Les entreprises, à l’exception des quelques grandes, sont très mal préparées pour faire face aux attaques numériques. Or avec l’intelligence artificielle et l’informatique quantique, le danger ne va faire que grandir. Le point avec Quentin Laffeach, expert en prévention cybersécurité, et Pauline Ducoin, avocate spécialisée dans le numérique.

« J’allume mon petit boîtier et, hop ! c’est le numéro de Domitille [la responsable communication du Medef 74, NDLR] qui s’affiche quand j’appelle sur le portable de Laurent [le délégué de Digital League en Savoie Mont-Blanc, NDLR]. Et pourtant, Domitille n’a pas touché son téléphone… »

En une courte démonstration, Quentin Laffeach, le créateur de la société Qlaf.tech (Bogève), a permis au public présent lors de l’après-midi de sensibilisation à la cybersécurité proposé, mardi 4 juin, par les deux organisations, de mieux réaliser qu’aujourd’hui la cybermalveillance était à la portée de tous, ou presque.

Les équipements à disposition sont multiples : outils pour usurper les numéros de téléphone donc, mais aussi boîtier pour trouver en quelques secondes vos codes d’accès à quatre chiffres, souvent requis sur les applis des smartphones.

“Les attaques sont de plus en plus subtiles”

Quentin Laffeach

« La clé USB, c’est comme la brosse à dents ! »

Ou bien aussi faux réseaux wifi dont le nom ressemble à s’y méprendre au réseau public d’un hôtel ou restaurant. Ou encore clefs USB contenant un logiciel malveillant : la technique est antédiluvienne sur la frise chronologique de la cybersécurité, et pourtant elle fonctionne toujours.

Parce que certaines personnes introduisent encore des clefs extérieures dans leur système informatique, « alors qu’une clef USB, c’est comme une brosse à dents : on n’utilise que la sienne et on ne la prête pas », sourit Quentin Laffeach. Ou, plus sournoisement, parce que les postes (ordinateurs mais aussi caisses des magasins, par exemple) présentent parfois des ports USB accessibles : en moins d’une minute, ni vu ni connu, un individu malveillant peut injecter un programme néfaste dans votre système…

Face à ces risques, les premiers conseils de ce spécialiste en prévention “cyber” sont basiques : “blinder” ses mots de passe et en utiliser un différent par site ou appli ; bien vérifier, avant de cliquer, les adresses de liens vers lesquelles un site ou un message vous renvoie ; bien faire les mises à jour système ; s’assurer de sauvegardes sécurisées régulières de ses données…

14 M€ : c’est le préjudice financier des 1 400 attaques informatiques recensées par la gendarmerie de Haute-Savoie en deux ans. Plus de 3 M€ ont pu être récupérés, « mais pour cela, il faut agir vite », insiste l’institution. Problème : souvent par crainte des retombées en termes d’image, la grande majorité des attaques demeurent non déclarées… donc non combattues.

Former et sensibiliser

En 2024, nous en sommes encore à devoir répéter ces règles basiques ? « Oh que oui ! encore plus dans les TPE-PME et chez les indépendants, où personne ne se soucie de prévention en cybersécurité », soupire Quentin Laffeach. Pourtant, proportionnellement, le risque n’est pas moins important dans une petite structure : « J’ai vu le cas d’un boucher qui, ne pouvant plus utiliser son logiciel d’étiquetage réglementaire… n’avait tout simplement plus le droit de vendre sa marchandise. »

Sensibiliser les dirigeants, mais aussi les salariés, demeure donc une nécessité. « Mais ça marche ! », insiste ce directeur des systèmes d’information d’un important promoteur haut-savoyard, venu assister aux conférences.

« Lors de ma prise de fonction, j’ai lancé des tests de hameçonnage via de faux mails. Ce qui marche le mieux, ce sont les messages sur de prétendues infractions routières. Mais nous avons aussi utilisé des messages à propos d’un prochain changement de matériel, ou encore des demandes sur les allergies alimentaires en vue d’un hypothétique séminaire. »

La situation va empirer

À chaque fois, des détails auraient dû alerter la personne recevant le faux message. Et pourtant : plus d’une sur deux a cliqué sur le lien proposé ! Mais un an plus tard, à force de sessions de formation/sensibilisation – et sans autre investissement –, une nouvelle opération test a mis en évidence un risque (taux de clics) divisé par dix. Il y a donc des voies de progrès, et pas forcément onéreuses.

Pour autant, même si la sensibilisation fait d’immenses progrès, la situation semble devoir empirer. Pour au moins trois raisons. D’abord, la multiplication des objets connectés (du smartphone à la voiture, de l’ordinateur à la vidéo-surveillance) et l’interpénétration croissante des utilisations professionnelles et personnelles des outils risque de multiplier les “portes d’entrée” aux pirates.

Ensuite, souligne Quentin Laffeach : « L’intelligence artificielle est en train de décupler les moyens des attaquants tout en leur faisant gagner beaucoup de temps. Les attaques sont de plus en plus subtiles, avec une meilleure rédaction, pas de fautes d’orthographe… Donc elles sont moins facilement repérables par le salarié lambda. »

Enfin, « l’informatique quantique va bientôt offrir aux cyberdélinquants des moyens technologiques sans commune mesure avec ceux d’aujourd’hui, par exemple pour le craquage des codes… » Bienvenue dans le monde connecté.

Conséquences multiples

« Une attaque génère de multiples conséquences, humaines et financières », a rappelé, le 4 juin, Pauline Ducoin, avocate spécialiste du numérique au sein du cabinet lyonnais Cornet-Vincent-Segurel.

« Lors d’une attaque, il faut mobiliser des moyens internes – qui, normalement, feraient autre chose – ainsi que des équipes externes, ce qui a un coût. L’attaque génère une baisse voire un arrêt de la production. Il y a de potentielles conséquences sur des tiers (fournisseurs, clients, salariés…) en fonction des données dérobées. Et il y a le risque de sanctions : réglementaires (autorités françaises et européennes), si les mesures obligatoires n’ont pas été prises en amont ; mais aussi publiques (image, réputation). »

Alors a minima, selon l’avocate : « Il faut se demander, avant qu’elle ne survienne, quel type d’attaque peut frapper l’entreprise et avec quelles conséquences ? Qui seront alors les personnes à appeler en urgence (prestataires, autorités…), puis comment faudra-t-il communiquer vers l’extérieur (clients, grand public…) ? »

Retrouvez l’intégralité de cet article dans notre magazine ECO Savoie Mont Blanc du 14 juin 2024 >>

Éric Renevier