Le danger s’intensifie dans les entreprises

Le cybercrime ne profite pas qu’aux hackers. Le marché des services de sécurité continue de croître. Mais la lutte contre les ttaques est loin d’être gagnée malgré les nouveaux moyens mis en oeuvre.

Pour la huitième fois, le Mois européen de la cybersécurité a fait son retour en octobre. Cette campagne de sensibilisation a abordé de nouveaux défis à relever. Lesquels ont aussi été évoqués aux Assises de la sécurité et des systèmes d’information, qui a réuni cette année plus de 2 200 experts. Dès le premier jour, Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information, s’est fait l’écho des préoccupations des acteurs de la filière : « Entreprises, mairies, services publics, sites Internet, hôpitaux, industrie de l’armement, compagnies d’assurance, fournisseurs d’énergie, éditeurs de logiciels… les cyberattaques n’ont épargné personne cette année. » Même derrière le masque sanitaire, les commerciaux des 157 sociétés partenaires de l’événement avaient du mal à cacher leur sourire en songeant aux perspectives de business. De nombreuses attaques ont eu lieu au cours de ces derniers mois. Locales ou mondiales, elles s’affichent de plus en plus souvent à la une des journaux avec un fort retentissement.

L’IDENTIFICATION DES FAILLES S’ACCOMPAGNE DE SERVICES

La menace a pris de telles proportions qu’elle rend les sociétés friandes de ces prestataires qui trouvent ainsi les débouchés pour leurs offres de protection ou d’analyse des risques. En 2021, on se dirige vers une croissance du C.A. des revendeurs de cybersécurité d’environ 10 %, selon une étude du cabinet Pierre Audoin Consultants. L’année précédente, le secteur avait déjà généré 3,5 Mds € de C.A. Les entreprises qui craignent les redoutables advanced persistent threats (APT) dépenseraient sans compter. Les tests qui identifient les failles dans les logiciels ont la cote. Et plus ces derniers sont complexes, plus ils s’accompagnent de services, commercialisés par des prestataires proposant de « boucher les trous » des systèmes d’information. En 2020 comme en 2021, ces fournisseurs-là ont continué de tirer le marché. Certains, comme Airbus CyberSecurity, revendiquent des taux de croissance atteignant les 20 %.

« La plupart des entreprises s’équipe, non pas en prévention, mais en réaction à une attaque… quand celle-ci ne les a pas coulées »

Guillaume Poupard, directeur général de l’Agence nationale de la sécurité
des systèmes d’information

L’ÉTAT DÉBLOQUE 20 M€ POUR FORMER DES EXPERTS

Tout le monde n’a pas les moyens de s’offrir un security operation center (Soc) doté d’une vingtaine de salariés. En contrepartie, des offres de Soc, associant audits de sécurité, services de réponse à incident et surveillance 24/7, sont rémunératrices. Encore faut-il que les prestataires disposent d’un nombre suffisant d’experts. Or, beaucoup d’entreprises de services se plaignent de ne pas répondre à la demande en hausse. La conséquence de formations en cybersécurité qui ont trop longtemps peiné à anticiper l’accélération des besoins. De fait, cette question de ressources humaines minore la croissance de nombreux professionnels. Et les plus grands ne sont pas épargnés. Tel Orange Cyberdefense, contraint de faire des choix quant aux projets dont ses spécialistes s’occupent. En raison de la pénurie d’experts, un autre leader du secteur reconnaît, sous le couvert de l’anonymat, qu’il tire un trait sur 30 % de C.A. supplémentaire en 2021 ! Le phénomène a poussé Matignon à débloquer 20 M€ pour augmenter les effectifs de la cybersécurité, notamment en finançant en partie le campus cyber de Paris la Défense, qui ouvrira en janvier 2022. En effet, le piratage de Cyberpunk 2077, la fuite sur Internet d’informations médicales sensibles de 500 000 personnes en France, l’attaque de Microsoft attribuée à des cyberassaillants chinois ou encore la cyberattaque visant l’oléoduc de Colonial Pipeline sont autant d’intrusions qui ont fait bondir la demande des entreprises et des États. Les dépenses en cybersécurité pourraient ainsi atteindre 1 Md $ en 2021, pronostique le fonds d’investissement Cybersecurity Ventures. Et la tendance devrait se poursuivre. Car le cloud computing augmente sensiblement la surface d’attaque.

LA MENACE EST PARTOUT

Après avoir affirmé que le cloud était plus sûr que ce que les sociétés pouvaient faire dans leurs propres data centers, les géants du Net ont dû admettre qu’il fallait quand même protéger les données envoyées dans le Nuage. Les fournisseurs de solutions ont cru avoir trouvé la parade en proposant aux entreprises de recourir au chiffrement. Cependant, sa pratique est loin d’être généralisée. « La gestion des clés de chiffrement pose problème, explique Laurent Heslault, ex-directeur des Stratégies de Sécurité chez Symantec. Comment déterminer qui aura le droit d’accéder à quoi, et où les clés seront stockées ? » En outre, le chiffrement n’est pas infaillible. Si tout le parcours – du stockage à l’exécution – du document n’est pas chiffrée, la solution risque de s’avérer inefficace. Par ailleurs, se pose la question récurrente d’une trop grande complexité. Les utilisateurs s’en détournent alors, à l’image des parlementaires qui laissent au fond d’un tiroir leurs téléphones cryptés Teorem estampillés Thales. Les responsables politiques et les chefs d’entreprise sont loin d’être tous conscients des menaces. Et dans une société de plus en plus contrôlée par des systèmes informatiques, donc devenue plus vulnérable, garantir une sécurité totale relève de la gageure. « Sauf à revenir à l’âge de pierre et à couper tout lien avec la tech, une entreprise ne peut être protégée à 100 %, considère Soufyane Sassi, Security Engineer Europe du sud chez Recorded Future. Ce qui est possible en revanche, c’est minorer la rentabilité d’une cyberattaque. Si pour s’introduire dans un système, les pirates doivent dépenser plus d’argent que le butin convoité, alors ils renonceront. » Reste que les points d’entrée se multiplient et rendent la protection des sociétés plus difficile.

« Pour s’introduire dans un système, si les pirates doivent dépenser plus que le butin convoité, alors ils renoncent »

Soufyane Sassi, Security Engineer Europe du sud, Recorded Future

2,8 FOIS PLUS RENTABLE QUE LE TRAFIC DE STUPÉFIANTS

L’interconnexion des systèmes industriels et la communication M2M créent chaque jour des failles qui font le bonheur des hackers. Alors que 50 milliards d’objets seraient interconnectés, les agressions dans le cyberespace sont appelées à se multiplier. Techniquement, « des attaques massives mettant une nation à genoux, en paralysant son électricité, ses télécommunications et ses moyens de transport, sont concevables », avancent les experts de Tenable. « De telles attaques massives nécessitent d’immenses capacités de renseignement, d’infiltration et de dissimulation », estime-t-on chez Thales. Pourtant, « le chantage au déni de service a pris son essor. Le sabotage, par la prise de contrôle de machines ou l’altération de données, apparaît malheureusement très prometteur pour les organisations criminelles », s’inquiète Guillaume Poupard. Dans la majorité des cas, ces attaques restent anonymes, bon marché et particulièrement lucratives. Selon une étude de l’université du Surrey, les revenus des cybercriminels dépasseraient au moins 1 500 Mds $ par an, soit 2,8 fois ceux du trafic de drogue. La parade au phénomène n’est pas que technologique. Les professionnels de la sécurité informatique proposent aussi à leurs clients de les préparer à gérer une attaque, en passant par la gestion de crise, les modalités d’assurance et la sensibilisation des salariés. Face à des risques inédits, il convient de ne rien négliger.

PÉNURIE DE TALENTS DANS LES PME
Dans son plus récent rapport¹, la délégation ministérielle aux Industries de sécurité et à la lutte contre les cybermenaces (DMISC) souligne que les chiffres qui traitent des actes de cybermalveillance sont difficilement interprétables. Pourquoi cela ? « En raison d’un faible taux de plaintes déposées par les PME », répond Olivier de Mazières, délégué ministériel aux Partenariats, aux Stratégies et aux Innovations de Sécurité (DPSIS). « Bien que la France compte des écoles orientées cyber, comme l’Epita ou l’Esiea, la vulnérabilité des PME s’explique par le manque de collaborateurs formés ». Ce marché est en sous-capacité et les besoins des entreprises sont énormes. « Pour la prévention, la sensibilisation et l’assistance, les PME ont intérêt à faire appel à un prestataire extérieur », conseille Olivier de Mazières. L’Anssi, elle, les invite à s’adresser à la plate-forme officielle Cybermalveillance.gouv. fr, qui se charge de les mettre en relation avec 1 200 prestataires locaux (dont 130 ont reçu le label ExpertCyber) qui leur viendront en aide.
¹ Paru en 2019.

UNE AFFAIRE DE SURVIE POUR LES PLUS PETITS
En cas d’attaque, les petites structures souffrent davantage que les grandes. L’Agence nationale de la sécurité des systèmes d’information a donc voulu faire émerger une offre de sécurité pour les PME. « C’est un métier bien particulier, souligne Badr Laasri, Cyber Security Engineer pour le cabinet d’audit Tenable. Il faut pratiquer des tarifs spécifiques pour ces sociétés qui ne disposent pas de la même trésorerie que les grandes entreprises, et qui ont bien souvent d’autres priorités. » Ensuite, les revendeurs ont du mal à trouver le bon interlocuteur dans ces organisations, dénuées de responsable IT. De plus, les dirigeants de PME ignorent encore les règles fondamentales de la cybersécurité. « Il faut aller sur le terrain pour en parler », martèle Guillaume Poupard, directeur général de l’Anssi. Depuis 2017, Cybermalveillance.gouv.fr oriente les PME victimes vers des prestataires de confiance locaux.

LES ASSUREURS APPELÉS À LA RESCOUSSE

Le conseil émane du Cesin : « Les TPE et PME doivent passer en revue leurs polices d’assurance pour assurer la couverture des pertes d’affaires découlant d’une cyberattaque. » Plus de la moitié des membres du Club des experts de la sécurité de l’information et du numérique a souscrit une cyberassurance. Du côté des assureurs, on note une ruée vers leurs produits. Les garanties sont sensiblement similaires : prise en charge des coûts de remise en état des données et de redémarrage des systèmes informatiques ; couverture responsabilité civile en cas de dégâts collatéraux. « Certaines compagnies incluent un service de résolution de crise en partenariat avec des prestataires en cyberrésilience. Le coût s’apprécie selon la taille et l’évaluation du risque, de quelques centaines d’euros par an, à plusieurs milliers pour une PME de quelques dizaines de salariés », indique Philippe Cotelle, Head of Cyber Insurance Management chez Airbus. Cependant, les assurés potentiels qui ne suivraient pas les recommandations de l’Anssi trouveront difficilement de quoi se couvrir.