Réflexions à partir d’un article du Monde du 4 décembre 2018 de Sophy Caulier titré « La cyberguerre est déclarée »

EN RÉSUMÉ : Seule une approche globale du système d’information peut garantir la cybersécurité des entreprises mais cela ne suffit pas car le diable est dans le détail d’exécution des processus, tous les processus, pas uniquement ceux directement liés à la sécurité informatique. Ce n’est pas parce qu’on a résisté jusqu’ici qu’on est prémuni contre la prochaine attaque, c’est valable pour les petites et grandes entreprises qui, dans leur grande majorité, y sont peu ou mal préparées.

Début décembre 2018, Le Monde publiait un article très intéressant de Sophy Caulier titré « La cyberguerre est déclarée ». J’encourage les lecteurs de ce blog à lire cet article, réservé aux abonnés du Monde. Je peux faire parvenir le texte à ceux qui ne sont pas abonnés au Monde et qui me le demanderaient. Les commentaires ci-dessous ne nécessitent pas d’avoir lu l’article en question mais sont inspirés par sa lecture. Dans le texte de Sophy Caulier, à côté des réflexions sur les états et les gouvernements, l’exemple de l’attaque informatique de juin 2017 contre le Groupe Saint-Gobain est mis en avant. Ayant vécu l’histoire de l’intérieur, c’est pour moi un prétexte à alerter TOUTES les entreprises, PETITES et GRANDES, des dangers d’une prise en compte insuffisante de la sécurité informatique et de proposer une approche globale et quelques points d’attention.

LE VIRUS NOTPETYA MET L’INFORMATIQUE DE SAINT-GOBAIN PAR TERRE

Le 27 juin 2017 vers midi et demi, le virus NotPetya s’est introduit dans une ex-filiale ukrainienne du Groupe Saint-Gobain. En fin d’après-midi le même jour, il n’y avait plus aucune informatique opérationnelle : Le réseau WAN avait été coupé en ses nœuds principaux pour éviter une contagion complète du virus dans les plus de 60 pays où le groupe était présent, des milliers de serveurs et des dizaines de milliers de PC étaient cryptés et inutilisables. Pour un groupe industriel et de distribution de 180 000 personnes s’appuyant naturellement fortement sur l’informatique, cela signifiait ne plus savoir ce qu’il fallait fabriquer dans les usines, ne plus savoir où livrer les produits, ne plus pouvoir prendre de commandes, avoir perdu la visibilité sur ses finances, ses comptes et avoir des milliers de collaborateurs désœuvrés.

ET POURTANT WANNACRY N’AVAIT PAS FAIT DE DÉGÂTS

Pourtant, quelques semaines auparavant, l’attaque massive WannaCry qui avait frappé durement de nombreux autres grands groupes, était passée quasiment inaperçue au sein de Saint-Gobain, permettant de chaleureuses autocongratulations internes quant à la qualité de la sécurité informatique.

Las ! Le diable est dans le détail !! Dans le détail d’exécution notamment. En matière de cybersécurité, on peut être parfaitement protégé contre les crochets du droit et crochets du gauche mais être mis KO au premier uppercut qui, lui, est passé par en-dessous. De plus, on peut avoir du mal à se relever : Une architecture informatique intrinsèquement fragile, des process mal maîtrisés car non-exécutés conformément à ce qu’ils devraient être peuvent compliquer encore un peu plus la situation pour tout restaurer.

UN SACRÉ IMPACT

L’article du Monde cite dans son infographie les chiffres suivants mesurant l’impact : 80 millions d’Euros au niveau du résultat d’exploitation et un retour à la normale le 10 juillet, soit 13 jours après l’attaque. Il s’agit de là d’une communication officielle du Groupe… même en les prenant comme tels, l’impact d’un seul petit virus pénétrant un réseau d’entreprise quelque part en Ukraine fut considérable. Et dans cette affaire, le Groupe Saint-Gobain n’était pas visé, il n’était en la circonstance qu’une victime collatérale de la cyberguerre entre la Russie et l’Ukraine.

Heureusement, le Groupe Saint-Gobain avait les reins solides pour encaisser un tel choc, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) lui a aussi apporté une aide qui s’est avérée décisive pendant cette période, les collaborateurs, fournisseurs et prestataires se sont totalement mobilisés pour sauver l’entreprise et mener une véritable RECONSTRUCTION de l’informatique et au final, très peu de données ont été perdues (le virus aurait pu être encore plus méchant…). Et tout s’est bien fini.

QUE FAUT-IL EN RETENIR ?

Si vous êtes un dirigeant d’entreprise, que retenir de cette affaire ?

  1. Ce n’est pas parce que l’on a résisté jusque là aux cyberattaques que l’on est protégé contre la prochaine.
  2. Ce n’est pas parce que l’on est « insignifiant » dans la bagarre politico-économique mondiale qu’on peut espérer passer entre les gouttes, on voit tous les jours des victimes collatérales.
  3. L’architecture informatique est un élément structurant de cette sécurité. Monsieur Jean de La Fontaine a rédigé une fable prémonitoire à ce sujet, intitulée « Le chêne et le roseau ».
  4. Les processus d’exécution des opérations informatiques (des sauvegardes aux restaurations, de la mise à jour des mots de passe à la hiérarchie des autorisations d’accès aux données, notamment les autorisations des informaticiens, etc.) sont clefs pour la sécurité.
  5. Tout cela demande des moyens : Saint-Gobain consacre désormais, d’après l’infographie du Monde, 15% de son budget informatique à la sécurité, c’était beaucoup moins avant l’attaque.
  6. Mieux vaut mettre cet argent avant l’attaque fatale qu’après : Toutes les entreprises n’auront pas les reins assez solides pour se relever et toutes ne bénéficieront pas de l’aide exceptionnelle de l’ANSSI (au passage, chapeau bas devant les experts de l’ANSSI).
  7. Enfin, il faut tester son dispositif et le faire régulièrement. Cela contribuera à la sensibilisation de toute l’entreprise et permettra d’améliorer les modalités d’exécution. Parmi les scénarios à tester, il faut préparer le pire d’entre eux, le scénario sans informatique. Tous ces tests sont coûteux en temps, difficiles à exécuter mais indispensables.

La France et tout particulièrement ses TPE, PME et ETI est très mal préparée à ces menaces : Parmi les grands pays européens, la France est au dernier rang (chiffres 2015) pour la formalisation d’une politique de sécurité informatique. Pire, 86% des entreprises sont plutôt mal ou pas du tout préparées en matière de cybersécurité (enquête APEC 2016 auprès des informaticiens).

Il ne suffit pas d’avoir des experts de la sécurité informatique (il en faut néanmoins !!) pour être protégé efficacement. Il faut voir l’entreprise comme un être vivant au milieu de la jungle. Il ne suffit pas d’être protégé contre les crises d’épilepsie pour y survivre, c’est tout le corps qui participe à la survie dans un milieu hostile, les yeux et l’ouïe pour détecter les zones dangereuses, la peau, épaisse si possible, pour ne pas saigner à la première griffure, les muscles pour agir et réagir, le cerveau pour tout coordonner.

LE DANGER CROIT ET EST PARTOUT, MÊME LÀ OÙ ON NE L’ATTEND PAS

Cette réflexion il faut la mener en amont, à froid mais de façon urgente car chaque jour, le risque augmente un peu plus ce qu’illustre l’exemple ci-dessous.

Et pourquoi ce titre à cet article de blog ? « Cybersécurité : Méfiez-vous-même de vos poissons rouges ! »

Le Monde cite Michel Van Den Berghe, directeur général d’Orange Cyberdéfense. « Les utilisateurs n’ont pas encore mesuré les risques que représentent les objets connectés. Un pirate a mené une cyberattaque contre un casino. Il est entré dans le système informatique par le thermomètre de l’aquarium du hall d’entrée, qui était connecté au système pour afficher la température sur un écran…»

Encore une fois, le diable est dans le détail ! On innove (c’est parfait), on digito-transforme l’entreprise (il faut le faire) mais ce faisant, on introduit des failles, on oublie de modifier des process qui étaient parfaits pour la « vieille » informatique mais peuvent s’avérer dangereux pour la nouvelle…

L’exercice est difficile, il faut à la fois la vision globale et le sens du détail (et quelques sous, du temps et des ressources, compétentes de surcroit) mais c’est le prix de la survie dans le monde de la cyberguerre.

Méditez sur le poisson « rouge » de la photo, malgré son sourire, sa scie pourrait bien vous couper tout accès à votre informatique…

Laisser un commentaire

En déposant un commentaire, vous acceptez notre politique de données personnelles.

Partagez
Tweetez
Partagez