Lundi, l'Anssi (Agence nationale de la sécurité des systèmes d'information) a révélé que des hackers s'étaient introduits dans les réseaux informatiques de « plusieurs entités françaises » entre 2017 et 2020. Une attaque très sophistiquée qui n'est pas la première du genre, explique Alain Bouillé, délégué général du Cesin, le Club des experts de la sécurité de l'information et du numérique.

Les cyberattaques sont de plus en plus sophistiquées. Comment les grandes entreprises peuvent-elles se protéger ?

Il y a une grande désespérance et une énorme inquiétude des groupes face à ce type de piratage. Il faut bien se rendre compte que ce n'est pas le fait d'un hacker isolé. Là, c'est de la haute voltige, une attaque indirecte derrière laquelle il y a sans doute la main et la puissance d'un Etat. Les assaillants sont parvenus à polluer un outil parfaitement légitime en injectant un virus dans le code d'un logiciel d'un fournisseur de software, avec l'idée qu'il se répande ensuite chez les clients de cette société en installant la charge virale dans leurs réseaux informatiques via une mise à jour tout à fait banale.

Il faut avoir en tête que les grandes entreprises ont de multiples fournisseurs de software et plusieurs dizaines de logiciels de sécurité. Et elles ne peuvent pas vérifier le code de ces derniers à chacune des mises à jour, qui peuvent être quasi quotidiennes parfois. Ce n'est à la portée de personne, même pour les grands groupes du CAC 40. C'est aux fournisseurs de ces logiciels de redoubler d'efforts. Et il ne faut pas oublier la multitude de logiciels cloud utilisés en mode SaaS (« software as a service ») par les grandes sociétés pour la paie, le marketing, la comptabilité et toutes sortes d'autres services. Tous ces services sont potentiellement exposés à ce type de cyberattaques…

Aujourd'hui, les entreprises ne peuvent que minimiser leur impact potentiel. Le cloisonnement des différents réseaux informatiques peut être une mesure efficace pour ce type d'attaques, comme pour les ransomwares. D'autant plus qu'avec l'informatisation des processus des entreprises, tous les systèmes sont très interconnectés. Les cloisonner, c'est un peu appliquer le principe des portes étanches dans un sous-marin. Ce qui reste cependant souvent difficile à faire dans des environnements en perpétuel mouvement.

Est-ce que vous avez le sentiment que les grandes entreprises ont conscience du danger qui les guette ?

Je ne vous aurais pas répondu par l'affirmative il y a deux ou trois ans, mais c'est désormais le cas. Aujourd'hui, très rares sont les grandes firmes à ne pas s'être dotées d'outils de détection efficace comme les SOC, une plateforme qui permet de superviser et d'administrer la sécurité du système d'information via des outils de collecte, de corrélation d'événements et d'intervention à distance ; ou les EDR, un système de détection en temps réel qui se concentre sur l'analyse des points d'accès et la réponse aux incidents, qui sont devenus indispensables. Malgré la crise, 43 % des grandes entreprises vont d'ailleurs augmenter leur budget dédié à la cybersécurité qui va rester stable chez 36 % d'entre elles, d'après notre dernier baromètre.

Combien une grande entreprise doit-elle dépenser pour se prémunir efficacement contre les cyberattaques ?

Il faut compter plusieurs centaines de milliers d'euros par an. Voire quelques millions pour les plus grands groupes employant des dizaines de milliers de salariés. Après, il faut rapporter cela aux pertes potentielles en cas de piratage. Le manque à gagner s'est déjà monté à plusieurs centaines de millions d'euros pour certaines firmes. Et je ne voudrais pas avoir l'air pessimiste ou alarmiste, mais il n'y a aucune raison pour que ces attaques se calment…