La cybersécurité est devenu un enjeu crucial. Des hôpitaux franciliens ont déjà été attaqués. Dans le Val-d’Oise, des journées de sensibilisation sont organisées pour aider les sociétés et les administrations à se prémunir contre les intrusions de pirates informatiques. Reportage et témoignages.
Si vous n’avez pas encore été touchés par une attaque, c’est que vous êtes les prochains ! » C’est le dicton en vogue dans la cybersécurité et l’avertissement lancé à la centaine de chefs d’entreprise et de décideurs du Val-d’Oise venus s’informer sur les risques. À l’initiative de l’agglomération Plaine Vallée, des acteurs reconnus de la cybersécurité étaient présents à Enghien fin janvier pour inciter les participants à mieux se défendre contre des attaques de plus en plus nombreuses et sophistiquées. La prochaine rencontre aura lieu le 23 mars à la chambre de métiers à Cergy.
Dans le département, le Comité d’expansion économique du Val-d’Oise (Ceevo) sensibilise les entrepreneurs sur le sujet depuis déjà plusieurs mois, tout comme les gendarmes du Val-d’Oise qui mobilisent à cette occasion les experts du ComCyberGend, le commandement de la gendarmerie dans le cyberespace, implanté à Pontoise.
« Nous sommes présents dans la lutte contre la cybercriminalité. C’est une problématique qui est prégnante aujourd’hui. On ne peut pas en faire l’économie, quelle que soit la structure », souligne le colonel Quentin Petit, qui dirige le groupement de gendarmerie du Val-d’Oise.
« Le risque 0 n’existe pas. Il faut se préparer à la crise »
Il évoque les entreprises qui ont un caractère stratégique mais aussi les collectivités, les hôpitaux, qui sont visés. Ceux de Corbeil-Essonnes (Essonne) et de Versailles (Yvelines) ont été la cible de cyberattaques, le premier le 21 août dernier avec une demande de rançon initiale de 10 millions de dollars, le second le 3 décembre avec également une tentative d’extorsion de fonds de la part des hackers.
L’hôpital d’Argenteuil (Val-d’Oise) a été victime d’une double tentative d’intrusion dans son système informatique. « Les attaques aujourd’hui sont permanentes. La question que vous devez vous poser n’est pas de savoir si vous allez être attaqués mais à quel moment cela va perforer », avertit Guillaume Crépin, à Enghien.
Le délégué de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en Île-de-France évoque les attaques visant tel hôpital ou entreprise, mais aussi celles « industrialisées, aveugles et automatisées » qui ciblent tout le monde : « Vous êtes reniflés par des robots en permanence qui regardent s’il n’y a pas un trou par lequel entrer. Malheureusement, un jour, vous allez prendre une attaque informatique. Le risque 0 n’existe pas. Il faut se préparer à la crise. »
« Plus rien ne fonctionne, comme lors d’un incendie »
La crise, Manutan, le groupe d’équipement aux entreprises et aux collectivités de Gonesse (Val-d’Oise), l’a prise de plein fouet un dimanche matin de février 2021. Cela commence par le système de badges qui ne répond plus, puis tout le reste. « Plus rien ne fonctionne, comme lors d’un incendie », rapporte Jérôme Marchandiau, directeur des opérations des systèmes d’information (DSI) du groupe.
« 2 200 personnes se retrouvent du jour au lendemain à ne plus pouvoir travailler. Tous nos serveurs Windows étaient crypto-lockés, et avec eux les baies de stockage qu’ils utilisaient. Sur nos 1200 serveurs, seuls 400 étaient intacts et les quelques très vieux serveurs qui fonctionnaient encore sous Windows 2000 et 2003. »
Il monte aussitôt une cellule de crise. « Au bout de dix jours et dix nuits, nous avions remis en production 80 % des serveurs. Les 20 % restants, les plus complexes, nous ont encore pris presque trois mois », ajoute le directeur des services des systèmes d’information de Manutan. Le groupe a gelé dix jours durant son activité commerciale qui ne reprendra pleinement qu’au mois de mai suivant. Manutan a décidé de ne pas payer de rançon mais de remonter un nouveau système informatique, ce qui a coûté plusieurs millions d’euros.
En 2021, 56 cas de rançongiciel dans la région
Au cours de cette année-là, l’Anssi avait enregistré en Île-de-France 643 évènements de sécurité (3 101 sur toute la France), dont 56 cas de rançongiciel (203 en France). Il y en avait eu 43 l’année précédente. Les principales victimes sont les petites entreprises, puis les administrations et les établissements d’enseignement supérieur.
Si les chiffres sont à la hausse, c’est parce qu’il existe « de plus en plus d’entreprises dont le fonds de commerce est de vendre des attaques informatiques », indique Guillaume Crépin. Elles commencent généralement par du phishing. Trois mois avant l’attaque de Manutan, un salarié avait ouvert une pièce jointe sur un mail, permettant l’installation d’un programme malveillant. Il reste ensuite aux pirates à se pencher sur la victime « perforée », voler des données, réclamer une rançon.
« C’est alors un tsunami » pour les victimes qui subissent « un impact vraiment fort », prolonge un responsable de Cybermalveillance.gouv qui assiste les victimes, évoquant le cas d’une entreprise qui commence à s’en sortir seulement maintenant, trois ans après les faits.
Des techniques d’espionnage
Depuis peu, les pirates tentent également d’obtenir des virements bancaires. « En quatre mois, trois clients ont été victimes de faux virements. Il y a eu 600 000 euros dans un cas, 300 000 euros dans un autre... », confie Alexandre Boury, de la société de conseil en cybersécurité, Antana.
« Les pirates étaient dans la boîte mail d’un cabinet de conseil parisien depuis l’été. Ils savaient que le dirigeant était dans l’avion pour quatre heures. Ils ont choisi ce moment pour s’emparer de son identité et mettre la pression sur l’assistante qui a fait dans l’urgence un virement de 350 000 euros. Ils savaient aussi comment le dirigeant travaillait, communiquait avec les consultants et son assistante, s’il l’appelle Caty ou Catherine... C’est du véritable espionnage, le résultat d’un travail de renseignement. Il y a eu aussi un cas ou les pirates ont raté leur coup parce qu’ils avaient vouvoyé l’assistante dans le mail. Ils ne savaient pas que le dirigeant la tutoyait. »
La rencontre organisée à Enghien avait surtout comme objectif de sensibiliser les dirigeants. « Identifiez ce qui vous réveille la nuit en sueur ! » ajoute Guillaume Crépon, encourageant les décideurs à désigner un référent à plein temps ou à élaborer une charte informatique.
Sensibiliser les salariés à ne pas cliquer sur n’importe quoi
Ce que va entreprendre le groupe Barrière, qui gère notamment le Grand Hôtel d’Enghien. « Une charte va renforcer l’idée de n’utiliser le matériel que pour l’usage professionnel, annonce la responsable DSI du groupe. Beaucoup d’incidents concernent des usages personnels. On a eu cette semaine un salarié qui a cliqué sur un mauvais mail. Il faut bien séparer les usages pro et perso et cela concerne tous les niveaux de l’entreprise, notamment les plus élevés. »
Le groupe lance donc des campagnes de phishing internes tous les trois mois en variant les scénarios pour sensibiliser les salariés à ne pas cliquer sur n’importe quoi. « Lors de la première campagne, nous avons eu 82 % de mauvais clic... Mais nous avons beaucoup progressé en sensibilisant nos dirigeants, les directeurs d’établissement, les ressources humaines... »
Sensibilisé, Olivier Carré l’était déjà avant de venir à Enghien pour la rencontre cyber. « Je suis éditeur de logiciel pour les entreprises. Si on se fait pirater, c’est dangereux ! » confie-t-il. Sa société de conseil, installée à Jouy-le-Moutier (Val-d’Oise), anticipe : « On prépare les sauvegardes en cas de crash. J’ai aujourd’hui deux ans de sauvegarde sous la main. C’est compliqué, c’est lourd, mais on n’a pas le choix. »
