Nathalie Malicet est expert-comptable et judiciaire. Elle donnait en mars, une conférence aux entreprises du MEDEF Loiret.
Avant même la perte d’un cadre majeur ou d’un client, le premier risque de l’entreprise est la cyberattaque. Risque trop souvent mis en sourdine pour ne pas le voir, ou au prétexte qu’il est trop couteux de s’en protéger.
Quelle qu’en soit la taille et le secteur d’activité, votre entreprise intéresse les hackers. Parce que vous êtes sous-traitant d’une entreprise en vue, où simplement parce que vous avez un fichier clients. L’objectif est souvent financier, mais il peut aussi s’agir d’espionnage ou d’atteinte à l’image de l’entreprise.
Nathalie Malicet est expert-comptable et judiciaire, membre du réseau Cyber Menaces à la direction centrale de la police judiciaire. Elle est co-concepteur de CyberAudit, un outil qui permet de mesurer l’exposition des entreprises, et leur capacité à se défendre. « Il étudie les scénarii d’attaque et quantifie les conséquences financières qu’elle aurait ». Nathalie Malicet milite même pour une cotation de bonne conduite des entreprises. « Celles du CAC40 ont d’ailleurs l’obligation d’évoquer cette part sécuritaire dans leurs rapports d’activité, rappelle-t-elle. Elles montrent ainsi qu’elles protègent leur plus grande valeur que sont leurs DATA ». Cette cotation serait une sorte de Nutri-score, pour permettre aux entreprises sous-traitantes d’intégrer sereinement la supply chain d’un groupe. Cela existe au Canada, comme il existe une certification ISO.
Méfiez-vous des objets connectés
Les OIV, organismes d’importance vitale, transports ou santé par exemple, sont sous la surveillance de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information. Mais les attaques les plus invraisemblables se produisent pourtant. En septembre 2021, Solware Group, éditeur et développeur de logiciels pour les secteurs de l’automobile était piraté. Pire, les sauvegardes avaient été détruites avant même que le virus ne soit inoculé. Quand les pirates ciblent une major comme Airbus, ils s’en prennent aux sous-traitants de rang 1, 2, 3 et même 4, forcément plus petits, moins protégés donc plus vulnérables. Et les pirates utilisent la relation de confiance : « Votre comptable vous envoie un message auquel vous allez répondre sans vous méfier ». Les facteurs aggravants sont multiples : télétravail à domicile et partage de l’ordinateur avec les enfants, pas de changement du mot de passe, pas de mise à jour de la box, donc wifi peu sécurisé. « Si Alexia, est une bonne copine, on lui fait trop confiance, comme à Google-home d’ailleurs, aux réseaux sociaux et au cloud, et même au bluetooth de la voiture, …. Avec eux, notre vie informatique est comme une maison avec plein de fenêtres.
Alors que faire ?
Utiliser des VPN sérieux dont vous connaissez l’origine. Faites des sauvegardes régulières. N’utilisez pas d’appli proposées par mail et ne donnez pas tous les codes à un seul salarié, ou alors ne vous fâchez jamais avec lui ! « Les systèmes les plus simples sont souvent les plus efficaces, admet Nathalie. Les hackeurs ne sont pas des informaticiens de haut vol ». Ne cherchez pas à tout protéger, cela vous couterait trop cher, mais souscrivez une police d’assurance adaptée. Segmentez les besoins et l’importance des données à protéger. Établissez une cellule de crise : ai-je les données de mon prestataire, ailleurs que dans mon système ? « Quant à la rançon, par principe on ne paye pas. Car je ne suis pas certain que celui qui m’attaque va me rendre ce qui est à moi ». Altran en a fait les frais en payant 30M€ sans jamais récupérer ses données. Mais portez plainte et dites-vous que vous n’êtes pas coupable mais victime.
Enfin, faites valider la cyber résilience par la direction générale, car c’est une affaire de gouvernance de l’entreprise.
Stéphane de Laage