cesin - cesin - spÉcial...président du cesin, le club des experts de la sécurité de...
TRANSCRIPT
entre 50 et 80 milliards d’ici à 2020.Autant de portes et fenêtres laisséesà l’appétit des pirates…
Méthodologie, analyse des risquesAlors, que faire ? « Mettre en mouve-ment toute l’entreprise autour du ris-que cyber », insiste Fabien Capar-ros, bien au-delà des simples outils numériques. » L’expert préconise d’« intégrer dans la stratégie de cha-que entreprise, le risque cyber au même titre que les autres grands ris-ques systémiques. »
Méthodologie, analyse des ris-ques, etc. Une démarche que l’Anssia consolidée, en collaboration avec l’Amrae, l’Association pour le management des risques et des assurances de l’entreprise, autour de quatre grands piliers qu’elle met-tra bientôt à la disposition des entreprises, au travers d’un guide pratique que l’agence dévoilera au prochain Forum Ferma, Federationof European Risk Management Associations, qui se tiendra à Berlindu 17 au 20 novembre 2019. Nom decette nouvelle bible que vont s’arra-cher tous les RSSI : « Maîtrise du ris-que numérique, l’atout confiance. »A se procurer dare-dare. n
pas par eux ! Que leur société n’est passuffisamment attractive pour que des hackers s’y intéressent… Que leur répondons-nous ? Qu’ils se trompent, bien sûr ! Qu’avec le digital, le tissu éco-nomique est de plus en plus intercon-necté, et que cela va donc, tôt ou tard, leur arriver. Que s’ils travaillent déjà par exemple avec une société du CAC 40, ils seront peut-être un jour le chevalde Troie qu’auront trouvé les pirates pour atteindre leur donneur d’ordre. Gare alors aux dommages collaté-raux ! Mais, c’est comme si certains devaient encore se brûler pour com-prendre la nécessité d’être couvert con-tre le risque cyber et gérer le risque pardes mesures simples (mots de passe, pièces jointes…). Ainsi, seulement de 30 à 40 % des PME et des ETI ont aujourd’hui souscrit à une assurance cyber alors que les conditions actuellessont encore très favorables aux entre-
les entreprises le jour où… Si malheu-reusement ce jour advenait bel et bien.
Et demain ? Les entreprisesn’auront sans doute plus le choix… Dela même manière qu’il faut désormaisfaire signer à ses fournisseurs des chartes de bonne conduite sur les droits humains et environnementaux,il est fort à parier que les entreprises françaises et européennes devront aussi bientôt faire signer une attesta-tion de prise en charge du risque cyberà leurs sous-traitants et fournisseurs, comme c’est déjà l’usage aux Etats-Unis. Une exigence qui s’imposera, il en est toujours ainsi, par la contrainte réglementaire, mais avant tout par lesdonneurs d’ordre qui l’exigeront ! Un processus inéluctable que les assu-reurs accompagneront, car il leur per-mettra aussi de gérer leurs risques et de se protéger. » — Propos recueillis par E. T.-A.
« La sécurité informatique n’est pas encore assez prise en compte en dehors des grands groupes »
« Aujourd’hui, les PME et les ETI sont en retard sur la prise en compte du ris-que cyber. Là où, poussées par la crainte des actionnaires vigilants de perdre de la valeur, et l’exemple est venu des Etats-Unis, les grandes entre-prises ont d’ores et déjà souscrit à des polices spécifiques. Pourquoi pareil retard ? Parce que, même s’ils ne l’ignorent plus, certains dirigeants nous disent qu’ils ne comprennent pasencore ce risque, ils peinent à en mesu-rer les impacts réels sur leur entre-prise. Que nous disent-ils quand nous les rencontrons ? Que cela ne passera
Agnès Bonnet, directrice responsabilité civileet spécialiste des questions cyber chez Verlingue, courtier en assurances spécialisé dans la protec-tion des entreprises.
Agnès Bonnet : « Seulement de 30 à 40 % des PME et des ETI ont aujourd’hui souscrit à une assurance cyber. » Photo Franck Betermin
d’entrée privilégié des attaques. Comprendre : aujourd’hui, toute la chaine de valeur est menacée, des sous-traitants aux fournisseurs. ETI et PME, attention ! « Que ce soit dans le cadre de la numérisation de lasupply chain ou de l’arrivée massive des ioT, toutes les technologies de ruptures avancent avec leur lot de vulnérabilités, qu’il convient de sécu-riser », confirme Fabien Caparros, chef de la division management de la sécurité numérique à l’Anssi, l’Agence nationale de la sécurité dessystèmes d’information.
Selon l’Idate, il y aurait ainsi déjàprès de 15 milliards d’objets connec-tés en circulation dans le monde. Un volume qui pourrait osciller
numérique », la DMISC, la déléga-tion ministérielle aux industries desécurité et à la lutte contre les cybermenaces en dressait le pano-rama, insistant notamment sur les risques liés aux objets connectés « qui augmentent considérablementla surface d’attaques pour les cyber-criminels. »
Quinze milliards d’objets connectés en circulationLa Délégation ministérielle de sou-ligner également que, dorénavant, « les attaques par rançongiciel sem-blent davantage cibler les grandes entreprises ayant la capacité de payer des rançons très élevées ». Leursupply chain constituant le point
faire reposer la responsabilité de la cybersécurité uniquement sur les épaules des salariés, en leur disant qu’ils sont la dernière barrière avant la catastrophe ! » C’est d’abord à l’entreprise de mettre à leur disposi-tion les bons outils capables de répondre à leur demande et de les protéger.
Meilleure manière aussi, seloncet expert, de combattre le « sha-dow-it ». Cette « calamité », qui con-siste à utiliser des applis ou des ser-vices non autorisés et non sécurisésau sein de l’entreprise, avec tous les risques que cela comporte en matière de fuites d’informations.
Début juillet, dans sa 3e éditionde « L’Etat de la menace liée au
les dégâts irréparables. « Le drame, c’est l’intrusion que l’on ne détecte pas ! insiste Alain Bouillé. Car, avec l’avènement des crypto lockers et autres rançonwares nous faisons face à des attaques qui s’apparententde plus en plus à de la destruction massive ». Avec les conséquences catastrophiques que cela peut avoirsur la perte d’exploitation des entre-prises, pis sur leur pérennité, notamment pour les plus petites.
Combattre le « shadow-it »Dans cette lutte sans fin, le concoursdes salariés reste essentiel. « Oui, onne se comporte pas au travail commeà la maison », rappelle Alain Bouillé. Pour autant, il faut cesser de
Etienne Thierry-Aymé
L ’histoire se situe en marsdernier… Révélée mi-sep-tembre par le « Wall Street
Journal », l’affaire a secoué le petit monde de la sécurité en entreprise.On apprenait, en effet, qu’une filialebritannique d’un groupe allemand,s’était fait subtil iser près de 220.000 euros à l’aide d’une voix synthétique générée à l’aide d’une intelligence artificielle.
Dernier avatar en date de lafraude au président, mêlant deep-fake audio et e-mail piraté, et absence de process rigoureux. Une nouvelle attaque prise au sérieux. « Ce type de menace est, aujourd’hui,au cœur des préoccupations de mes collègues directeur de sécurité et sureté », explique Stéphane Volant, président du CDSE, le Club des directeurs de sécurité des entrepri-ses, par ailleurs secrétaire général de la SNCF. Et d’insister : « En matière de sécurité, il n’existe qu’un maître mot : ANTICIPER ! ». Car, aujourd’hui, tous les spécialistes le confirment : PME, ETI comme très grandes entreprises, face à des hac-kers motivés personne n’est à l’abri !
Outils de prévention et de protectionUne menace cyber d’ailleurs consubstantielle à la transforma-tion numérique des entreprises. « En ouvrant en grand les portes et lesfenêtres de l’entreprise, la transfor-mation digitale augmente sa surface d’exposition, et démultiplie le ris-que », souligne Alain Bouillé, vice-président du Cesin, le Club des experts de la sécurité de l’informa-tion et du Numérique. « Le périmè-tre à surveiller devient de plus en plusétendu. Avec des problématiques de sécurité liées au Cloud notamment. »
C’est pourquoi, il est aujourd’huiimpératif pour l’entreprise, quelle que soit sa taille, d’avoir en amont des outils de prévention et de pro-tection ; en aval, des outils de super-vision et de détection pour être capable de réagir à temps et éviter
PANORAMA//Il est impératif aujourd’hui pour l’entreprise, quelle que soit sa taille, d’avoir en amont des outils de prévention et de protection et, en aval, des outils de supervision et de détection contre le risque d’attaques.
Mobilisation dans les entreprises face aux nouveaux cyberrisques
C’est à l’entreprise de mettre à disposition des salariés les bons outils pour répondre à leur demande et les protéger. Photo Planet Pix/Zuma-RÉA
« Les attaques par rançongiciel semblent davantage cibler les grandes entreprises ayant la capacité de payer des rançons très élevées. »LA DMISCDélégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces
prises, ce qui ne durera pas au vu de lamenace : les primes sont assez faibles, les franchises aussi. Et le procédure peuvent être simplifiées. Chez Verlin-gue, parexemple, nous avons évacué lamise en place d’un questionnaire à la
souscription aux multiples conditionsqui ne rimeraient à rien, car personnen’est à l’abri d’une attaque, même parmi les plus vertueux. En plus de prendre en compte le risque d’exploi-tations, contrats peuvent désormais englober de nombreux services asso-ciés, principalement autour de l’assis-tance à la gestion de crise, pour aider
Et demain ? Les entreprises n’auront sans doute plus le choix.
SPÉCIALMERCREDI 25 SEPTEMBRE 2019 LESECHOS.FR/
HIGH-TECH
Alimentée par l’IA, Darktrace Antigena neutralise lescyberattaques les plus avancées. Des ransomwares
furtifs aux attaques internes et subtiles, notretechnologie de pointe répond en quelques secondes
et vous permet de reprendre le contrôle.
Prêt à vous défendre
Leader Mondial de l’IA pour la Cyberdéfense
36 // HIGH-TECH Mercredi 25 septembre 2019 Les Echos
de sécurité. » Mais, ce qui fait la forcedu cloud, et des logiciels en tant queservices (SaaS), à savoir la possibi-lité d’y avoir accès depuis l’extérieur,fait aussi leur faiblesse. C’est pour-quoi, Rémy Cointreau a créé « une fédération d’identité » réunissant tous les accès pros d’un salarié, avecune double identification, à l’aide des téléphones mobiles de l’entre-prise. « L’authentification forte, quand on travaille dans le cloud, c’estprimordial, insiste Xavier Les-chaeve. Cela évite notamment que lesmessageries soient piratées trop faci-lement. Ce qui reste un des points d’entrée privilégiés des pirates. »
Mais, on a beau mettre tous lesgarde-fous, « il y aura toujours quel-qu’un derrière la porte », sourit celui qui siège aussi, depuis juin 2019, au conseil d’administration du Cesin, leClub des experts de la sécurité de l’information et du numérique. Ou ils essaieront de rentrer par la fenê-
formation numérique a d’abord consisté à basculer les données du Groupe – ventes, marketing, finan-cières… – dans des clouds sécurisés :Amazon, Azure, Google. Une trans-formation digitale qui s’est aussi tra-duite par le recours à des outils col-laboratifs – Box et Office 365.
Double identificationQuid de la cybersécurité ? « En arri-vant [en provenance de la sécurité Groupe de l’assureur AXA, NDLR ], j’ai mis en place des solutions de sécu-rité évoluées, explique Xavier Les-chaeve. On a réalisé un vrai bond technologique, en ayant notamment recours à des outils EDR, Endpoint Detection and Response, sorte d’anti-virus de nouvelle génération, qui nous permettent de détecter les com-portements anormaux, aidés égale-ment par notre prestataire SOC, Security Operations Center, qui assure la surveillance de nos alertes
C hez Rémy Cointreau, lamenace cyber est prise trèsau sérieux. Il faut dire
qu’avec des sites de production dis-séminés un peu partout dans le monde (Angers, Cognac, Barbade, l’Ecosse, etc.) et des équipes de ven-tes et de marketing en Chine, aux Etats-Unis ou encore au Japon, le groupe de spiritueux s’est interna-tionalisé au fil des années. Ce qui enfait aussi une cible potentielle pour des cyberassaillants. Il affiche aujourd’hui un chiffre d’affaires de 1,2 milliard d’euros par an et compteprès de 1.900 salariés.
« Nous sommes une entrepriseinternationale, nous ouvrons ou fer-mons des filiales régulièrement, nous devons donc avoir une organisation très agile », souligne Xavier Les-chaeve le responsable de la sécurité des systèmes d’information du groupe Rémy Cointreau. Enclen-chée à son arrivée, en 2015, la trans-
LE TEST
« Prendre en compte le risque cyber doit faire partie de la transformation digitale d’une ETI »
Propos recueillis parEtienne Thierry-Aymé
Où en sont les ETI aujourd’hui quant à la prise en compte du risque cyber ?Fraudes au président, faux e-mails envoyés aux fournis-seurs… Ces deux dernières années, la menace est devenue bien réelle pour nos entrepri-ses, la prise de c o n s c i e n c e aussi. Et, si tou-tes les tentativesde fraudes n’ont pas abouti, fort heureusement, b eaucoup de dirigeants d’ETI y ont d’ores et déjà été confrontés. Une prise de conscience qui a augmenté avec la RGPD, qui nous a obligésà avancer sur la sécurisation des data.
Une « prise de conscience » qui concerne toutes les ETI ?Oui, même si le niveau de matu-rité, bien sûr, est aussi fonction de leur taille, de leur activité et de leur niveau d’exposition. Mais, même les entreprises qui avaient moins de pression sur leur digitalisation s’y sont mises.Certes, ce n’est pas toujours le sujet par lequel elles démarrent,mais la prise en compte du ris-que cyber apparaît très vite. Pour le dirigeant, cette prise en compte fait aujourd’hui vrai-ment partie de la transforma-tion digitale de son ETI.
Prendre conscience, c’est bien, mais concrète-ment, que doivent faire les dirigeants ?La vraie difficulté, c’est par « où
on commence » ? Il faut d’abordréaliser un audit de sécu-rité grâce à un prestataire quali-fié (*), pour cartographier l’ensemble de ses risques afin de prioriser les domaines aux-quels on souhaite s’attaquer avant de choisir les bons parte-naires et les bonnes solutions.
Comment fait-on alors ?On forme, on explique, on met en place des procédures… Et, c’est souvent parce qu’on l’a vécu soi-même qu’on agit. Ce que j’observe, c’est que plus on est petit et plus on a tendance à externaliser la sécurisation de ses systèmes, alors que quand on grandit, au-dessus de 200 à 300 millions d’euros de chiffre d’affaires, on internalise avec des responsables cybersécurité et des budgets dédiés dans les
DSI. Une entre-prise comme lan ô t r e , p a rexemple, con-sacre environ5 % de son bud-get informati-que à sa cyber
sécurité.
Quel est le rôle du Meti ?La particularité du Meti, c’est defavoriser le partage d’expérien-ces de dirigeants à dirigeants, en commissions, sur un sujet donné, comme dans nos clubs régionaux. Avec, à chaque fois, l’ambition de créer un effet miroir et d’entraînement. On collabore également avec d’autres. On a ainsi participé à l’étude menée par l’Institut Montaigne sur la menace cyberen France, qui avançait 13 gran-des propositions pour « aug-menter la cyberrésilience de l’ensemble du tissu économique et de notre société ».
Quid de la commission digitale que vous pilotez ?Elle a d’abord pour mission de montrer que les ETI sont à la pointe de la transformation digitale, grâce notamment à la réalisation de livres blancs, boî-tes à outils, master class…
Et, plus spécifiquement sur la cybersécurité ?Je ne vous donnerai qu’un seul exemple : récemment un diri-geant d’Ile-de-France a partagé être en train de mettre en place sa politique de cybersécurité, il voulait savoir si d’autres entre-prises l’avaient déjà fait. Depuis,il a pu partager avec ses pairs etrecevoir l’appui qu’il était venu chercher. Voilà, ça, c’est vrai-ment concret !
* La liste des prestataires d’audit de la sécurité des systèmes d’informa-tion (Passi) qualifiés par l’Agence nationale de la sécurité des systèmes d’information (Anssi) est disponible sur son site.
PIERRE-OLIVIER BRIAL Directeur général délégué du groupe Manutan
Pierre-Olivier Brial est directeur géné-ral délégué le groupe Manutan. Il est aussi adminis-trateur du Meti, où il copilote la commission digitale.
tre… « Pour preuve, les récentes tenta-tives d’intrusion via Whatsapp ou LinkedIn qui sont apparues chez cer-tains de nos membres », poursuit Xavier Leschaeve. Les clefs alors, toujours les mêmes, la sensibilisa-tion et la formation des utilisateurs, notamment grâce au e-learning « Et, à chaque fois que je vais dans unefiliale, j’organise des rencontres avec les collaborateurs du site pour leur rappeler les risques, leur présenter lesdernières menaces », poursuit le RSSI. Une sécurité de tous les ins-tants qui passe aussi par la mise en place de Process métiers : « Au ser-vice comptabilité par exemple, on n’acceptera jamais de demandes de virement par téléphone ! » insiste-t-il.
Et, pour l’instant, Rémy Coin-treau a été épargné. « On a réussi à détecter et bloquer les tentatives à temps, souffle son RSSI. Mais, en ce domaine, vous ne m’entendrez jamais crier victoire ! » — E. T.-A.
STRATÉGIE//Le groupe de spiritueux, avec ses sites de production et de ventes partout dans le monde, offre une cible de choix pour les cyberassaillants.
Chez Rémy Cointreau, agilité rime avec sécurité
dans les détails, il avoue que le groupe a déjà eu à faire face à des « incidents », venus vraisemblable-ment de Russie, mais repérés et éli-minés à temps. Pour aller plus loin dans la protection du groupe grâce àdes initiatives innovantes, Triskaliaet Even, une autre coopérative agri-cole, ont lancé un appel à projets. Il est animé par le Village by CA du Finistère à Brest afin de sélectionneret financer des start-up capables d’apporter des outils nouveaux pour une meilleure sécurité des usi-nes. Les systèmes informatiques des principaux sites de production des entreprises de l’agroalimentairesont souvent anciens, donc « vulné-rables », constate Denis Saout. n
interdites, Denis Saout a déjà envoyé aux salariés des messages de phishing (hameçonnage). Ils consistent à exploiter non pas la faille informatique mais celle des équipes en dupant les internautes par un courrier électronique appa-remment reçu d’une personne de confiance.
Un appel à projets lancéIl s’agissait notamment d’un mes-sage d’un des directeurs du groupe. « Il était faux, j’ai voulu leur montrer comment il est possible et indispensa-ble de repérer la vraie nature de l’expéditeur, les liens, l’URL, le logo afin d’éviter d’ouvrir la pièce jointe », insiste Denis Saout. Sans rentrer
sont sensibilisés », indique Denis Saout, le M. Cyber du groupe coopé-ratif composé de 4.800 collabora-teurs. Dans les usines d’agroalimen-taire de l’entreprise spécialisée dansl’alimentation animale, la transfor-mation de légumes et de volailles, mais aussi l’animation d’un réseau de jardineries, « les indispensables échanges d’informations avec l’exté-rieur rendent nos systèmes vulnéra-bles », poursuit le spécialiste.
Les équipes de la direction infor-matique ont donc installé des pare-feu, des antivirus sur tous les postesde travail et surtout tentent de for-mer au mieux le personnel. Pour qu’ils sachent bien gérer leurs mailset éviter de cliquer sur des adresses
Stanislas du Guerny— Correspondant à Rennes
Chez Triskalia, la cybersécurité est désormais omniprésente. « Tous lescollaborateurs, les agriculteurs adhé-rents, les fournisseurs et les clients
Le groupe coopératif agricole a engagé une stratégie préventive qui concerne tous ses collabo-rateurs, tous ses métiers et ses usines.
Elle a déjà dû faire face à des « incidents », stoppés à temps.
Triskalia se met à l’abri des cyberattaques
Des équipes en Chine, aux Etats-Unis, au Japon : le groupe de spiritueux s’est internationalisé au fil des années. Photo Stéphane Charbeau
BIENVENUE DANS LA NOUVELLE ECHOSNOMIE
ABONNEZ-VOUSMAINTENANTAUX ECHOS abonnement.lesechos.fr+ +
« Ce que j’observe, c’est que plus on est petit et plus ona tendance à externaliser la sécurisation de ses systèmes. »
Les Echos Mercredi 25 septembre 2019 HIGH-TECH // 37
1 LES SIGNESEXTÉRIEURS
D’INCONSCIENCE« Lorsque j’entre dans une entre-prise, je regarde toujours autour de moi… Si les serveurs informatiques sont dans le hall, que je vois des imprimantes en accès libre, ou qu’il ya une liste des mots de passe affichée au mur, je sais tout de suite qu’il faut s’inquiéter ! Cette première impres-sion en dit beaucoup sur le souci qu’al’entreprise de la cybersécurité, de même que l’attitude de ses interlocu-teurs : on sent vite s’il y a une appé-tence et une préoccupation sur le sujet. Cette préoccupation doit venir de la tête de l’entreprise, et se répercu-ter à tous les niveaux », indique Fabien Caparros, chef de la divisionchargée des méthodes de manage-ment de la sécurité numérique à l’Anssi, Agence nationale de la sécu-rité des systèmes d’information.
2 L’ABSENCEDE POLITIQUE
DE CYBERSÉCURITÉ« Il faut qu’il existe dans l’entreprise des règles officielles, même très lar-ges : un document qui explique celles liées à la cybersécurité dans l’entre-prise : politique de sauvegarde, politi-que de mise à jour, règles sur les motsde passe, etc. », indique Jérôme Notin, directeur général du GIP Acyma cybermalveillance.gouv.fr
3 LE NOMBRE DE PERSONNES
MOBILISÉES SUR LE SUJETC’est un indicateur beaucoup plus fiable que le budget, susceptible de varier fortement au gré des investis-sements. « Les entreprises françai-ses emploient en moyenne un spécia-l i s te cybersécuri té pour 900 employés, avec des écarts importantsselon les secteurs : de 1/200 dans la banque à 1/6.000 dans le pire des cas,par exemple dans l’industrie. C’est f a i b l e , q u a n d o n c o n s i d è r e qu’aujourd’hui toute l’économie est numérisée et que toutes les activités reposent sur les systèmes d’informa-tion », explique Gérôme Billois. Le bon niveau ? « Cela dépend, bien sûr,du secteur et des spécificités de l’entreprise mais en moyenne un rap-port de 1/500 est une bonne cible pourvraiment changer de posture. »
4 LA PROXIMITÉ ENTRE LE CISO
ET LE RM« Si le responsable de la sécurité des systèmes d’information [ou « chief information security officer » ou CISO] et le risk manager ne se connaissent pas, ou se connaissent mal, c’est très mauvais signe. Les deux fonctions doivent au contraire travailler la main dans la main afin qu’elles puissent tout de suite réagir ensemble en cas d’incident. En outre,c’est grâce à la collaboration et la rela-tion de confiance de ces deux respon-sables que l’entreprise pourra casser les silos pour mettre en œuvre une véritable gouvernance du risque cyber, indispensable à la maîtrise du sujet », affirme Philippe Cotelle, administrateur de Ferma et de l’Amrae, risk manager d’Airbus Defense & Space.
5 L’ABSENCEDE DISPOSITIFS
DE SURVEILLANCE« L’entreprise doit être en mesure de surveiller des éléments inhabituels : sur le serveur, le réseau, comme un ralentissement des machines, etc. Cela implique de porter un regard assez attentif sur son équipement pour identifier toutes modifications dans le comportement de son outil »,indique Jérôme Notin.
6 LE NIVEAU DE RATTACHEMENT
HIÉRARCHIQUE DU RESPONSABLE DE LA SÉCURITÉ INFORMATIQUE« C’est le tout premier élément révé-lateur de l’importance donnée au sujet : lorsque le responsable de la cybersécurité de l’entreprise est à N-3ou N-4 de la direction générale, on peut tout de suite sonner l’alarme ! Ace niveau-là, le sujet est, en effet, invi-sible… », explique Gérôme Billois, associé cybersécurité et digital trustchez Wavestone. Le bon position-nement ? « N-1 ou au plus N-2 d’un membre du comex, que le responsa-ble soit lié à la direction des systèmes d’information, à la sûreté ou au risk management. Heureusement, il y a eu une vraie prise de conscience ces dernières années et la moitié des groupes du CAC 40 sont désormais mobilisés à l’échelle du comex sur le sujet. On reste toutefois loin des Etats-Unis, où le taux atteint 83 %. »
7 L’ABSENCE OU LA FRAGILITÉ DU
PLAN DE CONTINUITÉ D’ACTIVITÉ« Trop de PME et ETI pensent aujourd’hui que cela n’arrive qu’aux autres et ne sont pas prêtes à faire faceà un incident. Or, il faut se préparer etsavoir comment réagir si jamais celaarrive dans l’entreprise : déconnecterles systèmes, porter plainte, etc. Il faut un véritable plan de reprise d’activité pour pouvoir rebondir rapidement », indique Bruno de Laigue, directeur administratif et financier de Business Partners, pré-sident de la DFCG. « Si la plupart desgrandes entreprises ont aujourd’hui mené des exercices de crise, ce n’est pas le cas de toutes les petites structu-res… Je demande souvent aux diri-geants des entreprises que je rencon-tre “si demain, on trouve votre fichierclients sur Internet, savez-vous com-ment réagir ?” », complète Gérôme Billois.
8 LA FUSION DES SPHÈRES PRIVÉES
ET PROFESSIONNELLES« Lorsque mes interlocuteurs n’ont qu’un seul téléphone, privé et profes-sionnel, sur lequel sont mélangées toutes les applications pour la famille comme pour le travail, ou unseul ordinateur où l’on trouve tout type de données, je m’inquiète. Ce n’est pas une approche saine ou le signe d’un état d’esprit adapté en matière de cybersécurité. La sépara-tion des sphères privée et profession-nelle est une première étape dans la maturité cyber », explique Fabien Caparros. — Cécile Desjardins
STRATÉGIE//Quels sont les critères qui, sur le terrain, sont tout de suite révélateurs de la fragilité de l’entreprise en matière de cybersécurité ? La parole est aux experts.
Huit indices inquiétants sur la fragilité de l’entreprise en matière de sécurité
C’est ce qui s’appelle avoir beaucoupde chance ! Mi-avril, dans le cadre d’une opération de cyberdéfense, lapolice néerlandaise met la main surle serveur informatique d’une équipe de cybercriminels. L’analysedes données permet de compren-dre que le système informatique d’une grande marque française du luxe, a été compromis. Il s’agit de la filiale, plutôt indépendante, d’un grand groupe français renommé dans l’univers du lifestyle. Elle emploie près de 4.000 personnes dans le monde. A peine prévenue, l’entreprise contacte un spécialiste du sujet. « Nous avons été appelés unjeudi matin et avons tout de suite lancé des investigations pour com-prendre ce qui se passait, même s’il n’y avait encore aucun impact techni-que ou métier. Nous avons tout de suite déployé des sondes et des outils de détection pour collecter un maxi-
Informée qu’elle est la cible d’un groupe de cyberatta-quants, une marque française de modehaut de gamme a réussi à éviter le pire,en déclenchant au plus vite des moyens d’investigation et de défense.
L’HISTOIRE
des outils techniques de surveillance, qui leur permettront d’être alertés en cas de nouvelle intrusion… », expli-que Vincent Nguyen. Au total, l’atta-que aura coûté près de 2 millions d’euros à l’entreprise.
Une somme en partie couvertepar la cyberassurance que son groupe holding avait heureuse-ment contractée. Si la somme n’est pas négligeable, ce n’est en réalité qu’une broutille en comparaison ducoût qu’aurait pu générer l’attaque, si elle avait été menée à bien. « Outrela destruction des postes et des ser-veurs, une attaque de type rançongi-ciel entraîne en général une perte d’activité de trois semaines à un moisminimum. Avec un coût majeur, même si les entreprises redémarrent en mode dégradé », indique Vincent Nguyen. — C. D.
vité du groupe Altran en début d’année… Face à un tel adversaire, les équipes de gestion crise décidentde déclencher leur plan de défense dès le week-end Alors même que lesinvestigations n’étaient pas termi-nées. « Il nous fallait réagir très vite, tout en faisant attention de rester dis-crets. En effet, nous ne savions pas ce que les criminels pouvaient voir de nos actions. Notre présence risquait d’accélérer le déclenchement de l’atta-que, probablement un ransomware qui pouvait être dévastateur… », indi-que Vincent Nguyen. Certaines machines, en particulier les ser-veurs de sauvegarde, sont isolées et les moyens de propagation sont blo-qués, etc. L’équipe de crise s’est reti-rée finalement au bout de douze jours : l’attaque était jugulée.
Mise en place de nouveaux outils« Pour l’entreprise, ce n’était que le début d’un nouveau chantier : il leur afallu procéder à des montées de ver-sions, implanter des nouveaux mas-ters sur les postes de travail, recons-truire entièrement leur annuaire de droits informatiques etc. Ils ont aussi comblé les failles, mieux cloisonnés leurs domaines, renforcés leurs équi-pes, mis en place une politique sérieuse de gestion des mots passe et
mum d’informations, identifier les processus suspects et pister les ordi-nateurs affectés », explique Vincent Nguyen, responsable du Cert de Wavestone, dont l’équipe, d’abord composée de cinq experts, va pro-gressivement monter à 16 person-nes, qui travaillent en troisxhuit avec les responsables de la sécurité de l’entreprise et quelques mem-bres des équipes informatiques.
Dès le vendredi, il s’avère quel’entreprise est confrontée à une attaque complexe et de haut niveau.Les attaquants, probablement pré-sents depuis plusieurs mois, avaientd’abord infecté le site Web d’une desfiliales, implantée à San Francisco et dont l’application, développée en interne, présentait une faille. Ils avaient ensuite, progressivement, atteint le cœur du système. Ils avaient notamment corrompu les annuaires de l’entreprise, ce qui leur donnait la main sur l’ensembledu réseau.
« Un certain nombre d’élémentsnous ont permis de comprendre que nous étions face à Fin6, un groupe de cybercriminels très actifs et compé-tents, connu pour l’efficacité et la rapi-dité de ses attaques », explique Vin-cent Nguyen. Le groupe s’est fait connaître, notamment, par l’attaqueen rançongiciel qui a bloqué l’acti-
Comment un grand groupe de mode a évité le pire
« Il nous fallait réagir très vite, tout en faisant attention de rester discrets. »VINCENT NGUYENResponsable du Cert de Wavestone
Shut
ters
tock
« Lorsque le responsable de la cybersécurité de l’entreprise est à N-3 ou N-4 de la direction générale, on peut tout de suite sonner l’alarme ! A ce niveau-là, le sujet est, en effet, invisible… »GÉRÔME BILLOISAssocié cybersécurité et digital trust chez Wavestone
38 // Mercredi 25 septembre 2019 Les Echos
La cotation en fanfare d’EQT fait du bien à l’Europe de l’investissement.
« On doit toujours être mal satisfait de soi-même quelque contents que les autres paraissent de nous. » Avec ce conseil prudent de la reine Christine de Suède, EQT devrait éviter de s’endormir sur la couronne que les investis-seurs mondiaux viennent de lui tresser pour son entrée à la Bourse de Stockholm. La société de gestion de fonds d’investissement non cotés vient en effet de réaliser la première séance la plus brillante (+34,3 %) parmi toutes les introductions de l’année 2019 en Europe. Il en faudra davantage pour faire briller un millésime en demi-teinte, puisque le mon-tant total placé – 1,2 milliard à 1,3 milliard d’euros – ne dépasse pas ceux récoltés l’année dernière par Healthineers ou DWS. La capitalisation boursière de 7 milliards de la société cofondée par le holding coté Investor de la famille Wallenberg ne fera pas d’ombre au suisse Partners Group, proche de 19 milliards. Elle se rapproche néanmoins du plus petit des américains Carlyle, juste au-dessous de 9 milliards. Et la cote de valori-sation – 22 fois le bénéfice de l’année prochaine estimé par Bloomberg – s’avère déjà un peu supérieure à celle de Blackstone, la référence mondiale du private-equity. Avec ses taux d’intérêt très bas pour encore très long-temps, le Vieux Continent a faim de « buy out » et autres supports alterna-tifs. EQT pourra continuer de lever des fonds à grande échelle, si son track-record de rendement reste à la hauteur.
Couronne suédoise
Lorsqu’à la direction du FMI, Christine Lagarde avait populari-sé, en 2014, le « nouveau médio-cre », c’est-à-dire une croissance à la fois faible et volatile, les taux d’intérêt réels commençaient dé-jà à plonger dans le rouge en Eu-rope. Cinq ans plus tard, ceux-ci sont durablement installés en ter-ritoire négatif alors que le « plus médiocre » est peut-être à venir. Les conséquences de cette japoni-sation rampante n’ont pas encore été totalement tirées par les inves-tisseurs institutionnels, consta-tent Stanislas de Bailliencourt et Alexandre Taïeb chez Sycomore AM. Les actions et le crédit aux entreprises mal notées (« high yield ») restant les seules catégo-ries d’actifs à rendement encore positif dans cet environnement, un assouplissement de la régle-mentation qui restreint leur place dans les portefeuilles des assu-reurs semble inéluctable.
Les taux d’intérêt réels poussent les investisseurs institutionnels au changement. Echappements sans échappatoireLes « hedge funds » tiennent le début d’une revanche dans l’affaire Volkswagen.
Tous les anniversaires ne se fêtent pas. Le 23 septembre 2015, le directeur général de Volkswagen, Martin Winterkorn, prenait la bretelle de sortie au bout de quelques jours de « dieselgate ». Quatre ans plus tard, presque jour pour jour, la justice allemande fait un énorme cadeau aux « hedge funds » qui gardent une dent contre le premier constructeur européen. Le renvoi devant les tribunaux d’Herbert Diess, le troisième pilote de l’écurie de Wolfsburg depuis l’éclatement du scandale, pour « manipulation de marché », leur offre en effet une tribune inégalable pour obtenir leur revanche après les procès lancés, en vain, contre Porsche dans la foulée de son OPA sur Volkswagen. Diess perdu, combien de milliards retrouvés ? Parmi les vaincus de la bataille boursière de 2008 qui avait ponctionné une quarantaine de fonds spéculatifs d’une vingtaine de milliards de dollars, Elliott, la firme de Paul Singer, espère beaucoup de zéros sur le chèque en finançant les plaintes. Mais le match est loin d’être gagné. Volkswagen a d’autant plus facilement réitéré son soutien à son patron, venu de BMW quelques semaines seulement avant les révélations, que son secrétaire général, Manfred Döss, est à la manœuvre. Le juriste avait fait innocenter les dirigeants de Porsche, accusés d’avoir manipulé les cours de Bourse. Et tant pis pour ceux qui croyaient au changement de culture chez VW…
// Budget de l’Etat 2019 : 390,8 milliards d’euros // PIB 2018 : 2.350 milliards d’euros courants// Plafond Sécurité sociale : 3.377 euros/mois à partir du 01-01-2019 // SMIC horaire : 10,03 euros à partir du 01-01-2019 // Capitalisation boursière de Paris : 1.635,3 milliards d’euros (au 12-08-2019)// Indice des prix (base 100 en 2015) : 104,58 en juin 2019 // Taux de chômage (BIT) : 8,5 % au 4e trimestre 2018 // Dette publique : 2.322,3 milliards d’euros au 3e trimestre 2018
= Les chiffres de l'économie
Temps médiocrescrible
EN VUE
Gary Jones
G ary who ? » se sont interrogés il ya deux ans les délégués partici-pant à la réunion au cours de
laquelle le président sortant de l’Union des travailleurs américains de l’auto-mobile (UAW) adouba son successeur. Le meeting avait lieu dans un casino de Detroit. A tous les coups l’on n’y gagne pas, ont semblé se dire les participants médusés. Mais c’est justement parce qu’ilest plutôt terne que Denis Williams avait choisi Gary Jones. Entré dans une usine Ford en 1975, il fit la quasi-totalité de sa carrière comme responsable comptable de l’Union. Jones serait parfait, pensait Williams, pour constituer une sorte d’antidote à la mauvaise image du syndi-cat qui grimpait. Voilà quelques années, en effet, que les juges s’interrogent sur l’évaporation des fonds syndicaux desti-nés à la formation. Apparemment, Gary n’est pas si collet monté que cela. Deman-dez au conducteur de chariot élévateur interrogé par Automotive News : « C’est
un voleur, un escroc », s’énerve l’employé, avant que le magazine ne se fasse un plai-sir de détailler train de vie somptuaire, parties de golf, champagne et cigares. Le média – on comprend pourquoi Jones neles aime pas – relève dans le même para-graphe que les enquêteurs ont saisi chez Jones des clubs de golf et 30.000 dollars de cash. Les juges ont en effet lancé des perquisitions chez plusieurs dirigeants de l’Union voilà peu, de quoi brouiller l’image de la plus grande grève de l’auto-mobile américaine depuis 2009. Il s’agis-sait pour le nouveau patron de l’UAW de présenter la facture des efforts déployés par les salariés du secteur depuis son sau-vetage voici dix ans : « Nous avons investi sur vous. A votre tour d’investir sur nous »,a dit Jones à Mary Barra, la patronne de GM. Mais c’est une autre facture qu’on risque de lui présenter.
(Lire nos informationsPage 19
La Bourse de Paris fait du surplace
• La Bourse de Paris a fini quasi inchangée mardi, dans un marché où la prudence a primé face à des indicateurs décevants, un nouveau rebondissement sur le Brexit et des incertitudes géopolitiques persis-tantes.
L’indice CAC 40 a glissé de 0,04 %pour clôturer à 5.628,33 points, dans un volume d’échanges peu nourri de 2,81 milliards d’euros. La veille, il avait fini en recul de 1,05 %.
Ailleurs, en Europe, les Boursesont terminé également dans le rouge. A Francfort, le DAX a cédé 0,29 % dans un marché rattrapé parl’affaire du « dieselgate ». Le Footsiea, lui, terminé en baisse de 0,47 % à 7.291,43 points.
Du côté des valeurs, les défensi-ves ont occupé le haut du palmarès.Sanofi a ainsi avancé de 1,67 %, L’O r é a l de 1 ,02 % et Pe r n o dRicard de 0,82 %.
A l’inverse, les titres cycliques, lesplus sensibles à la conjoncture éco-nomique, ont été, comme lundi, à lapeine. ArcelorMittal a perdu 1,78 %, Eramet, 3,40 % et Vallou-rec, 0,92 % Le secteur automobile était aussi à la traîne. Peugeot a cédé 0,52 % Renault, 1,61 %, Plastic Omnium, 2,17 % et Valeo, 1,01 %.
Enfin, le poids lourd de la cote,Total, a perdu 1,89 %. Technip-FMC a reculé de 1,17 % et CGG, de 1,96 % en raison de la baisse des prixdu pétrole.