4 millions d’euros. C’est le coût moyen d’une cyberattaque en 2022, selon un rapport d’IBM. En France, neuf entreprises sur 10 ont été victimes de cybermalveillance. « Pourtant, la perception de la menace reste encore très sous-estimée, alors que celle-ci est amenée à monter en puissance », souligne le Medef, qui a donc décidé de consacrer sa 10e REFNum à la cybersécurité.
S’il y a eu une diminution des tentatives d’intrusions, elles ont aujourd’hui changé de cible et visent de plus en plus les entreprises. « On voit que se protéger fonctionne, qu’il est plus compliqué pour les pirates d’attaquer nos grandes entreprises. La mauvaise nouvelle, c’est que les pirates se déportent vers de plus petites entreprises », souligne en introduction Michel Van Den Berghe, président du Campus Cyber. « Les chiffres font froid dans le dos. Les attaques visant les PME ont été multipliées par quatre. Une PME sur deux qui subit une attaque et ne paye pas la rançon dépose le bilan dans les 18 mois », ajoute-t-il, précisant que ces structures n’ont pas forcément les moyens de se protéger.
Différentes formes de cyberattaques
Les attaques peuvent prendre différentes formes, notamment celle du ransomware. Ces attaques ne sont pas forcément ciblées. Concrètement, le pirate lance une grande campagne sur toutes les adresses IP qu’il trouve, ou bien exploite une nouvelle faille et les entreprises qui ne sont pas protégées tombent dans les mailles de son filet. « C’est comme pour un cambriolage, si le voleur fait face à un système de sécurité trop complexe, il s’attaque à la maison d’à côté », illustre le président du Campus Cyber.
Une autre attaque consiste à rendre un site web indisponible en le saturant de requêtes. Appelée DDoS, c’est celle-ci qui a touché l’Assemblée nationale et a rendu son site inaccessible durant quelques heures, le 27 mars (lire encadré). Elle a été revendiquée par un groupe de cybercriminels pro-russes. « Dans ce cas, le but n’est pas de récupérer de l’argent, mais d’empêcher un organe étatique de fonctionner », explique Michel Van Den Berghe.
Le Campus Cyber sur le front
C’est justement pour aider les entreprises à lutter contre ce fléau que le Campus Cyber a été créé. « Notre but, c’est de faire travailler les gens ensemble pour inverser la tendance. Il faut avouer qu’aujourd’hui, les pirates sont meilleurs que nous et il est préférable d’agréger nos forces plutôt que de se débrouiller chacun de son côté », estime le président du campus.
En matière de sensibilisation, cette entreprise s’efforce de mettre l’accent sur la dépendance des entreprises au numérique. « Pour les dirigeants, le numérique c’est immatériel, ils sont rentrés petit à petit dedans. Le vrai danger, c’est qu’ils ne savent pas faire fonctionner leur entreprise sans. Il faut les sensibiliser sur le fait qu’il y a des attaques, mais aussi et surtout que les données sont stockées sur des serveurs bien réels, qu’il faut protéger tout cela et prévoir le pire », ajoute-t-il, précisant qu’il faut aussi sensibiliser sur la valeur des données. Une donnée médicale sur le dark web vaut par exemple 50 fois plus chère qu’une donnée bancaire (350 euros pour un dossier patient).
Les dirigeants veulent des solutions
Aujourd’hui, un quart des entreprises considèrent le risque cyber inexistant. Cette proportion était de trois quarts il y a trois ans. En outre, trois entreprises sur quatre estiment aujourd’hui ne pas pouvoir faire face à une attaque. S’il y a donc encore un peu de travail de sensibilisation à effectuer, la problématique est aujourd’hui plus large. « La prise de conscience est faite. Aujourd’hui, les dirigeants veulent des solutions », souligne Michel Van Den Berghe, qui s’est donné pour mission de proposer les solutions les plus simples possibles aux entrepreneurs, grâce au millier d’experts venant travailler chaque jour sur le Campus Cyber. Un travail est notamment mené avec le Gouvernement autour du “bouclier cyber“, pour protéger la supply chain des grandes entreprises et permettre d’avoir accès à une expertise. On trouve également, de manière plus pratique, le CyberScore, pour noter les plateformes en matière de cybersécurité.
Un travail devra aussi être mené en termes de formation et d’attractivité. Michel Van Den Berghe estime qu’au-delà des ingénieurs, c’est de techniciens cyber dont manque la filière. Mais reste le problème de l’attractivité. « Aujourd’hui, les jeunes n’ont pas envie de nous rejoindre. Il faut rendre la profession attractive, créer des rôles modèles », conclut-t-il. Une série est notamment en préparation en lien avec le campus, pour permettre d’améliorer l’image de la profession.
L’Assemblée nationale, cible d’une attaque informatique
Le 27 mars, le site internet de l’Assemblée nationale a été la cible d’une affluence majeure de requêtes qui a conduit les services informatiques à des opérations de maintenance. L’origine de cette action coordonnée reste indéterminée.
Selon l’Assemblée nationale, « L’incidence est restée circonscrite à l’accès au site et n’a eu pas de conséquences sur le fonctionnement de l’Assemblée nationale. (…) Les équipes informatiques ont été pleinement mobilisées pour faire cesser l’attaque et le site a pu être rétabli à 16h50. »
Comme le déclare Yaël Braun-Pivet, présidente de l’Assemblée nationale : « Il est intolérable que le site d’une institution garantissant l’accès à des informations publiques et à la transparence des débats soit l’objet d’une action malveillante. Je condamne fermement toute attaque contre l’institution ».
