Les cyberdélinquants progressent en Savoie Mont-Blanc, générant des interruptions d’activité et probablement des rançons. Le point avec Sébastien Salito, gérant d’Expinfo (4 salariés, à Voglans), expert en cybercriminalité. Interview.
Les cyberattaques sont-elles plus nombreuses ou simplement plus médiatisées ?
Malheureusement, une montée en puissance est à déplorer, depuis mars 2017 précisément. À cette époque, l’arsenal d’espionnage de la NSA a fuité sur Internet et il comportait un outil permettant de rentrer dans les systèmes. Des hackers malveillants l’ont modifié, recompilé, adapté, pour s’adonner au rançongiciel, à savoir chiffrer les données et demander une rançon en échange d’une clé de déchiffrement. Le premier groupe d’attaquants a gagné beaucoup d’argent et a donc été copié partout dans le monde. Les pirates activistes, ou les hackers simplement attirés par le défi, sont devenus marginaux. Et les groupes soutenus par les États pour faire du renseignement ne sont plus qu’une vingtaine aujourd’hui. Les intrusions se basent désormais à 99 % sur des motivations financières.
Est-ce que le territoire de Savoie Mont-Blanc est particulièrement visé ?
Pas vraiment. Nous sommes sur les mêmes proportions qu’au niveau national. L’accélération récente [ndlr : voir, ci-dessous, la frise des dernières cyberattaques connues dans les Savoie] est juste un effet de fluctuations et circonstances. Car, en réalité, le pirate ne sait pas ce qu’il attaque. Il scanne Internet à la recherche de vulnérabilités, de portes ouvertes, comme un voleur se promènerait dans la rue en quête d’une ouverture. Si les barrières sont conséquentes, il passe son chemin, sauf cas exceptionnel où il a ciblé un acteur particulier. Les PME, les petites administrations, les hôpitaux… font de plus en plus les frais de cette pratique quasi industrielle. De façon bien compréhensible, le directeur d’hôpital privilégie bien souvent l’achat d’un IRM plus perfectionné que prévu plutôt que celui d’un pare-feu. De même, les administrations en France ont un budget limité et investissent plutôt dans les outils de travail. Autant de victimes potentielles qui, en plus, cacheront le problème. Car se faire hacker revient à perdre la confiance des clients, à trimer au niveau commercial et marketing par la suite, à avoir la CNIL sur le dos si des données privées ont été dérobées. Les grands groupes médiatisent plus ces actes malveillants parce qu’ils y sont souvent obligés légalement.
Quelle attitude adopter en cas d’attaque ?
Deux cas de figure peuvent survenir. Soit la volonté de la victime est de remettre en état le système de production dans les plus brefs délais. Soit le but est de retrouver les coupables. C’est bien souvent la première solution qui prime. Et en voulant redémarrer rapidement, l’organisation attaquée détruit les preuves servant à enquêter sur les origines de la cyberattaque. Restent ceux qui choisissent de payer. Ce sont 25 % des entreprises victimes d’après les grands groupes internationaux de cybercriminalité. Je déconseille fortement cette option : sur ce quart d’entreprises qui font le pari et versent la somme – parfois pas plus de 10 000 ou 20 000 euros –, seulement 8 % récupèrent l’intégralité des données bloquées, d’après les mêmes sources. Les gens auxquels ils ont affaire n’ont pas de support technique ni de service client ! Par ailleurs, verser l’argent équivaut à se mettre une cible sur la tête et à être victime d’une autre cyberattaque dans les six mois qui suivent. Enfin, choisir cette voie revient à renforcer le monstre que nous combattons. J’ai applaudi le président de la communauté de communes Coeur de Maurienne – Arvan – la 3CMA – qui n’a même pas ouvert le mail du pirate pour une question de principe, lorsqu’ils ont été victimes d’un rançongiciel en janvier 2022, alors qu’il connaissait d’avance le coût de 300 000 euros provoqué par les deux mois d’interruption de tous les systèmes informatiques.
Comment se prémunir ou, au moins, réduire le risque ?
Les victimes médiatisées de ces dernières années avaient un niveau de défense peu élevé. Elles n’avaient pas mis en place les quarante-deux règles édictées pour tous les administrateurs systèmes et réseaux par l’ANSSI [ndlr : Agence nationale de la sécurité des systèmes informatiques], créatrice de documents clairs sur le sujet. Après son attaque, la 3CMA a désormais investi dans des défenses dignes d’une banque ! Il y a peut-être un juste milieu à trouver.
Concrètement, comment procédez-vous quand vous êtes sollicité par une entreprise ?
Les prestataires comme nous, Expinfo, estiment très vite le degré de défense approprié. Étant l’un des seuls acteurs en Savoie Mont-Blanc, nous travaillons beaucoup avec des TPE-PME pour qui chaque euro est compté. Nous recherchons donc les axes d’amélioration les plus prometteurs. Nous contrôlons 47 points de contrôle. La moitié d’entre eux sont techniques, parfois très simples, comme s’assurer que tous les ordinateurs ont des mises à jour installées et vont continuer de se mettre à jour, vérifier que chaque ordinateur dispose d’un antivirus, donner un outil de stockage de mots de passe à chaque salarié… L’autre moitié est organisationnelle, comme soumettre une check-list de départ aux RH pour chaque salarié qui s’en va, afin de récupérer l’ordinateur et le disque dur, de changer de mots de passe, de désactiver l’accès VPN… Nous recherchons le 20/80 : 20 % d’efforts supplémentaires pour accroître de 80 % les cyberdéfenses.
Et c’est efficace ?
Le risque zéro n’existe pas, mais nous renchérissons le coût d’une cyberattaque pour le pirate. Grands groupes et ETI, qui ont soit entendu les balles siffler, soit subi eux-mêmes des désagréments, ont pris conscience de la valeur que recèle leur informatique. Mais nous devons encore faire oeuvre de pédagogie avec les structures plus modestes. Je garde en mémoire cette blanchisserie de Savoie Mont-Blanc qui était déjà fragile et pour qui la cyberattaque a été le coup de grâce. Justement, octobre est le mois où l’ANSSI et cybermalveillance.gouv.fr organisent le Cybermoi/s, pour informer, prévenir et conseiller les entreprises et les particuliers.
Propos recueillis par Julien Tarby
Image à la une : DepositPhotos
0 commentaires