À ce jour, le compteur est à 650 milliards de dollars. Tel serait le coût cumulé des cyberattaques dans le monde selon les assureurs, au rythme d’une croissance à deux chiffres chaque année* ! Sans distinction de taille, de pays ou d’activité, toutes les entreprises sont concernées, comme l’ont rappelé le 26 mars les intervenants de la conférence SITL consacrée à la cybersécurité dans les transports et la logistique. Pour ce seul secteur en Europe, « les pertes liées aux cyberattaques s’élèveront à 6 milliards d’euros en 2020 », déclare Georges Fenech, magistrat. Tout aussi inquiétant est le constat dressé par Vincent Riou, P-dg de la société Bluecyforce qui permet, notamment, de tester les systèmes d’information des entreprises contre le cyber-risque. « Il n’est pas nécessaire d’être un expert en informatique pour mener une cyberattaque, explique Vincent Riou. Des outils en téléchargement libre sont disponibles avec tutoriel sur le Net, et les compétences d’un hacker peuvent se louer. » Et ce « pour quelques milliers d’euros », ajoute Jean-Baptiste Stuchlik, de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Décor planté, le colonel Éric Freyssinet, chef de la mission numérique de la Gendarmerie nationale, alerte les entreprises de transport, dont celles du TRM, sur les menaces qui pèsent sur elles. Très souvent, par le biais de pièces jointes, elles couvrent « les valeurs et les données par le détournement de moyens de paiement, factures voire de plateformes Web ou de services publics. Elles concernent aussi l’attaque de marchandises transportées à l’aide, par exemple, de brouilleurs des systèmes de géolocalisation ». Avec des risques de collision, l’ANSSI confirme le « point de vigilance » à apporter aux systèmes de navigation, et les complète par « les systèmes de détection des alertes ou de planification des transports » rappelant l’emploi de conteneurs maritimes, à l’insu des armements et des ports, pour transporter des stupéfiants. Si le gendarme comme l’Agence estiment que le secteur n’est pas plus vulnérable qu’un autre, « il est nécessaire, sinon urgent, que leurs chefs d’entreprise prennent conscience du danger ». D’autant, insistent-ils, que la numérisation gagne du terrain dans la filière et touche tous les maillons de la chaîne logistique jusqu’à ce qu’elle en devienne dépendante.
Ne pas payer est le premier conseil, sachant qu’après un premier paiement, une seconde rançon est souvent demandée et que dans « 90 % des cas, les données sont récupérées dans des délais variables ». Sans attendre, se rapprocher des autorités publiques et forces de l’ordre est le second conseil. Un site a été créé à cet effet : www.cybermalveillance.gouv.fr. « Beaucoup d’entreprises essaient de se débrouiller seules. C’est une erreur, car elles n’ont pas les bons réflexes », constate Vincent Riou. En l’occurrence, « il ne faut pas arrêter l’ordinateur concerné, car sa mémoire vive (RAM) contient des preuves qui se volatilisent dès que l’on éteint le PC. Ensuite, il faut isoler la machine du réseau de l’entreprise, où il faut nommer un responsable chargé des systèmes d’information ». S’agissant des sauvegardes pour faciliter la relance du système, il est recommandé qu’elles soient réalisées à l’extérieur ou sur un autre système d’information. Le cloud est présenté comme une solution pertinente car il constitue une rupture avec le système d’information de l’entreprise. « Bien que privilégiées, la mise en réseau des systèmes d’information et la centralisation des données sont des vecteurs de propagation en cas d’attaque », relève Georges Fenech. En sus des contacts que les autorités publiques et forces de l’ordre communiquent, il ne faut pas hésiter à anticiper dès aujourd’hui en se rapprochant d’un expert en cybersécurité, ne serait-ce que pour tester son installation. Plus difficile sans doute est de prévenir ses fournisseurs et clients afin que, le cas échéant, ils prennent les mesures de protection adéquates voire contrôlent leur propre installation informatique. Par anticipation aussi, il est recommandé d’intégrer dans ses polices d’assurance le risque cyber tout en sachant que beaucoup d’assureurs y limitent leur couverture face à un danger mouvant et évolutif.
Sur le plan réglementaire et législatif, la prise de conscience en matière de cybersécurité est mondiale. En France, elle se vérifie par « la nomination de juges spécialisés et de services dédiés au sein de la Gendarmerie mais aussi de la Police nationale via l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) », précise Georges Fenech. Deux textes principaux encadrent les obligations des entreprises, dont celles de transport routier, en matière de cyberprotection. En vigueur depuis le 25 mai 2018, le premier est le règlement général sur la protection des données (RGPD). En cas de violation accidentelle ou illicite des données personnelles détenues par l’entreprise et si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées, le RGPD impose d’alerter la Commission nationale de l’informatique et des libertés (CNIL) sous soixante-douze heures. Si cette alerte n’est pas effectuée, les entreprises s’exposent à des sanctions dont les plafonds vont jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel de l’exercice précédent. Le second texte est la directive européenne Network and Information Security (NIS) du 6 juillet 2016 transposée en droit français le 26 février 2018. En plus de cibler les opérateurs d’importance vitale (OIV) au rôle critique pour la sécurité nationale comme les réseaux de distribution d’énergie, elle distingue les opérateurs de services essentiels (OSE). Parmi eux figurent les transporteurs de marchandises et les logisticiens. À ce titre, la directive NIS leur impose la mise en œuvre de mesures de protection spécifiques et de déclarer les cyberattaques à l’ANSSI. Laquelle est autorisée à mener des enquêtes sur site et à sanctionner les entreprises en cas de manquement à ses exigences de sécurité jusqu’à 100 000 euros. Au-delà de ce rôle de « gendarme », l’ANSSI intervient aussi « comme pompier en cas d’attaque, fournit une expertise en matière de services sécurisés et sensibilise les acteurs économiques sur le cyber-risque grâce à des stages », rappelle Jean-Baptiste Stuchlik.
* Estimation communiquée par le Comité d’études et de services des assureurs maritimes et transports (Cesam), le 27 juin 2018 à Paris.