L’enjeu de la cybersécurité se déplace des grandes entreprises vers les PME-ETI

Aurélie Michaud (Directeur adjointe de la sécurité des systèmes d'information du groupe Société Générale) Marc Brua (Fondateur de Squad) Alexandre Wauquiez (Directeur Exécutif SFR Business) Vincent Maret (Associé KPMG, responsable du pôle Cybersécurité et Protection des données personnelles) Frédéric Simotell (Journaliste High-tech BFM Business).

Voici une première question que l'on se pose rarement : est-ce qu'il est déjà arrivé qu'un compte bancaire soit "siphonné" par une attaque dirigée contre une banque ?

Aurélie Michaud : On constate des attaques de plus en plus ciblées contre les banques, comme tout autre secteur. On a connu le cas de la Banque du Bangladesh ou la Banque centrale de Pologne. Mais s'il existe le phishing et les vols de données, une telle intrusion directe n’est jamais arrivée sur le système d'information d'une banque.

Pourquoi ? Parce que vous êtes mieux protégés ou bien parce que vous n'êtes pas une cible ?

A.M. : Nous sommes bien sûr très exposés puisque 40% des données revendues frauduleusement sur Internet sont des données bancaires et qu'un tiers des phishings ciblent ces données. Mais les menaces ont évolué et les systèmes de sécurité aussi.

Il y a combien d’attaques par jour contre la Société Générale, de gens qui veulent s’introduire dans vos systèmes ?

A.M. : Il y en a tous les jours. Il y a quelques années, les attaques avaient pour but de rendre les services indisponibles. Mais il existe toutes sortes d’attaques et le marché de la cybercriminalité s’organise.

Vincent Maret, vous dites qu’il existe un gang spécialisé pour attaquer les banques ?

V.M. : Il existe même un nouvel art qui consiste à détecter quel gang a fait quelle action ; le plus connu se nomme Carbanak. Il aurait siphonné dans les pays de l’Est environ 1 milliard d’euros sur plusieurs années, sur des comptes clients ou, par exemple, en prenant le contrôle de distributeurs à distance. Mais justice est faite ou presque car le chef de ce gang a été arrêté récemment. Mais il y en a d’autres et, comme vous le disiez, l’argent se trouve dans les banques...Cependant le secteur bancaire est le plus mature en matière de cybersécurité, il a investi en ce sens.

À la Société Générale, combien de personnes gèrent la cybersécurité ?

A.M. : Sur l’ensemble du monde, ce sont 500 personnes. Nous avons également des équipes dédiées à chaque problématique, comme la réponse aux incidents. C’est aussi une histoire d’humains et de culture.

Frédéric Simottel : Dans le milieu bancaire, il y a un système de réglementation, il faut suivre un certain cadre.

Mais vous avez des milliers de milliards qui sont échangés de manière digitale sans arrêt. Il y a bien des hackers qui ont tenté de lancer des filets ?

F.S. : Oui mais la coopération est très efficace.  À chaque signal faible les banques se préviennent entre elles et peuvent très vite mettre en place des parades. Peut-être aussi que les collaborateurs des banques sont plus sensibilisés à la question de la cybersécurité que dans les autres secteurs.

Marc Brua : Bien avant Squad, il y a plus de 20 ans, nous étions déjà dans la cybersécurité et les banques ont été les premières à s’intéresser à cet aspect. Elles ont donc une vraie maîtrise du sujet.

Donc on peut dire aujourd’hui que le « blindage est en avance sur l’obus » ?

A.M. : Le risque zéro n’existe pas et la menace évolue énormément, d’autant plus que la cybercriminalité a des moyens très puissants.

V.M. : Les cybercriminels sont des entrepreneurs très créatifs. Ils sont capables de changer de business model. En quelques semaines, ils ont fait face à la chute du Bitcoin par exemple.

Alexandre Wauquiez : 80 % des entreprises européennes ont subi au moins une cyberattaque en 2016. Certaines entreprises pensent ne pas avoir été touchées alors que leur système a été hacké.

SFR Business est le 3ème acteur de la cybersécurité en France. Les entreprises qui nous sollicitent sont surtout les grandes entreprises. Mais la problématique se déplace aujourd’hui vers les PME, les ETI et les collectivités locales qui n’ont pas encore pris la mesure du risque.

M.B. : Les hackers ont le temps, contrairement aux entreprises. Nous pouvons faire un test d’intrusion sur deux semaines dans une entreprise et ne rien voir, alors que les hackers trouveront la faille deux mois plus tard.

A.M. : Ils restent quelque temps en sommeil, ils étudient le système d’information pour attaquer. Principalement, il s’agit d’attaques ciblées et de haut niveau.

Nous avons parlé tout à l’heure de la Banque du Bangladesh attaquée et de la Banque de Pologne. Ce sont ces banques nationales les maillons faibles du système ?

A.M. : Ils essaient finalement toutes les portes. Mais au sein du groupe Société Générale, nous faisons de nombreux exercices afin de se mettre dans la peau du hacker.

Dans ce domaine, il y a, quelque part, un aspect contre-culture également.

V.M. : Les deux types de hackers existent. D’un côté sans doute ceux qui ne veulent pas de mal et les autres, les cybermafias très organisées. Et bien souvent, cachées dans des pays qui n’extradent pas. Le rapport gain-risque leur est donc favorable.

Les dégâts peuvent être considérables...

A.W. : Et les dégâts vont au-delà de l’aspect financier. Car une petite entreprise qui est attaquée, c’est son image et sa réputation qui sont mises en jeu. La confiance des clients peut être durablement altérée.

M.B. : Il y a aussi l’interruption de service qui fait perdre de l’argent, ou le fichier client qui disparaît.

Les PME et les ETI ne sont pas tellement conscientes de ces risques...

A.W. : Elles le voient d’autant moins qu’elles n’ont pas d’experts en sécurité, même si elles ont un responsable informatique. Elles risquent de s’en rendre compte après une attaque. Il y a un vrai travail de sensibilisation et d’accompagnement à faire pour les aider à se forger un premier niveau de carapace numérique.

V.M. : Les entreprises doivent attirer des talents numériques spécifiques.

Là vous avez justement des spécialistes qui peuvent le faire pour vous !

V.M. : Oui, mais il faut connaître tous les enjeux de l’entreprise. Il y a donc un minimum de compétences à avoir en interne. Ce que je veux dire par-là c’est qu’il vaut mieux avoir un système déjà sécurisé plutôt que quelqu’un qui le sécurise ensuite. C’est difficile en cela que dans beaucoup d’entreprises la construction informatique s’est faite ... de manière empirique disons. Après cela, une « dette technique » est difficile à rattraper.

F.S. : A la décharge des entreprises, avouons que celles-ci sont noyées sous les technologies : les logiciels, les anti-virus, les anti-malwares. Aujourd’hui, il existe des technologies en cloud, justement grâce à tous ces acteurs, qui peuvent déporter cette problématique. D’une manière générale, on connaît ici le même problème que lorsque les entreprises ont été informatisées : on parlait trop techno. Elles sont perdues derrière tout cela.

Comment les convaincre d’entamer une démarche ? C’est un risque vital.

M.B. : Des sociétés comme nous s’adressent exclusivement aux grands comptes et les PME sont quelque part les parents pauvres de la sécurité.  

A.W : Cela devient le marché numéro 1, car le marché des grands comptes a maintenant une base de sécurité établie, même si cela ne s’arrête jamais. Mais l’immense marché des PME et des ETI est à construire. Tout l’enjeu est de les conseiller et de les accompagner de manière extrêmement simple en nous confiant leur système qui nous permettra de créer leur premier niveau de sécurité numérique. Même si le risque zéro n’existe pas, ils peuvent alors se concentrer sur leur business de tous les jours pendant que nous gérons l’essentiel de la sécurité pour eux.

Nos offres packagées sont assez peu chères car communes aux PME vont arriver sur le marché.

Aurélie Michaud, la Société Générale travaille aussi directement pour la sécurité de ses clients entreprises ?

A.M. : Nous travaillons de plus en plus avec nos clients PME pour leur apporter cette sécurité, sur des actions de sensibilisation aux risques, et comment s’en protéger. Nous sommes aussi sollicités pour les accompagner sur un premier niveau de sécurité.