Boite à outils  / 1 Février 2022

Entreprises et collectivités, comment faire face à la menace cyber ?

visuel pegasus
Contenu mis à jour le

Quelles que soient leur taille et leur dénomination, les entreprises et les collectivités sont dans le viseur des hackers. Les menaces sont grandissantes et ne faiblissent pas. Si la prise de conscience des enjeux de cybersécurité se diffuse un peu partout, il manque néanmoins encore plusieurs marches à franchir pour qu’elle se généralise. Les moyens engagés évoluent, mais demeurent toujours trop faibles, et la sensibilisation doit s’accélérer pour éviter les erreurs humaines. Le défi reste entier au regard des risques potentiels.

Sommaire :

Des attaques sur les entreprises et collectivités toujours plus nombreuses

Les faits parlent d’eux-mêmes et sont caractéristiques d’une situation inquiétante : 30 % des collectivités territoriales ont déjà été victimes d’un rançongiciel en 2020 selon Le Clusif, association pour la sécurité du numérique en France. Les cyberattaques en entreprise ont augmenté de 13 % en 2021, indique Orange Cyberdéfense dans un rapport analysant les événements de sécurité détectés dans les réseaux et serveurs de ses clients. Ce qui correspond à 42 attaques en moyenne par mois. Plus récemment, le baromètre du Club des experts de la sécurité informatique et du numérique (CESIN) a dévoilé que plus d’une entreprise sur deux (adhérentes de l’association) a subi entre une et trois cyberattaques réussies au cours de l’année 2021. À la fin du mois de novembre dernier, la plateforme Cybermalveillance.gouv.fr avait enregistré un peu moins de 2 000 demandes d’assistance pour des attaques impliquant un ransomware.

Les exemples d’attaques ciblées se sont donc multipliés en 24 mois aussi bien du côté des collectivités : Ardenne Métropole, la métropole Aix-Marseille-Provence, la région Grand-Est, La Rochelle, Chalon-sur-Saône ou encore le Grand Annecy. Que du côté des entreprises : Altran, l’éditeur Solware, l’assureur MMA, Arca Assurances, Assu2000, le groupe April, le groupe de distribution d’alcool La Martiniquaise-Bardinet, etc.

Toutes ces entités ont vu leurs systèmes informatiques infiltrés par des moyens plus ou moins sophistiqués et pour des raisons différentes : vol de données, fraude, phishing, demande de rançon, etc. ce qui paralysera pendant plusieurs jours leurs services et surtout aura des conséquences financières importantes. Dans son rapport, le CESIN montre que six entreprises sur 10 disent avoir été impactées sur leur business principalement en raison d’une perturbation de la production (21 %) ou par la compromission d’information (14 %).

L’année 2022 devrait connaître un sort identique et les attaques vont même empirer, prédisent les analystes. Pour s’en prémunir, les organisations publiques et privées doivent se protéger, mais les pratiquent ne sont pas les mêmes partout. Chacune ne dispose pas des mêmes moyens pour y faire face qu’il s’agisse d’une commune de 400 habitants, d’un hôpital de campagne ou d’une grande entreprise comme d’une métropole. Pourtant, il est urgent d’agir. Pourquoi alors certaines collectivités ne se protègent pas ou ne peuvent pas le faire ? Quels sont les points de blocage ? Les mentalités évoluent-elles ? Pour quelle raison une PME peut-elle être attaquée ? Autant de questions pour lesquelles les experts interrogés tentent d’apporter des réponses concrètes.

Collectivités : sensibiliser encore et encore

“Aucune collectivité n’est à l’abri, cependant la maturité d’acculturation est toujours très variable et parfois, n’est pas du tout au rendez-vous. Les élus et agents sont encore trop nombreux à penser qu’il s’agit d’un sujet technique qui relève seulement du service informatique alors qu’il est stratégique, regrette Cyril Bras, responsable de la sécurité des systèmes d’information (RSSI) pour la Métropole et la Ville de Grenoble et du CCAS. Et ce n’est pas qu’une question de budget !” Une grande majorité pense encore que le sujet de la sécurité informatique ne les concerne pas, note Thomas Cande, channel account manager de F-Secure pour la région Auvergne-Rhône-Alpes. Pourtant, la situation tend à évoluer aussi bien pour les collectivités que pour les entreprises. Ce dernier voit dans les affaires médiatisées, un effet déclic et un discours de plus en plus entendu : “Il y a huit ans, je faisais beaucoup de pédagogie. Aujourd’hui, j’en fais moins, nos clients sont au courant de ce qu’il se passe.” Pour Cyril Bras, aussi vice-président de l’Institut national pour la cybersécurité et la résilience des territoires (IN.CRT), la sensibilisation doit cependant se poursuivre. “Il faut trouver les bons mots qui parlent aux élus afin qu’ils s’approprient le sujet tout en les faisant monter en compétences.” Ce que propose l’Association des maires de France avec un guide d’une trentaine de recommandations et de bonnes pratiques intitulé “Cybersécurité : toutes les communes et intercommunalités sont concernées”. Un guide dont “la vocation est bien de renforcer la prise de conscience de chacun, élus, mais aussi cadres et agents territoriaux”.

Mutualisation des moyens

Sur le terrain, le maire de La Jarne (commune de 2 500 habitants de Charente-Maritime) Vincent Coppolani connaît les risques surtout “en matière de protection de données sensibles concernant par exemple les enfants qui vont à la cantine”. Mais alors qu’il ne peut consacrer que « moins de 2 % » du budget informatique à la cybersécurité, il préfère mettre l’accent sur la sensibilisation de ses agents et élus. Pour cela, la commune est accompagnée par un syndicat mixte spécialisé qui intervient auprès d’autres collectivités du territoire. “L’idée est d’être sensibilisé aux enjeux, de connaître les procédures en cas d’attaques et de savoir ce qu’il faut faire et ne pas faire. Car si les agents ne se sentent pas concernés, les exemples montrent bien que l’on peut être attaqué”, souligne l’élu. Travailler avec un syndicat mixte est ainsi une solution qu’encourage l’IN.CRT pour les collectivités et entreprises qui n’ont pas les moyens ni la taille critique suffisante pour posséder un RSSI, entre autres. Une manière de pouvoir se prémunir d’attaques sans pour autant consacrer – “par manque de ressources financières” – 10 % du budget informatique pour la cybersécurité, comme le recommande l’Agence nationale de la sécurité des systèmes d’information (Anssi). “Certaines n’en ont même pas du tout”, pointe Cyril Bras. Quand d’autres, constate Thomas Cande, “sont encore sur des solutions gratuites”. L’enveloppe de 60 millions d’euros débloquée par le gouvernement au début de l’année 2021 dans le cadre du plan Cybersécurité pour les collectivités (sur 136 millions d’euros au total) doit permettre d’amorcer à plus grande échelle la protection informatique des collectivités en leur donnant davantage de moyens. “Encore faut-il que cela soit suivi dans les faits”, tempère le RSSI de Grenoble.

Entreprises : toutes concernées

Du côté des entreprises, la situation est relativement similaire : un budget consacré à la cybersécurité trop faible au regard des risques (mais en augmentation), une connaissance des enjeux qui n’est pas à la hauteur et la sempiternelle remarque : pourquoi cela arriverait-il à mon entreprise ?”. 75 % des victimes de ransomware sont des petites et moyennes entreprises qui manquent de ressources dédiées, indique l’étude d’Orange Cyberdéfense Security Report. “Tout le monde est concerné. Depuis dix ans, la question n’est pas de savoir SI une entreprise va avoir une attaque, mais plutôt QUAND”, souligne Xavier Michaud, senior manager pour Almond, cabinet spécialisé dans l’audit et le conseil dans la cybersécurité. Il montre ainsi qu’en faisant une campagne de phishing dans l’objectif de sensibiliser les collaborateurs d’une entreprise, le résultat est à chaque fois le même : “Nous constatons qu’il y a toujours une personne qui clique sur quelque chose qu’elle ne devrait pas faire.” Et le risque s’est accru ces dernières années. Depuis 2019, en France, le nombre d’attaques par rançongiciels a par exemple augmenté de 255 % (Anssi) et la mise en place du télétravail a poussé à une plus grande vigilance.

Les conséquences du télétravail

“Lorsqu’en 2020, les entreprises ont dû accélérer le travail à distance, elles ont demandé à leurs collaborateurs de travailler à leur domicile, donc en dehors du réseau interne dans des environnements non-sécurisés. Les habitudes ont été bousculées, et les points et surfaces d’attaques se sont alors multipliés”, explique Florian Malecki, vice-président international product marketing pour Arcserve et expert en cybersécurité depuis 2003. Mais difficile encore de juger les conséquences directes des attaques cyber sur le télétravail. “Globalement aujourd’hui, le télétravail n’a pas eu d’effet dramatique sur la sécurité des systèmes d’information, bien au contraire. Cependant, peut-être que dans quelques mois, quelques années, on découvrira que certains ont réussi à profiter de cette évolution pour se glisser dans des réseaux sensibles”, expliquait Guillaume Poupard, directeur général de l’Anssi. Alors que l’étude de Forrester Consulting pour Tenable révèle que 65 % des entreprises françaises interrogées ont connu une cyberattaque ciblant les télétravailleurs, avec des répercussions sur leur activité.

Les surfaces d’attaques se multiplient

Sans oublier que le nombre de données stockées s’est envolé du fait de l’explosion des objets connectés et des applications. De quoi renforcer l’appât du gain pour les hackers. C’est pour cela qu’avec la digitalisation et les innovations, chaque organisation est concernée. “Avec autant de données stockées, elles ont toutes de la valeur aux yeux des attaquants”, estime Florian Malecki. Pire, même les fournisseurs de ces organisations peuvent être touchés : avocats, experts-comptables, etc. Sensibiliser tout le monde aux risques cyber relève donc d’une priorité. 70 % des entreprises interrogées par le CESIN ont d’ailleurs mené des campagnes de sensibilisation auprès de leur collaborateur sur les risques du télétravail, en 2021. Preuve que le sujet est pris au sérieux, mais sans doute pas encore suffisamment, notamment en fonction du secteur d’activité et de la taille de l’entreprise. Sur ce point, il existe de fortes disparités entre les chefs d’entreprise de l’Île-de-France (80 %) et ceux des autres régions (56 %), entre les chefs d’entreprise de plus de 20 salariés (76 %) et ceux d’entreprises de moins de 20 salariés (59 %), ou encore entre les chefs d’entreprise issus du secteur des services (66 %) et ceux du secteur du BTP-Construction (54 %) ou de l’agriculture-industrie (56 %), indiquent l’Ifop et Xefi dans une enquête de décembre dernier.

Une prise de conscience à aiguiser

Aux dirigeants et responsables d’être en alerte, car le combat n’est pas prêt de s’arrêter. Même si 95 % des chefs d’entreprise interrogés par l’Ifop et Xefi déclarent avoir l’impression de bien connaître ce qu’est la cybersécurité, ils ont tendance à surestimer leur niveau de protection, indique l’institut de sondage. C’est là qu’interviennent les éditeurs et cabinets de conseil en cybersécurité. Sébastien Jardin, directeur du business development chez IBM Security France explique ainsi “passer son temps à aiguiser les réflexes des dirigeants (notamment de grands groupes, NDLR) aux risques numériques. Certains sont au fait, mais ne savent pas évaluer les risques. D’autres veulent en savoir plus, comprendre ce qu’il faut faire et quels sont les impacts opérationnel, métier, business.” Une situation observée par Ramyan Selvam, systems engineer pour Jupiner Networks : “La prise de conscience est là, mais il manque encore la partie exécution. Comment concrètement je vais pouvoir protéger mon entreprise ?” Une question qui demande une réflexion en amont afin de préparer sa protection dans les meilleures conditions.

Des moyens en hausse pour les entreprises

Pour cela, chaque éditeur propose des outils adaptés au type d’entreprise : EDR, antivirus, scanner de vulnérabilité, sauvegarde externe, etc. “Les hackers ont certes une longueur d’avance, mais avec les technologies de défense qui évoluent rapidement, l’écart se réduit”, remarque Benoît Grunemwald, expert en cybersécurité chez ESET. Sébastien Jardin d’IBM Security remarque que dans la part du budget informatique de ses clients, la ligne cybersécurité évolue chaque année. Elle est en moyenne de 8 %. Un rapport de PwC intitulé Global Digital Trust Insights 2022 montre que 69 % des entreprises interrogées prédisent une augmentation de leurs dépenses en matière de cybersécurité pour 2022. Le cabinet Gartner, dans ses prévisions, dévoile également que les dépenses seront affectées aux services de sécurité, à la protection des infrastructures, aux équipements de sécurité réseau, à la gestion des identités et des accès, mais également à la sécurité des applications, des logiciels ou encore de la sécurité du cloud. “>Il faut investir, mais pas n’importe comment”, souligne Sébastien Jardin. En France, les entreprises interrogées par le CESIN ont indiqué que leur budget alloué à la cybersécurité en 2021 est en hausse pour 70 % d’entre elles, contre 57 % en 2020. Et 84 % déclarent vouloir acquérir de nouvelles solutions techniques. D’autant qu’à l’avenir, protéger des infrastructures peut devenir un critère d’exigence pour un certain nombre d’entreprises vis-à-vis de leurs fournisseurs. “Déjà que cette problématique leur fait peur, il ne sera désormais plus rare que dans le processus d’achat des entreprises, elles demandent de la transparence à leur fournisseur. C’est sans doute de cette manière que la notion de cybersécurité se diffusera plus généralement : quand cela devient un impératif business”, analyse Laurent Hausermann, cofondateur et directeur général de Sentryo.

Les bonnes pratiques

Enfin à la question financière s’ajoutent celles des bonnes pratiques plus simples à mettre en œuvre, mais qui demandent toutefois un vrai engagement de l’équipe encadrante. « L’humain est très important en matière de cybersécurité », avance Florian Malecki. Premièrement, les professionnels de la cybersécurité rappellent qu’il ne faut pas cliquer sur tout et n’importe quoi. Deuxièmement, une bonne hygiène informatique est primordiale avec un mot de passe différent et changé régulièrement par exemple. Troisièmement, la mise en place d’une procédure de double voire de triple validations est utile pour un virement important. Des garde-fous nécessaires et vitaux qui peuvent éviter bien des problèmes. Une sensibilisation qui devient donc incontournable. Sensibilisation, pratique et outils technologiques sont donc le trio pour se prémunir contre toute attaque.

Actualités récentes