Cybersécurité : « aucun secteur à l’abri » d’attaques toujours plus sophistiquées

Que les entreprises françaises soient la cible des pirates, ce n’est pas évidemment pas nouveau. Qu’elles soient très nombreuses à être attaquées, non plus. Le dernier chiffre issu du rapport de la délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) montre même qu’elles sont près de 80% à avoir essuyé une attaque l’an passé. Un chiffre forcément en-dessous de la réalité.

Et au niveau mondial, ce sont environ deux millions d'attaques qui ont été menées en 2018 ayant coûté plus de 45 milliards de dollars, d'après une étude américaine dévoilée mardi.

Ce qui change, c’est la sophistication de ces attaques et leurs conséquences : une paralysie notamment de la production. « Les pandémies WannaCry et NotPetya en 2017 avaient démontré que les systèmes industriels étaient vulnérables aux risques liés à la cybercriminalité. Avec la digitalisation des entreprises et l'essor du cloud computing, l'exposition de ces équipements s'est encore accrue en 2018, alors mêmes que les attaques sont toujours plus ciblées et sophistiquées, avec l'ambition de maximiser leur impact sur le monde réel », peut-on lire dans le dernier rapport du Clusif (Club de la Sécurité de l’Information Français).

Changement de stratégie

En 2017, le groupe Saint-Gobain a ainsi été attaqué via le virus NotPetya et a été contraint de stopper des unités de production. La même année, 200 organisations en Ukraine ont été paralysées par des attaques du même type.

« Autrefois indiscriminées, les attaques par rançongiciel (déblocage d’un système informatique contre le versement d’une rançon) semblent davantage cibler les grandes entreprises ayant la capacité de payer des rançons très élevées", observe de son côté la DMISC, notant « un changement de stratégie des cybercriminels ».

Le rapport note ainsi « une nette augmentation depuis début 2018 des opérations de plus en plus sophistiquées de "spear-phishing" (envois de courriels contenant un lien corrompu ou un document infecté) et de "cryptojacking" (fabrication clandestine de monnaies virtuelles, type BitCoin, en infiltrant un serveur internet, un ordinateur de l’entreprise) ».

« Aucun secteur professionnel n'est à l'abri, y compris celui de la santé », souligne la DMISC.

Les banques sont des cibles presque historiques des cybercriminels et restent au top du palmarès des secteurs les plus attaqués. Mais depuis peu, les offensives se sont spécialisées. « Au-delà des attaques classiques, 2018 à vue une augmentation du niveau d’expertise et de détermination des attaquants », commente Jérôme Billois, associé cybersécurité chez Wavestone.

Focus sur les opérateurs vitaux et essentiels

De quoi pousser le gouvernement à pousser encore le curseur des contraintes de sécurité des entreprises publiques ou privée considérées comme vitales (OIV) ou essentielles (OSE).

Cela fait déjà plusieurs années que ces acteurs sont particulièrement surveillés par l’Anssi, l’agence nationale de sécurité des systèmes d’information. Qu’il s’agisse de fournisseur d’eau ou d’électricité, de groupes télécoms, d’administrations, d’institutions spécifiques…, ces entités stratégiques sont en effet devenues des cibles privilégiées de pirates informatiques, souvent pilotés par des Etats.

Ces OIV doivent déjà se plier à des mesures spécifiques de protection informatique. Mais il faudra aller plus loin à mesure que le risque grandit. De nouvelles entreprises vont ainsi rejoindre la liste des entreprises contraintes.

5 à 600 grandes entreprises ou institutions seront ainsi soumises à des obligations particulières en matière de cybersécurité, a indiqué un responsable de l'Anssi.

Il existe environ 200 OIV, et les OSE sont en cours de désignation par l'État, en application d'une directive européenne de juillet 2016.

« Ils sont 122 aujourd'hui, il y aura une deuxième vague d'ici la fin de l'année, et une troisième vague en 2020 », a expliqué Patrice Bigeard, un responsable de l'Anssi. Cette dernière est chargée d'aider l'Etat à définir la liste des opérateurs visés, qui est confidentielle. Elle vérifie ensuite l'application par les entreprises de leurs obligations.

L'Anssi propose également de rajouter certains secteurs comme l'assurance, l'éducation (Parcoursup notamment) et l'assainissement des eaux, a expliqué le responsable. Pôle emploi et des opérateurs de restauration collective pourraient également être concernés, a-t-il indiqué.

Il a par ailleurs indiqué que l'agence travaillait en particulier en ce moment sur les attaques visant les entreprises de services numériques (ESN), ces grands prestataires privés auxquels les entreprises sous-traitent une partie de leur informatique.

On imagine les conséquences d’attaques de grande ampleur sur ces acteurs. D’ailleurs, pour certains comme Benoît Coeuré de la BCE, ce type de cyberattaques pourrait même être la cause de la prochaine grande crise économique mondiale.