Cybersécurité : Une vigilance nécessaire

Pour les spécialistes, la question n’est plus de savoir si l’on va être attaqué, mais quand ! Éric Pozzi, référent régional à l’intelligence économique de la gendarmerie Rhône-Alpes, constate “une absence de prise de conscience du risque, surtout dans les petites entreprises. Elles pensent que leurs données techniques n’intéressent personne, et oublient que ce sont d’abord les flux financiers générés qui attirent les criminels. Comme en témoigne l’attaque récente au ransomware d’une simple épicerie”. Le procédé est désormais bien connu : les criminels bloquent le système informatique et réclament une rançon, généralement payable en bitcoins, pour le débloquer. Souvent comprise entre 3 000 et 4 000 euros, elle peut se monter à plusieurs dizaines de milliers d’euros pour des grandes entreprises. La plupart paient, en dépit des conseils des autorités qui rappellent que cela ne garantit pas d’obtenir la clé de chiffrement.

Contre les cyberattaques, le recours à l’intelligence artificielle

Pour se prémunir contre de telles mésaventures, les solutions techniques abondent. Forte de la présence de grands acteurs des services informatiques, la région grenobloise peut profiter des dernières innovations en la matière. Le site d’Atos Worldgrid France, à Grenoble, bénéficie ainsi des services de la division big data et sécurité pour son site spécialisé dans le pilotage de réseaux énergétiques, “des systèmes qui doivent être extrêmement sécurisés, rappelle son directeur, Franck Chevalley. Nous profitons des services du Security Operations Center, lancé en juillet 2017, pour détecter les attaques en quelques minutes”. Ce dernier, vitrine du savoir-faire d’Atos en matière de machine learning, une branche de l’intelligence artificielle, vise à détecter les comportements suspects et à corriger les vulnérabilités avant même que les attaquants ne pénètrent dans le système.
De son côté, Capgemini, à Montbonnot-Saint- Martin (900 collaborateurs), intervient dans le conseil et la mise en oeuvre de services de chiffrement et de sécurité : “Comme pour les centrales nucléaires, nous protégeons les systèmes couche par couche, du poste au back-office, explique André Follic, qui pilote la sécurité du groupe en France. Et la dernière couche, ce sont les données.” Cette “stratégie de bout en bout” concerne les réseaux classiques, mais aussi le cloud et les objets connectés – il y en aura 28 milliards en 2021, d’après Ericsson. Ils constituent désormais la principale porte d’accès à Internet, “qui représentent une énorme source de vulnérabilité”, en raison du manque de vigilance des utilisateurs.

Des procédures incontournables à respecter

Les solutions de sécurité ne sont pas l’apanage des grands groupes, comme en attestent les solutions d’Axone Group ou d’ATN Groupe, des entreprises grenobloises qui misent sur des systèmes de firewalls tout-en-un, sur la sauvegarde des données et sur les mises à jour quotidiennes des applications, trois procédures indispensables, mais souvent fastidieuses pour nombre de PME. Et des savoir-faire plus spécifiques arrivent à Grenoble. Algo Secure (siège à Lyon, présent à Paris, Grenoble et Saint-Étienne ; 15 salariés, CA 2016 : 900 k€) s’est fait un nom grâce à l’analyse forensique. Seule entreprise de Rhône-Alpes certifiée en recherche et investigation numérique, elle “remonte la pelote” d’un incident informatique, et garantit l’inaltérabilité des preuves collectées. “N’ayant pas de partenariat avec des éditeurs de logiciels, nous avons une approche très pragmatique, explique Hicham ben Hassine, le fondateur d’Algo Secure. Notamment sur les objets connectés, pour lesquels il n’y a pas encore de protocole d’audit. Un de nos salariés rédige même une thèse sur le sujet.”

L’humain au cœur de la sécurité informatique

Avec les smartphones, les portes d’entrée des cyberattaques sont en effet de plus en plus nombreuses. Quand il ne s’agit pas d’un acte de malveillance interne, comme l’attaque à la “clé USB tueuse” contre une centaine de postes de l’Université Grenoble Alpes et de Grenoble INP l’an dernier, c’est généralement par l’ouverture d’une simple pièce jointe à un mail, souvent sur son portable, qu’arrivent les virus. “La curiosité est un vilain défaut : on a toujours envie de voir ce qu’on nous envoie, observe Yannick Châtelain, professeur à Grenoble École de Management (GEM). La principale faille des systèmes d’information, c’est l’humain, et les criminels le savent.” La sensibilisation des salariés s’impose, mais d’après une récente étude de PwC, 53 % des personnes interrogées en France indiquent que leur entreprise ne dispose pas de programme dédié. “Cela explique que la plupart des salariés victimes de ransomware paient eux-mêmes discrètement la rançon, de peur d’être jugés incompétents par leur supérieur [étude Intermédia parue l’an dernier. NDLR]. Il y a donc un devoir d’information> et de pédagogie des entreprises. Chaque collaborateur n’est pas un informaticien en herbe au courant des malversations les plus complexes !”

Le RGPD, chantier de l’année

L’exigence de protection des systèmes d’information et de sensibilisation des salariés devient cette année cruciale. Le 25 mai entrera en vigueur le règlement général sur la protection des données (RGPD) destiné à renforcer le respect de la vie privée des citoyens européens. Concernant toutes les entreprises qui effectuent des traitements de données personnelles, il imposera à cellesci de tenir à jour un registre décrivant les données stockées, le but et la durée de leur exploitation (un document exigé par la CNIL, la Commission nationale de l’informatique et des libertés, en cas de contrôle). L’entreprise qui ne pourra pas fournir ces informations pourra être sanctionnée par une amende allant jusqu’à 4 % de son chiffre d’affaires mondial et jusqu’à 20 millions d’euros. La mise en conformité au RGPD devrait coûter 30 millions d’euros en moyenne aux entreprises du CAC 40 (et jusqu’à 100 millions pour certaines banques et compagnies d’assurances). “Les premières entreprises conformes auront un véritable avantage concurrentiel, prédit André Follic, à Capgemini, qui propose neuf offres sur le RGPD. Elles auront montré patte blanche et leurs données seront hypersécurisées.” Le cryptage final des données personnelles exigé par le règlement européen est en effet l’occasion pour les entreprises de revoir de fond en comble la sécurité de leur système d’information, leurs process et bonnes pratiques informatiques. Dans cette mise en place “structurante”, aucune étape ne doit être négligée, de l’audit de cartographie des données personnelles au plan d’actions correctives, en passant par l’analyse d’impact. André Follic estime que “la démarche de sélection des données est capitale. Il faut chercher dans chaque service où sont logées les données personnelles, ce qui implique un travail transversal”. Une cartographie sollicitant les services d’information, les RH, les services marketing, clients, etc., dans lequel les grandes entreprises sont déjà avancées grâce aux sociétés de services informatiques (chez Atos, 4 500 personnes travaillent sur le sujet).

Une démarche complète à mettre en œuvre

Mais quelle que soit la taille de l’entreprise, dans ce chantier plus organisationnel que technique, “avoir juste un bon prestataire informatique ne suffit pas”, juge Sandrine Rieussec, dirigeante d’Optimex Data. Cette société grenobloise fondée l’an dernier (trois salariés, dont un juriste), issue de Proxy Papers (spécialiste de la mise à disposition de données cryptées), a été créée pour accompagner les PME sur le plan juridique et organisationnel du RGPD. Labellisée par la CNIL pour la procédure d’audit, Optimex Data, en pleine phase de recrutement face à une demande croissante de conseils, propose également des plans d’actions correctives : ajouts de textes réglementaires sur les sites web ou de clauses aux contrats relatives aux données personnelles… “L’important est que les collaborateurs soient conscients que telle ou telle tâche peut avoir un impact sur les données personnelles”, insiste Sandrine Rieussec. Optimex Data a déjà été choisie comme partenaire par plusieurs sociétés de services informatiques afin de proposer une offre globale sur le RGPD. Dans chaque entreprise traitant un grand nombre de données personnelles devra être nommé un délégué à la protection des données (DPO, pour Data Protection Officer), dont le rôle sera justement de sensibiliser, de conseiller et d’aider chaque métier à bien prendre en compte cet aspect transversal. Une fonction neutre, qui interdit tout conflit d’intérêts (on ne peut être DPO et DRH, par exemple). Pour Guillaume Pourquié, le DPO de GEM, “le choix du poste est très lié à la culture d’entreprise. Les correspondants informatique et liberté (CIL), précurseurs des DPO, ont des profils variés, venant du juridique, de l’informatique ou de la relation client, et ont donc des approches différentes”. Reste que la CNIL estime à 80 000 le nombre de DPO à nommer prochainement en France, alors qu’elle ne dénombre que 5 000 CIL ! D’où l’intérêt pour les petites et moyennes entreprises de mutualiser leur délégué ou de soustraiter la tâche à des sociétés informatiques ou de conseil.

Ne pas dramatiser

À l’approche de l’entrée en vigueur du RGPD, les entreprises redoutent une soudaine recrudescence des demandes d’assistance. Les experts recommandent de ne pas s’inquiéter trop vite des sanctions. “Les premiers contrôles de la CNIL concerneront d’abord les sociétés dont le traitement des données personnelles représente une part d’activité importante, comme les hébergeurs, les prestataires de cloud... Pour les TPE-PME ayant une simple mailing-list et quelques données personnelles d’utilisateurs, les sanctions seront plutôt d’ordre pédagogique.” Une entreprise qui n’a pas les moyens de rémunérer un DPO doit donc s’engager à son rythme dans la démarche, de façon à pouvoir prouver sa bonne foi en cas de contrôle. “En revanche, prévient Éric Pozzi, de la gendarmerie Rhône- Alpes, méfiez-vous des arnaques au RGPD, comme les fausses mises en demeure officielles demandant d’appeler un numéro pour se mettre en conformité : “Si toutes les entreprises ne sont pas encore au courant du RGPD, les cybercriminels, eux, le sont !”
F. Baert

A savoir