Stéphane Richard : « Orange a subi une intrusion massive aux conséquences limitées »

« La cybersécurité est une priorité pour Orange » a martelé Stéphane Richard vendredi, alors qu’il faisait visiter le centre de cybersurveillance de l’opérateur situé à Rennes, à Jean Yves Le Drian, ministre de la Défense. Ironie du calendrier, cette visite intervenait une semaine après la divulgation de la cyberattaque subie par Orange en janvier et qui a permis aux pirates de voler les données personnelles du 800 000 abonnés grand public du groupe ; et en marge du lancement du pacte de Cyberdéfense par le ministre, le matin même au sein de l’Ecole des transmissions de l’Armée, à quelques encâblures du site d’Orange. Au micro de BFM Business, Stéphane Richard est revenu sur cette attaque.  

Stéphane Richard explique que cette attaque a frappé 3% des messageries de clients Orange à partir d’une faille au sein du portail Orange.fr. « C’est une intrusion massive mais dont les conséquences sont limitées. Aucune utilisation frauduleuse n’est possible à partir des données dérobées », a-t-il confirmé. Selon un proche collaborateur, les mots de passe des comptes utilisateurs n’auraient pas été percés et les données bancaires ne sont pas stockées au même endroit.

Des attaques d'une sophistication de plus en plus grande

Le PDG d'Orange reste toutefois très prudent. « Nous subissons aujourd’hui quotidiennement des attaques d’une sophistication et d’une variété grandissantes » et d’affirmer qu’il était toujours plus difficile de garantir une sécurité totale. Le PDG d’Orange confirme également que les opérateurs figurent parmi les principales cibles des hackers, « regardez ce qui s’est passé chez Deutsche Telekom ou encore en Corée où ce sont respectivement seize millions et cent-vingt millions de comptes qui ont été piratés ».

En ce qui concerne l’attaque dont a été victime Orange en janvier, Stéphane Richard a également tenu à préciser que le piratage ne s’active qu’à partir du moment où le client victime active le message frauduleux, à partir d’un procédé d’hameçonnage (ou phishing). « Il est donc important que nous sensibilisions davantage les utilisateurs tant au niveau personnel que professionnel. Nous avons d’ailleurs mis en place une adresse abuse@orange.com pour que nos clients puissent signaler des comportements douteux.  Les dirigeants eux-mêmes doivent intégrer cette composante dans la masse des priorités auxquelles ils doivent penser ».

La fraude a déjà côté 10 milliards d'euros à l'Europe

« Ce sont des enjeux majeurs pour nos entreprises et une préoccupation dans le monde. Un rapport indique d’ailleurs qu’un adulte sur deux a déjà ou va subir des actes de cybercriminalité. Ul faut aussi savoir que les montants liés à la fraude atteignent déjà dix milliards d’euros en Europe. » Le patron d’Orange confirme également qu’à chaque attaque, les technologies de défense progressent. Il parie sur une formation plus intensive des spécialistes et vante l’apparition de nouveaux métiers tels que les hackers éthiques. Pour rappel, Orange vient de créer sa propre entité Cyberdéfense suite au rachat de la société Atheos.

Revenant sur la visite de Jean Yves Le Drian, il a enfin confirmé qu’il souhaitait faire de la Bretagne un pôle d’expertise et d’excellence en cybersécurité. Cette région abrite d’ailleurs l’un des plus forts contingents d’Orange Business Services, la branche entreprises de l’opérateur avec plus de 2000 personnes.