Cet article a été écrit par Aude Leroy, spécialiste des questions de défense et de sécurité. Il est issu du n°55 des Cahiers de la sécurité et de la justice.
Au téléphone, la voix est surprise et un peu inquiète. C’est celle d’une cheffe d’une petite entreprise dont les serveurs ont été piratés fin juillet, à la veille d’un week-end. C’était un samedi, veille de départs en grandes vacances…
« Un de mes associés découvre, en venant terminer de traiter quelques dossiers, que tout était crypté. Arrive une demande de rançon par un interlocuteur, curieusement, extrêmement poli… On avait un peu plus de vingt heures pour payer les 5 000 euros de rançon », se souvient cette cheffe d’entreprise. « Pour nous c’était une somme énorme », ajoute-t-elle. Et c’est le début de l’angoisse pour des néophytes d’Internet : « Vient tout de suite la question : on paye cette rançon mais est-ce qu’on va tout récupérer ? Et puis on était complètement désarçonnés, on n’imaginait pas que nous, salariés d’une petite entreprise, puissions être attaqués par un rançongiciel… » Avec à la clé, trois jours d’arrêt total des activités de l’entreprise. Et la brutale prise de conscience que tout peut s’arrêter du jour au lendemain, tant pour la société qui pourrait être mise en liquidation que pour ses salariés.
Le témoignage, inédit dans la presse française en cette fin 2016, était volontairement anonyme, car la réputation de la société était en jeu. Mais il y avait aussi la sidération et… la honte. Un sentiment très souvent partagé par les victimes de rançongiciels ou d’arnaques en ligne.
En dépit des conseils de la gendarmerie de ne pas payer la rançon, l’équipe de direction se lance, avec difficultés, dans l’achat de 8 bitcoins (soit 5 000 euros à l’époque). Avec le recul, la cheffe d’entreprise ne regrette pas d’avoir payé la rançon qui a, pour une fois, permis de récupérer une partie des données. Mais c’est extrêmement rare. Bien souvent, la rançon est versée, les pirates disparaissent et les entreprises se retrouvent le bec dans l’eau, à tout reconstruire.
Depuis, la PME a investi dans de réguliers audits de sécurité informatique et la formation de ses salariés. « Un investissement onéreux mais indispensable », conclut la cheffe d’entreprise. Elle a fait partie des premières cibles des rançongiciels.
Le problème, c’est que cette « vieille » histoire est toujours plus d’actualité en ce début d’année 2022. Selon la première étude publiée en novembre 2021 par le Service statistique ministériel de la sécurité intérieure (SSMSI), enquête qui porte sur les attaques par rançongiciel envers les entreprises et les institutions, le nombre de procédures en lien avec ce type d’assaut a augmenté, en moyenne, de 3 % par an jusqu’en 2019 puis a accéléré en 2019 et 2020 à… 32 %. Avec une prédilection pour le secteur industriel, qui représente 15 % des victimes contre 7 % du tissu économique français.
Les autorités incitent à ne pas payer les rançons, pour couper les pirates dans leur élan. Seulement, leur discours se perd dans les limbes puisque, d’après Europol, leur paiement a augmenté de 300 % entre 2019 et 2020…
Plus globalement, le nombre de victimes de cyberattaques toutes confondues a été multiplié par 4 depuis 2019, selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI)
Si les grandes sociétés françaises ont, petit à petit, investi dans la protection de leurs systèmes informatiques, le secteur des TPE, ETI et PME reste, selon Guillaume Poupard, le patron de l’ANSSI (qui s’exprimait en ouverture des Assises de la sécurité en octobre 2021 à Monaco) la cible prioritaire, « l’angle mort », le talon d’Achille. Très peu concernés par la menace cyber, comme le montre l’exemple de la cheffe d’entreprise plus haut, ces sous-traitants délaissent leur sécurité informatique. Lors d’un reportage au marché de Rungis, un entrepreneur, très au fait du dossier, me racontait, effaré, l’ignorance et la méconnaissance du problème, mais aussi les difficultés à faire comprendre à ses comparses l’ampleur du danger. Imaginez que le « ventre de Paris » (près de 1 200 entreprises, plus de 12 000 salariés pour un chiffre d’affaires annuel cumulé de presque 10 milliards d’euros) soit totalement paralysé par une cyberattaque… À la catastrophe économique, s’ajoute le risque de « famine » parisienne. Au moins pour quelque temps.
Ces chiffres sont assez perturbants. Tout d’abord, la question de l’information et de l’éducation des Français sur les dangers et menaces du monde virtuel se pose : pourquoi un tel décalage, aussi long ? Il faut être honnête et se rappeler qu’éduquer prend du temps : l’obligation du port de la ceinture de sécurité dans les voitures a été longue à s’installer comme réflexe. En revanche, aujourd’hui, si vous commencez à rouler sans l’avoir bouclée, vos enfants vous rappellent vivement à l’ordre… Oui mais, quand même : de nombreux organismes ont vu le jour ces dernières années pour prévenir, aider à anticiper, alerter, remédier. Les messages de l’ANSSI n’ont que peu d’échos dans la population. Les ministres successifs du Numérique s’agitent et agissent mais leurs actions n’atteignent que peu de citoyens. Ou alors à la vitesse d’un escargot. Il y a ensuite eu des créations d’organismes. Lancée en octobre 2017, rénovée en février 2021, la plateforme www.cybermalveillance.gouv.fr, chapeautée par le Groupement d’intérêt public Action contre la cybermalveillance (GIP ACYMA), aide les victimes de sabotages, rançongiciels, escroqueries, arnaques bancaires, vols de données… En 2020, sa fréquentation a augmenté de 300 % par rapport à l’année précédente, avec 105 000 demandes d’assistances. Le nombre de visiteurs uniques croît également : ils étaient 460 000 en 2019, 1,2 million en 2020 et déjà plus de 2 millions en 2021. Sa seconde casquette est focalisée sur la prévention du risque numérique. En 2020, le dispositif a débuté un programme de sensibilisation des élus sur ce thème. Son action s’adresse aussi aux plus jeunes, via la diffusion du jeu « les Incollables » dédié.
Beaucoup plus discrète, la direction du Renseignement et de la Sécurité de la défense (DRSD) sort de sa réserve légendaire, en conviant une huitaine de journalistes seulement en mars 2021 pour faire connaître ses actions de contre-ingérence économique et de prévention auprès des entreprises liées à la défense. Forte de son maillage territorial, le DRSE entend prendre toute sa part et toute sa place dans la lutte contre la cyber. En aidant le tissu économique régional à développer sa résilience.
C’est vrai que l’exécutif n’a pris que très récemment (environ une dizaine d’années ?) conscience des dégâts des cyberattaques, ce qui peut expliquer la lenteur de la diffusion de l’information auprès des citoyens. Le 18 février 2021, le président de la République déclarait, à propos de la menace cybernétique, qu’elle était « extrêmement sérieuse, parfois vitale et touchait tous les secteurs ». Et le chef de l’État d’annoncer débloquer une enveloppe d’un milliard d’euros d’ici à 2025 pour renforcer la cybersécurité du pays. Cette somme doit être ventilée notamment entre projets de R & D, formations ou encore le Campus Cyber.
Un mouvement se dessine, un peu trop lentement peut-être, mais il a le mérite d’exister. Le handicap numéro 1 du secteur, c’est qu’il est totalement éclaté, morcelé. Chacun développe sa cybersécurité de son côté. Il y a bien sûr l’ouverture début 2022 du Cyber Campus, à la Défense où vont cohabiter tous les acteurs du domaine, des entreprises de tout type aux chercheurs et universitaires, en passant par les services de l’État, les organismes de formation ou encore les associations. L’objectif commun affiché est celui de fédérer cette communauté et de développer les synergies entre tous ces acteurs, comme par exemple un observatoire français de la cybersécurité.
Le projet est séduisant. Reste à observer son déploiement et surtout ses effets concrets. Se pourrait-il enfin qu’un tel dispositif ne soit pas englué dans les fameuses tracasseries administratives françaises et les réticences de certains « à y aller » ? Et se pourrait-il que ce Campus Cyber soit le lieu d’un foisonnement inédit de performances et de concrétisations rapides communes, en gommant au maximum les prés carrés ?
Franchement, il faut l’espérer, car dans le cadre de la présidence française de l’Union européenne, qui plus est amputée par la période de réserve liée à la tenue de l’élection présidentielle française, il est urgent de réveiller les consciences des citoyens français, mais aussi d’amorcer la mise à niveau entre pays européens et d’obtenir plus d’opérateurs régulés… Les disparités sont encore bien trop fortes mais il y a déjà le projet de mettre en place un mécanisme de solidarité européenne