«Le Covid-19 doit nous servir de leçon face au risque numérique»

« Une cyberattaque ne durerait sans doute pas deux mois et demi, comme le Covid-19, mais dix jours. On s’en sortirait sans doute... Mais les conséquences économiques et sociales pourraient être bien plus violentes », explique le cyber expert Pierre Bessé

Pierre Bessé est le PDG et fondateur du groupe Bessé, un cabinet de conseil en courtage en assurance spécialisé dans le pilotage des risques pour les ETI et les grands groupes notamment du domaine de l’énergie, de l’agroalimentaire ou de l’automobile. Bessé emploie 760 collaborateurs. Pierre Bessé alerte : la pandémie doit nous servir de leçon et de préparation pour une menace tout aussi grave et potentiellement dévastatrice, la cyberattaque d’envergure.

Nous sortons à peine d’une période de confinement causée par une pandémie. Et selon vous, nous devons déjà être en alerte sur d’autres risques.

Le contexte de la pandémie a amplifié le risque de cyberattaques préexistant. Ce risque n’est pas né avec le Covid-19 et le confinement, il est présent depuis des années, mais il s’est accru avec le travail à distance et sa mise en œuvre dans la précipitation. Les entreprises se sont organisées dans l’urgence. Cela a fonctionné, mais a aussi fragilisé leurs infrastructures tech. Avec la pandémie, le monde a découvert et affronté un péril nouveau. On a dû arrêter l’économie planétaire, créer des pertes financières colossales dont on maîtrise mal encore le chiffrage. Et pourtant, des alertes existaient, que personne n’a vraiment écoutées et prises en compte. Pour les cyberattaques, on est exactement dans le même schéma. Les experts alertent, mais personne n’écoute.

Quelle est la réalité de la cybermenace sur nos économies ?

Le risque numérique, cela fait une dizaine d’années qu’il plane. Il s’est accéléré depuis 2017 et le surgissement de Wanna Cry et Petya, des malware qui ont infecté des régions entières. Ils ont, par exemple, causé 240 millions de pertes chez Saint-Gobain, paralysé Renault pendant plusieurs jours et bloqué le système informatique d’hôpitaux en Angleterre. Puis, la vie est revenue à la normale, le temps est passé. Et d’autres attaques ont eu lieu : depuis janvier 2019, on en a dénombré des dizaines, de tous ordres. L’attaque du réseau hydraulique en Israël. Celle de la société de services informatiques Altran qui a été arrêté 28 jours dans 34 pays, son système d’information bloqué, verrouillé de l’extérieur. La société Eurofins a enregistré 70 millions d’euros de pertes après une attaque ciblée par malware. Fleury Michon a vu son cloud pris d’assaut. Bouygues construction a subi une attaque en janvier dernier, elle a laissé 3 200 collaborateurs sans accès aux ressources numériques de l’entreprise. En avril, c’est la chaîne hôtelière Mariott qui a été piratée : 5,2 millions de données clients ont été volées, c’était la deuxième vague d’attaque sur le groupe. La semaine passée, chez Easyjet, des hackers ont siphonné les données de 9 millions de clients, ce qui va probablement valoir au groupe une class action à 20 milliards de dollars aux Etats Unis. Tous ces événements, qui se répètent, s’accélèrent, restent traités par les entreprises comme l’équivalent de la grippe saisonnière chez les humains, avec fatalisme. Pas plus que les gens qui en ont été malades ne se vaccinent préventivement l’année suivante en France contre la grippe qui fait pourtant des morts chaque année, les entreprises ne changent leurs pratiques après une attaque. Elles s’en sortent en dépensant beaucoup mais ne réagissent pas. Le quotidien reprend ses droits. En 2018, nous avons sondé les ETI : 70 % des entreprises reconnaissaient avoir été attaquées, mais seules 30 % en ont tiré des conséquences en investissant pour renforcer la robustesse de leur système ou la formation des équipes. Elles sont à la merci de la menace, bien plus sévère, d’une pandémie numérique.

« Les entreprises et les pouvoirs publics doivent acculturer tous les collaborateurs, et globalement toute la population, afin qu’ils adoptent la posture adaptée »

De quelle nature est la menace ?

Elle pourrait être globale, ou locale, cibler par exemple les réseaux d’eau ou d’électricité, ce sont des scénarios envisagés par les autorités. Elle pourrait venir d’un groupe terroriste, d’un Etat malfaisant. Une cyberattaque ne durerait sans doute pas deux mois et demi, comme le Covid-19, mais dix jours. On s’en sortirait sans doute... Mais les conséquences économiques et sociales pourraient être bien plus violentes que le Covid. Nous n’échapperons pas à un équivalent numérique du Covid-19 et nous devons vite nous servir de ce que nous avons appris pour y faire face. La 5G va accélérer sa survenue. Il y aura 25 milliards objets connectés en 2021 et, en 2029, probablement 150 milliards. Ce sont autant de portes d’entrées et de failles pour la propagation d’un virus.

Face à ce risque cyber, que faut-il faire ? Comment se préparer ?

Beaucoup de choses se font déjà, au niveau des Etats, mais il faut faire plus, accélérer la mise en place des procédures de réponse et de réaction. Il faut travailler sur des scénarios pour ne pas être démunis lorsque l’attaque surviendra. L’Etat doit vite construire des systèmes de protection et de résilience, comme c’est le cas pour les pandémies, les attentats terroristes. Des process à déployer en cas d’attaque. En France, l’Ansii, l’agence de sécurité informatique, mobilise de cercles de travail et de réflexion au niveau européen. L’écosystème maritime a créé des cellules, des initiatives multiples face à ce risque émergent. Mais les entreprises et les particuliers ne sont pas du tout dans le coup. Ils ignorent jusqu’à l’existence de la menace. Ils doivent apprendre à se protéger, à protéger leur écosystème numérique. Les entreprises et les pouvoirs publics doivent acculturer tous les collaborateurs, et globalement toute la population, afin qu’ils adoptent la posture adaptée. On a implanté dans notre culture, rapidement, la nécessité du port des masques et l’usage du gel hydroalcoolique ! La cybermenace doit être traitée de la même façon, d’autant que les failles sont, pour beaucoup identifiables (phishing, malware, ransomware). On pourrait mieux prévenir si on formait les populations à la prophylaxie numérique. Il faut ancrer des habitudes sanitaires face aux ordinateurs et aux objets connectés. Même les jeunes générations les ignorent.