécialisées comme Digitemis, représentée lors de cette table-ronde par Marc Lebrun, responsable du pôle Pentest et expertise Cybersécurité, venu aborder la partie technique de ce thème. Afin de recenser les failles, les analystes vont commencer par simuler une intrusion dans le système informatique de l’entreprise auditée, de la même façon qu’un cybercriminel pourrait tenter de s’y introduire. Ils vont recenser les points de faiblesse, et avoir recours à d’autres procédés comme le « phishing », ou « hameçonnage », qui consiste à récupérer des informations sur l’entreprise et ses salariés afin d’usurper une identité et de mettre en place une fraude. Ces analyses et retours d’expériences vont permettre à l’équipe de développer un certain nombre de scénarios à propos des attaques potentielles, pour ensuite proposer à l’entreprise des solutions adéquates pour s’en prémunir. Un constat revient fréquemment, celui des failles au niveau des logiciels, pouvant s’expliquer par le manque de formation des développeurs quant aux risques existants.

Au-delà de la partie strictement technique, la sécurité de l’entreprise passe aussi par la maîtrise de l’information en son sein, et par la diffusion des bonnes pratiques envers les salariés, comme l’a expliqué Bertille Oudot, consultante spécialisée sur l’accompagnement des PME dans leurs démarches de sécurité informatique.

La sécurité des données passe notamment par la conformité avec le RGPD, afin de limiter les risques sur le plan juridique. Elle repose également sur la gestion par le management des process et de la sensibilisation des équipes quant aux pratiques à appliquer, ce qui ne nécessite pas systématiquement des investissements financiers massifs pour améliorer la gestion des risques. De nombreux conseils sont d’ailleurs accessibles pour les entreprises à travers des plateformes en ligne telles que « cybermalveillance.gouv.fr », site destiné à informer et assister les victimes d’attaques informatiques, ou sur les guides publiés par l’ANNSI.

Antony Cussonneau

Enfin, autre solution envisageable, la souscription d’une police d’assurance dédiée au risque cyber. Ce secteur en plein développement fait désormais l’objet d’une offre spécifique pour les entreprises. Ce type de solution a été présenté par Antony Cussonneau, directeur de la branche nantaise du cabinet de courtage en assurance Filhet-Allard. Il a notamment pu détailler les spécificités de ces contrats et de leur cadre juridique, par rapport aux limites des polices d’assurance classiques. Ces polices constituent une nouveauté pour les dirigeants, mais vont à l’avenir se généraliser face au développement de ce type de menaces. Il a également pu décrire le fonctionnement de ces assurances dans le cadre de la gestion de crise liée aux problèmes « cyber », et rappeler que les entreprises victimes d’attaques peuvent à leur tour être mises en cause pour leur négligence éventuelle envers les risques informatiques, et être de fait, considérées comme responsables des préjudices engendrés, avec des enjeux financiers conséquents à la clé.

Cette soirée a donc permis aux entreprises présentes d’aborder la question de la cybersécurité sous tous ses aspects, et de recevoir des informations concrètes sur les mesures à mettre en œuvre pour se prémunir contre ce risque, désormais considéré comme le deuxième plus important par les dirigeants.

Derniers articles Medef 44