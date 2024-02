Sébastien Viou, Stormshield : l’inflation des règlementations n’est pas la seule solution pour contrer les cyberattaques !

février 2024 par Marc Jacob

Dans son rapport annuel Global Risks Report , le Forum économique mondial classe le risque cyber au 5e rang des risques mondiaux pour 2024. Cela traduit une profonde prise de conscience des impacts générés par l’augmentation des cyberattaques, renforcées par des outils qui les rendent plus performantes et donc plus dévastatrices. Personne n’est épargné : des collectivités territoriales aux PME, en passant par les grands groupes, mais également les hôpitaux, fournisseurs d’eau et d’énergie et autres OIV (opérateurs d’importance vitale). Sébastien Viou, Directeur cybersécurité et management produits de Stormshield, fait le point sur la nécessaire amélioration du niveau de cybersécurité, surtout pour les PME. Pour lui, l’inflation des règlementations n’est pas la seule solution pour contrer les cyberattaques.}

Global Security Mag : Quel est l’état de la menace cyber en France ? Quels impacts sur notre économie ?

Sébastien Viou : En ce début d’année, l’état de la menace n’a pas changé par rapport au début de 2023. Les chiffres du CESIN (baromètre 2023 – enquête OpinionWay) montrent même que le nombre de cyberattaques est en baisse depuis 2020. Une décroissance peut être liée à la guerre en Ukraine, puisqu’une partie des cybercriminels semble s’être détournée des particuliers et des entreprises pour se consacrer à cette guerre. Toutefois, je note que dès qu’une vulnérabilité apparaît, elle est immédiatement exploitée, comme celle d’Ivanti par exemple. Par ailleurs, on rencontre une moins grande diversité des attaques : les cybercriminels utilisent les mêmes outils, qui sont quasi industrialisés maintenant.

Par contre, l’impact sur l’économie est notable. Toute attaque génère des conséquences plus ou moins graves selon la taille de l’entreprise, qui vont bien au-delà du coût de remise en route, avec parfois des pertes d’exploitation de plusieurs mois ou des pertes de données irréversibles. De ce fait, les attaques se terminent souvent par la fermeture des entreprises victimes. Selon l’ANSSI, environ 60% des PME attaquées déposeraient le bilan dans les mois qui suivent. Les grands groupes arrivent à s’en sortir grâce aux solutions de cybersécurité déployées, aux équipes internes de cybersécurité… et des règlementations imposées comme la LPM qui les a obligé à élever leur niveau de cybersécurité il y a 10 ans.

Pour les PME, chaque attaque est plus compliquée à gérer. Elles n’ont plus d’autre choix que de devoir se protéger. Selon moi, on ne peut pas opérer une transformation numérique sans prendre en compte la cybersécurité qui va avec, sous peine de disparaitre. Mais cette nouvelle situation induit des surcoûts que ces PME vont répercuter sur le prix de leurs services ou productions. Ainsi, l’une des conséquences économiques indirectes de ces cyberattaques est la création d’inflation. Et sans expert en interne, de plus en plus de PME se tournent vers des services de sécurité délégués, ce qui profite au secteur mais illustre bien sa pénurie de profils.

Pour conclure ce rapide panorama, n’oublions pas aussi les conséquences économiques des attaques étatiques ou de concurrents à des fins d’espionnage industriel, géopolitique ou encore juridique. Dernier exemple en date avec Sophie Vermeille, une avocate victime d’intrusions informatiques probablement en lien avec les dossiers chauds sur lesquelles elle travaille.

La prise en compte de ce risque cyber est un problème de gouvernance

Global Security Mag : Comment se prémunir de ce couperet qui plane au-dessus des institutions et entreprises, quel que soit la taille ou le secteur ?

Sébastien Viou : Tout d’abord, il faut vouloir le faire. La prise en compte de ce risque cyber reste un problème de gouvernance qui appartient avant tout aux dirigeants. Ensuite, tout est une question de budget ; puisqu’il faut pouvoir appliquer les bonnes pratiques de la cybersécurité, c’est-à-dire les mises à jour régulières, les sauvegardes réalisées et vérifiées, et mettre en place a minima un premier niveau de sécurisation avec des outils de protection de type firewall/antivirus/antispam… Pour cela, les PME doivent se faire accompagner par des prestataires informatiques qui les aideront à réduire le risque.

Global Security Mag : Pensez-vous que NIS2 soit un bon levier pour renforcer la cybersécurité en Europe ?

Sébastien Viou : Le marché doit s’adapter tout seul et il peut le faire plus vite que les lois. La France est assez bon élève, en avance même en matière de cybersécurité, et NIS2 est plutôt une directive visant à harmoniser les actions entre pays européens. In fine pour les entreprises, NIS2 vise surtout à élargir le nombre d’entreprises concernées mais cela ne changera rien pour la plupart des PME qui ne seront pas concernées. Ce n’est pas tant une loi qui changera les choses mais bien une volonté des dirigeants et une capacité à financer leur protection. Il est nécessaire que, pour une petite structure, l’équation économique soit tenable avant de contraindre par la loi.

Dans l’industrie, la notion de préférence nationale est peu utilisée en France et c’est regrettable

Global Security Mag : Le plan avec France 2030 en direction des entreprises est-il suffisant en termes de moyens ? Pensez-vous que la France se dote de suffisamment de moyens pour faire face à cette menace protéiforme et exponentielle ?

Sébastien Viou : Il est difficile de mesurer l’impact de ce plan, car il doit se mettre en œuvre sur le long terme et est très disséminé. Dans l’industrie, la notion de préférence nationale est peu utilisée en France et c’est regrettable, car elle l’est abondement outre-Atlantique, mais aussi chez nos voisins allemands, qui sont plus soucieux que nous pour protéger leurs acteurs locaux dans la cyber, en fléchant la commande publique vers ces acteurs. Agir ainsi serait un bon moyen de soutenir les entreprises françaises à moindre coût et défendre notre modèle sociétal. Dans notre cas, nous employons 100% de notre personnel R&D en France et nous développons des produits respectueux des standards de sécurité européens. Nous jouons notre rôle à fond !

Le risque le plus important concerne les attaques hybrides entre cyber et physique

Global Security Mag : À l’approche des Jeux olympiques, quels sont les cyber-risques les plus importants qui pèsent sur les JO 2024 ?

Sébastien Viou : À chaque édition des JO, on recense plusieurs milliards d’attaques. Ainsi, la volonté d’organiser les JO de Paris 2024 dans des endroits emblématiques est une idée forte pour les spectateurs, mais très complexe d’un point de vue de la sécurité. Quand vous allez avoir des foules de spectateurs le long des berges de la Seine, imaginez les différents points d’accès. Comment sécuriser tout ça ? Caméras de vidéosurveillance, portiques d’accès, bases de données pour voir qui a le droit de rentrer ou non en fonction des badges… Ajoutez à ça les retransmissions télévisuelles ; tout est numérisé et donc sujet à des cyberattaques potentielles. L’accroissement de la numérisation et de la dématérialisation laisse donc présager une augmentation du niveau de risque cyber pour les organisateurs. Ainsi, les cyberattaques peuvent (et se sont déjà matérialisées) sous différentes formes. Phishing ou spoofing envers les spectateurs et sportifs, mais aussi compromission des réseaux des stades, interception des flux Wifi/4G/5G pour les infrastructures et les équipements… les vecteurs d’attaques sont nombreux. Et les risques cyber également : piratage de la billetterie, des portiques, des retransmissions télévisées, attaques en déni de service (DDoS)... Nous surveillons actuellement l’évolution de nouveaux types d’attaques et nous sommes en relation avec les cyber-gendarmes pour travailler sur ce sujet. Le risque le plus important concerne les attaques hybrides, qui pourraient agir de façon concomitante entre le physique et le cyber...