La numérisation étant de plus en plus présente dans les entreprises, il est plus que probable de voir les attaques informatiques se répéter. D’ailleurs, la moitié des organisations tricolores s’attendent à une montée des cybermenaces en 2020 (enquête mondiale FireEye). « Les pirates sont de plus en plus structurés et les attaques sophistiquées, à l’image des menaces persistantes avancées ou APT. Il suffit de cliquer sur un lien ou de plugger une clé USB pour déployer un logiciel espion extrêmement silencieux et indétectable qui un, deux ou cinq ans plus tard va transférer de la donnée vers l’extérieur de manière très discrète », introduit Benoît Bougnoux, associé du cabinet parisien Arengi, spécialisé dans la gestion des risques.
Il est essentiel de ne pas sous-estimer ce risque. Les attaques ayant ciblé de grandes entreprises connues sont largement médiatisées. Sadio Ba, coordinateur sectoriel transports de l’ANSSI – l’Agence nationale de la sécurité des systèmes d’information traite une vingtaine de grosses affaires par an – cite l’exemple de Saint-Gobain, victime d’une attaque en 2017 et ses 250 millions d’euros de pertes de chiffre d’affaires. Mais il ne faut pas oublier que « tout le monde est clairement concerné », prolonge-t-il. « Des TPE-PME ont dû mettre la clé sous la porte à cause d’attaques informatiques. » Effectivement, les conséquences peuvent être dramatiques. Perte de données, divulgation d’informations confidentielles, perte de compétitivité et de confiance sur les marchés, perte d’exploitation après l’interruption du réseau et/ou paralysie du système d’information… Selon une récente enquête Ifop, 55 % des dirigeants d’ETI sous-estiment encore le cyber-risque, qualifié comme important mais « non prioritaire ». « La prise de conscience est là mais elle n’est pas suffisante », confirme Sadio Ba. Et d’ajouter : « On ne s’improvise pas expert en informatique. D’où la nécessité de s’appuyer sur les prestataires pour sécuriser son système. » Le site internet de l’ANSSI et la plateforme cybermalveillance.gouv.fr référencent notamment des professionnels qualifiés.
Géolocalisation des véhicules, mise en place d’un EDI (échange de données informatisées), numérisation des documents, bourse de fret sur Internet… Le transport, où gravitent des acteurs de plus en plus connectés, est lui aussi vulnérable à des intrusions. « Les transporteurs ont pignon sur rue. Ils sont donc peut-être plus impactés. Et plus on est informatisé, plus le risque est certain », remarque Alexis Saupin, agent associé du cabinet d’assurances MMA Liaigre-Lesage-Saupin (85), qui diffuse notamment un livre blanc sur la prévention et la gestion des cyberrisques. Alors que la montée en puissance de la digitalisation impacte aussi la supply chain. « Avec la multiplication des capteurs et des puces pour le suivi des conteneurs et le traçage des marchandises, la surface d’attaque augmente de manière exponentielle », complète Benoît Bougnoux.
Nombre d’exemples illustrent la vulnérabilité du TRM. Certaines sociétés en ont fait les frais, comme les Transports Rabouin (Loire-Atlantique),victimes en 2019 d’une escroquerie aux faux ordres de virement pour un montant de 156 000 euros. Le directeur, Éric Rabouin, n’a pas souhaité répondre à nos questions mais précise que les mesures déjà en place ont été renforcées depuis l’incident. Les Transports Grimaud ont eux aussi été ciblés. Voilà quatre ans, ses ordinateurs ont été infectés par le virus Locky, qui a crypté certains fichiers. « Les cybercriminels nous ont demandé une rançon de 5 000 à 6 000 euros en échange dune clé de déchiffrement. Heureusement, notre prestataire informatique était présent lorsque c’est arrivé. Et grâce à nos sauvegardes, les fichiers stockés sur le serveur ont été récupérés », témoigne Nicolas Grimaud. L’entrée en application du RGPD a eu le mérite de remettre la question de la protection des données au centre de la stratégie des Transports Malgogne. « L’informatique, c’est l’organe moteur de l’entreprise. Si du jour au lendemain, on n’a plus accès à notre système informatique, on risque d’être paralysés. Nous sommes d’autant plus sensibilisés à ce sujet que nous avons été victimes d’un hackeur en mai 2019. Un salarié avait ouvert un mail à première vue anodin. Seulement, il avait mis le loup dans la bergerie. Le virus s’est propagé et le système informatique a été bloqué. Il a fallu six heures pour relancer nos trois serveurs externes et nous n’avons pu retrouver une activité normale que le lendemain matin. Par chance, nous n’avons pas perdu d’informations grâce à notre système, qui copie toutes les vingt-quatre heures l’essentiel des activités », raconte de son côté Alain Malgogne.
Preuve que le sujet est également pris au sérieux chez Mousset, Anaïs Babin, directeur des systèmes d’information, fait état d’une augmentation significative de l’enveloppe allouée à la sécurité informatique, sans précision sur le budget. Dès son arrivée dans l’entreprise début 2019, ce dernier a fait appel au cabinet CGI (entreprise de services-conseil en technologie de l’information) pour réaliser une cartographie des risques. Objectifs ? Évaluer la maturité du système informatique pour définir les chantiers à prioriser pour 2020 : sécurisation des accès (informatiques et physiques), sécurité des communications (politique anti-virus, sensibilisation du personnel, etc.).
De son côté, Charles Dehergne, qui pilote le groupe composé de TDCA, Averty Transports et Dutay Transports, dit avoir augmenté sa vigilance. « Nous sommes bien armés, ce qui représente un réel coût pour l’entreprise, supérieur à 40 000 euros par an. » Chaque collaborateur a l’obligation de supprimer ses courriers indésirables tous les deux à trois jours. Heppner, qui a recruté un spécialiste en la matière, ne lésine pas non plus sur les moyens avec un investissement de 500 000 euros sur deux ans pour une mise à niveau de son système informatique. « La cybersécurité est un enjeu majeur car, sans l’outil informatique, mon activité logistique ne tourne pas », témoigne également Vincent Landry. Il y a deux ans, le transporteur a été lui aussi la cible d’un logiciel malveillant qui crypte les données. Cette tentative, qui s’est passée un week-end, n’a pas fait de gros dégâts car les process de sauvegarde ont fonctionné. « Nos clients avaient alors accès à certains de nos systèmes d’informations pour saisir des commandes. La faille venait de là. Nous avons donc modifié le process. » Preuve que la protection et le contrôle des accès externes aux ressources de l’entreprise n’est pas à négliger. À ce titre, Wallix, un éditeur de logiciels de cybersécurité (Paris), propose des solutions pour l’accessibilité et la protection des données. Son produit phare : Bastion Wallix (version d’essai gratuite trente jours). Le plus : un accès sécurisé. « Un seul point d’entrée permet de s’assurer que seuls les administrateurs autorisés puissent accéder à certaines ressources (serveurs, bases de données, logiciels, etc.) », indique Olivier Petit, sales manager France. Cette solution permet aussi une traçabilité des accès. De quoi savoir qui fait quoi, quand, où et comment. Elle gère également la gestion des mots de passe (jusqu’à 50 caractères) de manière automatique, à la fréquence souhaitée.
Pour éviter la fraude au président (se faire passer pour le dirigeant, au téléphone ou par e-mail en son absence, en demandant un virement pour une opération présentée comme urgente et confidentielle), de simples procédures peuvent être mises en place : demander une confirmation écrite, suivie d’une dernière confirmation téléphonique ou instaurer l’obligation d’une deuxième signature d’un supérieur hiérarchique avant un virement. Par ailleurs, il faut comprendre que la majorité des incidents de sécurité informatique sont liés à un facteur humain (malveillance interne, fautes involontaires, etc.). La clé est « l’information et la sensibilisation en permanence », selon Benoît Bougnoux. « Attention aussi aux adresses mail, à la mise à jour des antivirus, à l’obsolescence du matériel ou encore à la gestion des habilitations avec une politique de mot de passe forte (à changer tous les quatre-vingt-dix jours », poursuit-il. Optez pour des mots de passe complexes, a minima huit lettres, chiffres et caractères spéciaux. Et à chaque risque sa solution. « La principale source de malveillance informatique est la clé USB. Le seul moyen de protection : l’interdire ou choisir des produits référencés et fournis par l’entreprise. S’agissant du ransomware, la porte d’entrée la plus courante est la pièce jointe… à ne surtout pas ouvrir si l’expéditeur est inconnu. » Une rançon peu élevée est aussi un moyen de dissuader la victime d’entreprendre des investigations poussées sur l’origine et la véracité de l’attaque et l’inciter à payer rapidement. « Notre recommandation : ne pas payer. » Un téléphone peut aussi être infecté par un malware. « Pour se prémunir, il est conseillé de télécharger les applications sur les appstores officiels. Il y a aussi la fuite de données interne à l’entreprise. Dans ce cas, il faut mettre en place des procédures de droit d’accès pour chaque collaborateur et des solutions de protection (antivirus, firewall, anti-malware) », complète Pascal Lucas, dirigeant du cabinet Lucas (Nantes), spécialisé en risques d’entreprises. Mais ces solutions ne suffisent pas, selon lui. « Ce n’est pas parce que l’on met des extincteurs qu’un bâtiment ne va pas prendre feu. On souscrit quand même une assurance. Pour la cybersécurité, c’est la même chose. »
Pourtant, « tout le monde n’est pas couvert, loin de là ! », constate-t-on chez Arengi. Ce que confirme Alexis Sapin, à la MMA, qui propose une assurance cyberrisque à la condition que les entreprises aient une solution de sauvegarde externe. « Dans le portefeuille de l’agence, moins de 5 % des entreprises ont souscrit une telle assurance. » Pourquoi ? « Elles pensent que bien gérer leur process de protection de leur outil de travail en interne peut suffire. Erreur. Car, avec un contrat d’assurance, lorsqu’il y a une attaque, un opérateur expert en la matière peut intervenir immédiatement et donner des solutions concrètes. » Lui enlève le frein financier : « Pour une société qui réalise un chiffre d’affaires de moins de 10 M€, l’assurance coûte moins de 1 000 euros par an. » La Fédération française de l’assurance précise que les contrats de dommages aux biens couvrent notamment les incendies, dont ceux qui ont pour origine une cyberattaque. Les cybercontrats, en complément, peuvent couvrir les frais de reconstitution de données, les pertes d’exploitation consécutives à l’atteinte à ses données, à la sécurité ou à la disponibilité du système informatique et les principaux frais résultant d’une fuite de données personnelles et/ou confidentielles qui vous appartiennent ou vous sont confiées. « En 2019, nous avons vu apparaître les premières offres et cela devrait se développer massivement », indique Sabio Ba, au sein de l’ANSSI. À noter que l’assureur AIG propose un pack cyber (à partir de 20 euros TTC/mois) et que AXA assure aussi les cyberrisques.
Vous êtes victime d’une cyber-attaque et ne souhaitez pas porter plainte, ni communiquer, de peur que cela ternisse votre image. C’est « une erreur », selon Sadio Ba, à l’ANSSI. « Une plainte peut être déposée sur tout le territoire français, auprès des commissariats et gendarmeries. » D’ailleurs, en cas de fuite de données, vous avez l’obligation de le notifier auprès de la Cnil en utilisant le formulaire téléchargeable sur le site cnil.fr soixante-douze heures après la constatation de la violation. Vous devez également informer les personnes concernées (clients…). Et si vous êtes victime d’une escroquerie aux faux ordres de virement, le réflexe est de demander immédiatement à la banque le retour des fonds et de déposer une plainte en apportant un maximum d’éléments.
Dans le Top 3 des logiciels malveillants les plus recherchés en novembre 2019, Emotet arrive en tête de liste avec un impact global de 9 %. Il s’agit d’un cheval de Troie utilisé pour diffuser d’autres logiciels malveillants ou mener d’autres campagnes malveillantes, transmis via des e-mails de spam et de phishing contenant des pièces jointes ou des liens malveillants. Figure ensuite XMRig, impactant 7 % des entreprises dans le monde. Découvert en mai 2017, ce logiciel utilise les ressources du processeur pour extraire de la cryptomonnaie Monero. Très répandu, le cheval de Troie bancaire Trickbot impacte quant à lui 6 % des entreprises. À noter aussi que les logiciels malveillants mobiles les plus répandus sont xHelper, le cheval de Troie Guerilla et l’outil de piratage Lotoor. F. F.
La MMA propose deux prestations d’audit payantes : une évaluation sur la base d’un questionnaire pour identifier les risques majeurs et les processus critiques et un audit expert avec plan de recomman-dations, réalisé par le biais de questionnaires, de tests d’intru-sion… qui s’adresse davantage aux entreprises avec un chiffre d’affaires de plus de 10 M€.
• Testez votre cybersécurité sur le site gratuit ssi.economie.gouv.fr.
• Le guide Maîtrise du risque numérique, l’atout confiance, présente les 42 mesures d’hygiène informatique et les bonnes pratiques de l’informatique. Il est téléchargeable gratuitement sur le site ssi.gouv.fr
• Le MOOC en ligne (secnumacademie.gouv.fr) est accessible gratuitement jusqu’en avril 2021. Plus de 100 000 inscriptions ont été comptabilisées depuis le lancement en 2017.
• Sur cnil.fr/fr/rgpd-par-ou-commencer, il est possible de télécharger gratuitement le guide pratique de sensibilisation au RGPD pour les TPE-PME.
• La Fédération française de l’assurance a collaboré à un kit de prévention et de sensibilisation réalisé par cybermalveillance.gouv.fr. Hameçonnage, phishing, rançongiciels, ransomware, cybersécurité des mots de passe et appareils mobiles…
Tous les conseils pour préserver vos données et votre sécurité sont sur le site cybermalveillance.gouv.fr/tous-nos-contenus. La FFA a également publié en octobre 2019 la brochure Anticiper et minimiser l’impact d’un cyberrisque, disponible gratuitement sur ffa-assurance.fr.
Les rançongiciels (Locky, TeslaCrypt, Cryptolocker, etc.) se sont largement répandus en 2019, selon l’ANSSI. Ils consistent à chiffrer des données puis demander à leur propriétaire d’envoyer de l’argent en échange de la clé qui permettra de les déchiffrer. La criminalité est la menace la plus fréquente qui concernerait le TRM.
En vigueur depuis le 25 mai 2018, le réglement général sur la protection des données (RGPD) rend responsables toutes les organisations au regard de la sécurité des données de leurs clients. En cas de non-conformité, elles s’exposent à des sanctions financières jusqu’à 20 M€ ou 4 % du chiffre d’affaires mondial. En 2019, neuf sanctions ont été prononcées par la Cnil, de 20 k€ à 50 M€. F.F.