Menu

Numérique

deux PME racontent leur mésaventures, Numérique-Cybersécurité

deux PME racontent leur mésaventures, Numérique-Cybersécurité

« Un salarié, lors de sa prise de poste, à 4 heures du matin, a cliqué sur le lien d’un mail. Aussitôt, des fichiers cryptés visant les adresses des serveurs ont bloqué l’usine, en l’espace de deux heures », raconte Jean-Charles Duquesne, dirigeant de La Normandise. Très vite les serveurs sont mis à l’arrêt pour éviter que toutes leurs données ne se retrouvent cryptées. Les sauvegardes avaient elles aussi été affectées, dont une à hauteur de 50 % de sa capacité.

La même mésaventure s’était produite à Rouen (Seine-Maritime), dans les locaux du Campus Saint Marc. Alexandre Martini, à la tête de ce groupe d’établissements de l’enseignement supérieur réunissant quatre écoles et comptant 900 étudiants, garde en mémoire cette attaque par rançongiciel survenue en décembre 2018, qui avait bloqué les emplois du temps ainsi que les réservations de salles : « C’est un vieux serveur inutilisé qui a servi de porte d’entrée. Tout le campus a été à l’arrêt, c’était l’apocalypse. »

« On a frôlé la catastrophe »

A Vire, les dégâts ont touché les systèmes WMS (logiciel de gestion de l’entrepôt) et ERP (progiciel de gestion intégrée) de l’entreprise, dont la création remonte à 1991. En réponse à l’inquiétude générée par cette agression, la logistique a été stoppée, tout comme la production. « Il y a une rançon à payer en bitcoins, mais on a décidé ne pas y répondre. On va remonter tous les systèmes informatiques et on va porter plainte. Au pire, on perdra un mois de données », explique Jean-Charles Duquesne.

Dès 14 heures, le premier jour, la production a pu reprendre. Le soir même, les systèmes ERP et WMS ont redémarré, puis ça a été le tour, mardi soir, des données des services ainsi que de celles du personnel et de la facturation, pour finir par les mails jeudi. L’équipe de quatre personnes assistée d’un technicien dépêché par le prestataire de services informatiques de La Normandise n’a pas chômé. Le champagne a même été ouvert : il faut dire que l’entreprise, en activité 24 h/24 et 7 j/7, venait d’échapper à une attaque qui aurait pu mettre en grande difficulté l’ensemble de ses 700 salariés. « Depuis, on a revu tous nos systèmes de protection et de sauvegarde, ce qui a représenté un coût de 100.000 euros – sans oublier la formation du personnel. On a frôlé la catastrophe », reconnaît Jean-Charles Duquesne.

A la suite de l’attaque du Campus Saint Marc, Alexandre Martini avait accepté, lui, de payer 1.000 euros en bitcoins« un montant qui ne remettait pas en cause l’entreprise. On s’en est bien sortis », avoue-t-il. Par la suite, Alexandre Martini avait décidé, avec le concours d’un informaticien passionné, de prendre quinze jours pour parvenir à reconstituer l’infrastructure. « On a fait ce qu’on aurait dû faire il y a bien longtemps. Désormais, nous sommes armés pour faire face à ce genre d’attaques d’opportunité », confie le dirigeant.

Solidarité avec les entrepreneurs
Dans cette période difficile, les entrepreneurs et dirigeants de TPE-PME ont plus que jamais besoin d’être accompagnés. Le site Les Echos Entrepreneurs apporte sa contribution en proposant informations et témoignages gratuitement pour les prochaines semaines. Pour rester informés de l’actualité entrepreneurs et startups, pensez à vous abonner à notre newsletter.
la facture ne cesse de s'alourdir, Numérique-Cybersécurité

la facture ne cesse de s'alourdir, Numérique-Cybersécurité

Un pour cent du PIB mondial ! Cumulés sur un an, voilà ce que coûtent à l’économie les virus informatiques et les vols de données, d’après une étude de l’éditeur de logiciels de cybersécurité McAfee et le Centre d’études stratégiques et internationales (CSIS). Au total, la cybercriminalité, avec ses réseaux de plus en plus organisés, laisse derrière elle une note de plus de 1.000 milliards de dollars.

Plus inquiétant encore, la facture ne cesse de s’alourdir. Elle a même plus que doublé en cinq ans. En 2015, les chercheurs estimaient le coût de la cybercriminalité à 445 milliards de dollars, puis à 600 milliards de dollars en 2018. Et rien n’incite à l’optimisme pour la suite…

Le cybercrime paie

« La gravité et la fréquence des cyberattaques contre les entreprises continuent d’augmenter à mesure que les techniques évoluent et que le travail à distance s’impose », indique ainsi Steve Grobman, le directeur des technologies de McAfee, l’éditeur de logiciels qui fut l’un des pionniers du genre et qui vient de signer son retour en Bourse. De plus en plus numérique – et encore davantage après les périodes de confinement liées à l’épidémie de Covid-19 -, le monde est aussi de plus en plus sensible aux cyberattaques.

Le rapport de force entre les défenseurs et les attaquants est par ailleurs inéquitable. Sur les 1.000 milliards de dollars de coûts identifiés par McAfee, 145 milliards de dollars correspondent aux dépenses en sécurité informatique. Mais, déjà submergés par un flot continu de vulnérabilités à réparer, les spécialistes de la sécurité informatique font aussi face à des organisations criminelles de plus en plus rodées. « Le cybercrime augmente parce qu’il paie, cela peut être facile et le risque pour les cybercriminels peut être faible », ajoute l’étude, alors que la traque de ces réseaux éparpillés partout dans le monde reste complexe.

18 heures d’arrêt après une attaque

Dans leurs calculs, les chercheurs distinguent les coûts directs liés au cybercrime et toute une série de coûts cachés. Dans la première catégorie, l’espionnage économique et la fraude financière coûtent encore bien plus cher aux entreprises que la menace montante des attaques par logiciels rançonneurs (les fameux « ransomware » qui chiffrent les données d’une entreprise et permettent aux cybercriminels d’exiger un paiement contre le rendu des données en clair).

Mais pas besoin d’en arriver à ces scénarios catastrophes pour que le cybercrime pèse sur les comptes d’une société. Alors que deux tiers des 1.500 entreprises interrogées en 2019 par McAfee et le CSIS rapportent avoir eu à affronter un incident de cybersécurité, il ressort qu’elles ont dû arrêter leurs activités pendant 18 heures en moyenne après la découverte de ce type d’événement.

Bien après l’attaque en elle-même, l’entreprise subit aussi un impact en termes de réputation, ainsi que sur le moral et la productivité des salariés et, in fine, sur ses ventes. Enfin, l’étude constate que les entreprises victimes rognent souvent après coup leurs dépenses d’innovation et leurs perspectives de profits futurs pour investir dans la cybersécurité.

Les chiffres de McAfee et du CSIS sont peu ou prou les mêmes que ceux avancés en début d’année dernière par Accenture, qui estimait le coût du cybercrime à 5.200 milliards de dollars en cinq ans, entre 2020 et 2025. Mais d’autres calculs sont encore plus pessimistes. Le fonds d’investissement Cybersecurity Ventures anticipe pour 2025 une addition de 10.000 milliards de dollars annuels…

Transformer sa boutique en e-commerce en cinq étapes clés, Numérique-Cybersécurité

Transformer sa boutique en e-commerce en cinq étapes clés, Numérique-Cybersécurité

Devenir e-commerçant en quelques clics… La démarche commence par l’acquisition de visibilité sur le Web et les réseaux sociaux.

1. S’inscrire sur Google My Business

C’est la priorité numéro un pour obtenir un minimum de visibilité sur le Web : créer son profil avec l’adresse, les horaires d’ouverture, un numéro de téléphone… Ainsi, les internautes qui cherchent un type de commerce bien défini à proximité vous localiseront facilement. L’inscription prend quelques minutes sur un smartphone, et elle est gratuite. Ce service permet en outre à vos clients de
vous attribuer une note
. En obtenant un bon score, votre crédibilité est renforcée. Un bon point préalable avant de communiquer sur les réseaux sociaux.

2. Publier sur les réseaux sociaux

En utilisant Instagram et Facebook, l’objectif sera de faire grandir autour de vous une communauté d’abonnés ou de fans. Des clients en puissance mais surtout de bons ambassadeurs de votre activité auprès de leurs propres relations. Pour cela, il faudra poster régulièrement des photos de produits, annoncer des nouveautés ou des promotions. Ce qui fonctionne bien : faire découvrir les coulisses de l’activité.

3. Proposer du click & collect

A partir d’une base clients ou d’une communauté sur les réseaux sociaux, il sera possible de développer significativement le
click & collect
en enregistrant les commandes simplement par e-mail, par téléphone ou via un site Internet, s’il existe. Un moyen simple, facile, rapide de fidéliser vos clients et d’en conquérir de nouveaux.

4. Mettre les produits phares sur des marketplaces

A ce stade, si vos produits s’y prêtent, vous pouvez commencer à proposer les plus vendeurs sur une place de marché locale, celle de votre ville par exemple. Il existe des plateformes nationales qui permettent la géolocalisation pour valoriser la proximité avec les clients. Cela constituera un bon test pour vous roder à la gestion des commandes et des expéditions avant d’aborder des marketplaces internationales.

5. Créer une e-boutique

Il est temps de concevoir votre propre site d’e-commerce avec du paiement en ligne. Au moins au début, tout en gardant le stock en interne, vous pouvez sous-traiter la livraison de proximité à un service ouvert aux petits commerces, comme Cubyn ou Wing.

Tehtris lève un montant record de 20 millions d'euros, Financer la croissance

Tehtris lève un montant record de 20 millions d'euros, Financer la croissance

La discrète entreprise de Pessac fondée par des anciens de la DGSE affiche une des plus grosses levées dans le monde de la sécurité informatique. Déjà présente dans les grands comptes du monde entier, la PME de 60 personnes prévoit d’en recruter 300 en trois ans.

Est-ce la future star française de la cybersécurité ? Tehtris établit en tout cas un record en Europe pour ce secteur en levant 20 millions d’euros. Les financeurs sont ACE Management, CNP Assurances, Nouvelle-Aquitaine Co-Investissement (Naco) et différents business angels.

Un investissement surprise car l’entreprise avait jusqu’à présent joué la carte de la discrétion. « Nous ne les connaissions pas », avoue-t-on chez Aquiti Gestion, la société qui gère pourtant tous les fonds de la Région Nouvelle Aquitaine dont le fonds NACO et suit de près le tissu des PME locales. Une discrétion qui tient au secteur mais surtout au parcours de ses fondateurs tous deux des anciens de la DGSE : la PDG Eléna Poincet passée par le service Action et le directeur technique Laurent Oudot également passé par le CEA.

Girondin et diplômé de l’Enseirb-Matmeca, l’école d’ingénieur du campus bordelais, Laurent Oudot décide de créer Tehtris à Pessac. Et pendant deux ans ces spécialistes de la sécurité vendent leurs services aux grandes entreprises : audit, tests d’intrusion, évaluation d’infrastructure… « Nous avons été les 4e au monde à pouvoir pirater le Blackberry et nous avons rapidement vu qu’on pouvait entrer à peu près partout. Ce qui créait d’ailleurs beaucoup de frustration chez nos clients qui constataient que la sécurité contre l’espionnage et le vol de données ou le sabotage était une illusion », assure Laurent Oudot. La jeune entreprise décide alors d’opérer un pivot et de se lancer « sur ses fonds propres et à partir d’une feuille blanche » dans le développement d’une solution de protection innovante.

Surveillance automatisée

« Un peu comme pour l’usine 4.0, nous surveillons le territoire numérique d’une entreprise à partir de capteurs intelligents. Alors qu’une solution traditionnelle fait tout dépendre de la décision humaine, notre approche consiste à automatiser les choses car le réseau se défend tout seul », résume Laurent Oudot.

Dès 2013 elle diffuse son logiciel alors baptisé eGambit auprès de ses premiers clients. Depuis 2017, avec une offre rebaptisée Tehtris XDR Platform, la croissance s’est accélérée. L’entreprise a doublé son chiffre d’affaires tous les ans et devrait dépasser les 5 millions d’euros cette année.

Pour les deux entrepreneurs qui conservent la majorité du capital de leur entreprise, l’objectif est désormais d’accélérer le développement. Le recrutement d’environ 300 personnes est prévu sur les trois prochaines années dont la plupart resteront basés à Pessac. Une partie d’entre eux iront toutefois s’installer l’an prochain dans l’immeuble du quartier de la Défense qui hébergera le futur « Campus Cyber » la vitrine française du secteur avec une soixantaine d’entreprises du secteur.


comment la CNIL effectue ses contrôles en entreprise, Numérique-Cybersécurité

comment la CNIL effectue ses contrôles en entreprise, Numérique-Cybersécurité

Le souvenir d’un contrôle de la CNIL (Commission nationale de l’informatique et des libertés) rend les entrepreneurs peu loquaces, en raison surtout des conséquences auxquelles elle les expose. L’année dernière, 158 organismes privés ont été contrôlés par la CNIL, dont 61 % comptaient moins de 500 salariés. Pour des raisons de confidentialité, il ne nous a pas été possible d’assister à un tel contrôle. Aussi avons-nous interrogé plusieurs chefs d’entreprise afin de connaître leur point de vue, de même que nous avons épluché la charte de contrôle publiée fin août 2020 par la CNIL. Il en ressort que le point essentiel, pour les dirigeants de PME et de start-up, est d’anticiper.

Des visites surprises liées à des plaintes ou signalements

Le contrôle sur place est la modalité phare de la CNIL. La règle générale consiste à ne pas prévenir les entreprises de la visite d’agents dans leurs locaux, afin par exemple d’éviter toute destruction de fichiers. Remises en cause le temps de la crise sanitaire, ces visites surprises ont marqué les dirigeants qui y ont été confrontés. « Les agents sont arrivés un matin, vers 10 heures, au moment où j’avais rendez-vous avec mon comptable. Je n’étais au courant de rien », témoigne Cédric Lemaître, dirigeant de Boutique.aero, qui vend des produits dérivés autour de l’aviation, à Blagnac, près de Toulouse. En mars 2019, ce commerce a subi un contrôle « à la suite d’un signalement de l’inspection du travail », à en croire son dirigeant.

Les contrôles de la CNIL visent à vérifier la conformité du traitement des données à caractère personnel avec la loi informatique et libertés de 1978 ainsi qu’avec le règlement général sur la protection des données (RGPD), entré en vigueur en 2018. Environ 20 % de ces contrôles sont menés dans le cadre de thématiques prioritaires définies par l’institution – actuellement : la sécurité des données de santé, les usages des données de géolocalisation et le respect des dispositions sur les cookies et autres traceurs. Les plaintes de salariés ou de particuliers sont à l’origine de 40 % des contrôles. Le reste est entrepris en réaction à l’actualité ou à des signalements – de l’inspection du travail, par exemple.

Vérifications techniques et gestion juridique

Le contrôle sur place est mené par au moins un juriste et un auditeur des systèmes d’information. Ils peuvent être accompagnés par tout autre agent de la CNIL habilité (comme par exemple un agent du service des plaintes ou un agent disposant d’une expertise technologique particulière).

« Les questions portaient d’abord sur l’activité de la société. Ensuite, les agents ont voulu comprendre le fonctionnement technique de notre service et de notre gestion juridique. Je me suis donc fait épauler par l’équipe technique et par notre personne en charge des sujets juridiques », raconte
Benoit Grouchko
, cofondateur de Teemo, l’une des start-up de
ciblage publicitaire
à avoir été touchées par une vague de contrôles de la CNIL en 2017 et en 2018.

Fidzup était aussi l’une d’entre elles
. Elle a été contrôlée, puis liquidée judiciairement fin 2019. « Pendant la vérification technique, les agents ont demandé à ce que l’on effectue des requêtes dans nos bases de données. [Ils ont aussi demandé] à accéder à nos codes sources. Ils se sont aussi assurés de la sécurité d’accès au serveur, en se renseignant par exemple sur le nombre de caractères des mots de passe », indique son ancien dirigeant, Olivier Magnan-Saurin.

A l’issue de la journée de contrôle, un procès-verbal listant les requêtes effectuées est dressé par les contrôleurs et soumis à l’entreprise. « Il ne faut pas hésiter à passer du temps à relire et à soumettre ses commentaires dans le cadre prévu à cet effet », souligne Olivier Magnan-Saurin. L’entrepreneur conseille également de leur « demander de reformuler » en cas d’inexactitudes.

Le spectre de la sanction ou de la mise en demeure publique

S’ensuit une phase d’instruction pouvant s’étaler de quelques semaines à un an et demi. L’entreprise peut avoir à envoyer des documents au cours de cette période, que ces derniers soient réclamés ou non. « Sur tous les points où il y avait potentiellement un sujet, nous nous sommes empressés d’apporter des modifications et de faire parvenir les ajustements », se souvient Benoit Grouchko. Une attitude appréciée par la CNIL, de manière générale. Chez certains entrepreneurs, l’instruction génère de la frustration, car la CNIL n’assure pas d’accompagnement pendant cette phase.

Au terme de la procédure, le régulateur décide d’une simple clôture, d’une mise en demeure enjoignant l’entreprise à se mettre en conformité, ou d’une sanction financière. Le montant de l’amende est apprécié en fonction du chiffre d’affaires et des bénéfices de l’entreprise. Boutique.aero a obtenu la clôture de son dossier après une mise en demeure publique pour des problèmes liés à son système de vidéosurveillance et à des manquements au RGPD. Teemo et Fidzup ont connu le même sort, après s’être vu reprocher des failles dans le recueil du consentement des mobinautes.

Des expériences douloureuses pour ces entreprises et pour leurs dirigeants. Dans un texte posté sur la plateforme Medium au début de l’année,
Olivier Magnan-Saurin liait le dépôt de bilan de Fidzup à l’impact de la mise en demeure publique
. Pour éviter de vivre ce qu’il retient comme un « énorme coup d’arrêt » pour son business, Benoit Grouchko glisse un dernier conseil : « En tant que chef d’entreprise, il ne faut pas être réactif mais proactif. Il faut donc anticiper au maximum ces sujets, pour ne pas prendre de risques. »

Pour réaliser ses contrôles, la CNIL s’appuie sur vingt agents seulement. En 2019, un peu moins de trois cents contrôles ont été effectués. Plusieurs d’entre eux peuvent concerner un même organisme, notamment lorsqu’il s’agit de vérifier une mise en conformité après mise en demeure. L’année dernière, une quarantaine de mises en demeure ont été prononcées et sept amendes infligées.

les entreprises ont gagné en maturité, Numérique-Cybersécurité

les entreprises ont gagné en maturité, Numérique-Cybersécurité

Deux ans et demi après l’entrée en vigueur du règlement général sur la protection des données personnelles en Europe (RGPD), où en sont les entreprises ? En toute logique, elles ont structuré la gouvernance de leurs données à caractère personnel (DCP) relatives aux salariés, clients, utilisateurs, partenaires et fournisseurs…
sous la responsabilité d’un délégué à la protection des données ou DPO (« data protection officer »)
.

La CNIL recense 21.000 DPO cette année contre 11.000 en 2019. « Ce n’est pas si mal ! Mais nous ne sommes qu’aux deux tiers du chemin », estime Nathalie Krief, responsable du groupe de travail RGPD à la Fédération nationale des tiers de confiance (FNTC). Selon une étude 2020 du ministère du Travail, 31 % de ces DPO opèrent dans des structures de plus de 1.000 salariés. A peine 10 % d’entre eux exercent dans des structures de moins de 10 salariés. C’est dire s’il reste de la marge…

Former les équipes au traitement des données

Rattachés à 61,4 % au N-1, les DPO opèrent le plus souvent dans le cadre d’un comité de pilotage qui rassemble au minimum la direction générale, la direction informatique et le service juridique. « Nous nous réunissons deux fois par an, décrit Laetitia Reina, DPO chez le bailleur social Alpes Isère Habitat. A chaque nouveau projet, par exemple les bâtiments connectés expérimentaux, la conformité au RGPD intervient dès la conception. Une fois l’expérimentation terminée, nous détruisons les DCP. Cette pratique est désormais bien inscrite dans notre culture d’entreprise. » Laetitia Reina a de la chance : elle fait partie des 25,8 % des DPO qui exercent leur mission à temps plein.

Pour diffuser les bons réflexes en matière de données, le DPO doit parfois donner de sa personne. En témoigne Dominique Bricot, DPO pour les 2.700 entités juridiques du réseau Aide à domicile en milieu rural (ADMR) qui emploie 35 personnes au niveau national. « Pendant six ans, j’ai fait le tour de France pour accompagner chacune de nos 87 fédérations départementales vers la mise en conformité au RGPD. Après quatre ans d’audit, j’ai formé 233 relais départementaux salariés et bénévoles », explique Dominique Bricot. Soins infirmiers, aide au ménage, à la toilette… l’ADMR est une immense organisation de 95.000 salariés et 85.000 bénévoles qui s’occupent d’environ 800.000 personnes au quotidien.

Supprimer les données ou les anonymiser

Le DPO a pour mission principale la création et l’actualisation du registre des données et des traitements. Ce qui soulève de nombreuses questions. Quelles applications génèrent quelles données ? Où sont-elles stockées ? Quels traitements leur applique-t-on ? Sur quelles bases juridiques ? Qui en est responsable ? Quels en sont les moyens de protection ? Quelle doit être leur durée de vie ?
« Le registre ne fait pas toute la conformité mais il donne une vision claire sur les données », souligne Nathalie Krief. Résultat : « Nous minimisons ainsi nos DCP et nous les protégeons mieux, confie Dominique Bricot. Mais cela requiert un travail quotidien énorme ! »

Le DPO veille aussi sur la cascade de prestataires et sous-traitants informatiques, en s’assurant en particulier
que leurs contrats respectent les clauses RGPD
. A ceci près : bon nombre d’applications professionnelles ne sont pas conçues pour gérer le cycle de vie des données. « Nous avons demandé à notre prestataire un système qui limite la collecte d’informations au strict nécessaire par les personnes idoines », précise Dominique Bricot. Tous les nouveaux développements prévoient d’intégrer une collecte différenciée des données personnelles en fonction des utilisateurs, ainsi qu’une gestion de leur cycle de vie.

L’éditeur a ainsi découpé la durée de vie des données en quatre temps : celui de la donnée active tant que le dossier est ouvert ; celui de l’archive courante lorsque le dossier est clos mais qu’on a encore besoin d’y accéder ; l’archive intermédiaire réservée à un nombre limité d’accédants ; enfin l’archivage définitif qui prévoit soit l’anonymisation des DCP soit leur suppression. « Très compliqué et coûteux, ce travail est toujours en cours », poursuit le DPO d’ADMR.

comment ses promoteurs cherchent à l'imposer, Numérique-Cybersécurité

comment ses promoteurs cherchent à l'imposer, Numérique-Cybersécurité

Plus sûre, plus pratique et moins chère. A entendre ses défenseurs, la signature électronique aurait dû s’imposer dans les entreprises bien avant le confinement forcé du printemps dernier. En cette période exceptionnelle, les éditeurs de logiciels du secteur la présentent comme une nécessité pour qui veut continuer à signer des contrats sans pouvoir se déplacer. Pour la suite, ils ne manquent pas non plus d’arguments visant à faire de la signature dématérialisée une bonne pratique.

De DocuSign à Adobe Sign ou Yousign, les logiciels de signature électronique sont des interfaces permettant aux signataires d’un contrat de le remplir facilement, de le signer numériquement puis, dans certains cas, d’éditer des documents connexes comme une facture. Dans le monde de l’entreprise et sous presque toutes les législations, ces signatures électroniques ont la même valeur qu’un autographe manuscrit.

Sachant que remplacer le duo papier-stylo pourrait prendre des années, ses promoteurs parlent directement au portefeuille de leurs clients et s’attaquent au « coût caché » de la signature à la main pour accélérer le mouvement. Avec les frais d’impression et de déplacement, « on passe de près de 1,20 euro par document en papier à moins de 0,30 euro en numérique », assure DocuSign sur son site Web pour justifier le tarif de son logiciel, à partir de 9,99 euros par mois et par utilisateur (contre 25 euros par mois pour neuf utilisateurs pour Adobe Sign).

Double authentification

Souvent, les clients s’enquièrent de la sécurisation de ce type de système. « La signature électronique est plus sûre que la signature avec un stylo », souligne Daniel Springer, le directeur général de DocuSign, pour qui il est facile d’imiter un gribouillis manuscrit alors que des systèmes de double authentification via l’envoi de SMS de confirmation sur le smartphone du signataire en ligne permettent, eux, de garantir l’identité de ce dernier.

Néanmoins, l’argumentaire ne convainc pas encore tout le monde et certaines institutions symboliques y demeurent rétives. En dépit du lobbying de grands noms de la Silicon Valley, l’autorité des marchés financiers américains n’accepte, par exemple, toujours pas la signature électronique pour le dépôt des comptes trimestriels des entreprises cotées. Le marché a donc encore une belle marge de progression devant lui.

les entreprises victimes de la rivalité entre hackers, Numérique-Cybersécurité

les entreprises victimes de la rivalité entre hackers, Numérique-Cybersécurité

Les groupes de cybercriminels entrent dans une nouvelle dynamique de bien mauvais augure pour leurs victimes. Les cyberattaquants se livrent désormais à une course pour être les premiers à s’approprier les données des entreprises et faire chanter leurs dirigeants.

« La pression des attaquants est très forte depuis la rentrée », confirme Loïc Guezo, le directeur stratégie cybersécurité pour l’Europe du Sud de l’éditeur de logiciels de protection des e-mails Proofpoint. En France, le transporteur CMA-CGM, les maisons de retraite Orpea ou encore la métropole d’Orléans font partie des dernières victimes. Aux Etats-Unis, les librairies Barnes & Noble et 250 cliniques du groupe Universal Health Services n’ont pas échappé au fléau.

Des attaques de plus en plus pressées

Pour l’expert, une partie de ces attaques peuvent être imputées à l’intensification de la compétition entre cybercriminels. « Nous constatons maintenant que des entreprises sont ciblées par plusieurs groupes en même temps parce que les attaquants veulent agir vite avant de se faire damer le pion par un autre groupe », poursuit-il. Sur un marché très rentable avec des taux de marge à trois chiffres, chacun veut la plus grosse part du gâteau.

Au fil des attaques et des rapports les analysant, les indices concordent. D’abord, les cyberattaquants semblent de plus en plus pressés. Un récent compte rendu du cabinet Wavestone se félicite certes que les intrusions informatiques soient détectées de plus en plus tôt (94 jours en 2020 contre 167 jours en 2019). Mais ce chiffre reflète davantage la nouvelle célérité des malfaiteurs que les progrès des équipes de détection puisque les attaques sont repérées, dans deux cas sur trois, après qu’elles ont fait des dégâts.

Tactique de volume

Ensuite, une partie des attaquants privilégie désormais le volume à la qualité. Ils délaissent les attaques ciblées, plus rentables mais plus complexes à mettre en oeuvre, pour préférer le tir à l’aveugle. En automatisant une partie de leurs dispositifs, ils envoient leurs logiciels malveillants vers davantage de proies et prennent de vitesse leurs rivaux. Mais cette tactique de volume est très dangereuse car les hors-la-loi ignorent qui tombe dans leur filet : en pensant s’en prendre à une université, un groupe criminel s’est en réalité attaqué à un hôpital en Allemagne et est maintenant soupçonné d’être à l’origine du premier mort en raison d’une attaque informatique.

Enfin, les attaquants semblent maintenant résolus à tirer le plus de profits possible de leurs larcins. Une victime est maintenant souvent dépouillée de tous les côtés. D’après Wavestone, sur 60 incidents de sécurité majeurs, les trois quarts combinent la paralysie du système informatique jusqu’au paiement d’une rançon et le vol de données monnayables au marché noir. Arrivée en France dans la première partie de l’année,à l’image du traitement réservé à Bouygues Construction, la pratique s’est visiblement très vite répandue.

La course entre cyberattaquants ajoute souvent du vice au vice. « J’ai vu qu’on avait proposé un déchiffreur à une entreprise victime d’un logiciel qui lui avait chiffré ses données alors qu’il s’agissait en fait d’un système de surchiffrement, par-dessus la première attaque », raconte Loïc Guezo. Pour retrouver ses données, la victime aurait été alors forcée de payer deux interlocuteurs, d’abord le second attaquant pour obtenir ses données chiffrées selon la méthode du premier, et ensuite le premier pour récupérer ses données en clair. Mais il semblerait qu’elle ait refusé cette arnaque.

Fériel Bouakkaz, la femme de la cybersécurité, Coaching

Fériel Bouakkaz, la femme de la cybersécurité, Coaching

Se nourrir de l’énergie ambiante. Née à Annaba, dans le Nord-Est algérien, Fériel Bouakkaz n’est pas issue du sérail de la tech (son père est boulanger, tandis que sa mère gère le foyer), mais elle est adepte, depuis le plus jeune âge, de jeux vidéo. « Curieuse de découvrir les arcanes du ‘gaming’ et consciente que l’informatique offre de nombreuses opportunités professionnelles, j’ai choisi cette voie sans trop me poser de questions », confie la jeune femme de trente et un ans, qui vit en France depuis sa soutenance de thèse et est enseignante-chercheuse en cybersécurité depuis trois ans.

Première femme accréditée CEI

Au même titre qu’elle a été encouragée par son cercle familial à se lancer dans des études numériques, Fériel Bouakkaz sait gré à son équipe de l’Efrei Paris – où elle est enseignante-chercheuse depuis 2019 – de l’avoir « portée » dans sa démarche pour obtenir l’accréditation Certified EC-Council Instructor. (CEI) « Mes collègues n’ont jamais douté un seul instant dans ma capacité à réussir. Les questionnements n’émanaient que de moi », se souvient celle qui, au printemps dernier, est devenue la première femme en France instructrice CEH (Certified Ethical Hacker ou hacker éthique certifié). « Je retiens de cette expérience que l’entourage est essentiel et dégage une énergie dont il ne faut pas hésiter à se nourrir », dit-elle.

En finir avec les stéréotypes

Se détacher des idées reçues. Comptant seulement 11 % de femmes, les métiers de la cybersécurité
s’ouvrent très lentement à la mixité.
Néanmoins, ce chiffre a peu de poids aux yeux de Fériel Bouakkaz désireuse d’en finir avec les stéréotypes pesant sur le monde de l’informatique. « Le cliché selon lequel on ne fait que du ‘pentest’ [test d’intrusion, NDLR] contribue certainement à éloigner les talents féminins, mais ne correspond en rien à la réalité. Les profils de la cybersécurité doivent faire abstraction des stéréotypes et il faudrait donner davantage de visibilité à toutes les facettes de notre activité », insiste-t-elle, évoquant les domaines de la gouvernance, de l’audit et du volet juridique de la sécurité des systèmes d’information « où les femmes ont toute leur place ».

Eriger en Graal la montée en compétences

« Dès lors que le profil cumule la passion pour son métier et une solide expertise, il n’y a aucune raison de s’interdire tel ou tel secteur », assure celle qui a été surprise, lors de sa formation CEH, d’être considérée par les formateurs comme l’une de leurs pairs. « Personne n’a à rougir d’être expert dans sa spécialité », note-t-elle.

Eriger en Graal la montée en compétences. Tout au long de son parcours qui l’a menée de l’université de Béjaïa (Algérie), à l’université de Bretagne occidentale de Bretagne (à Brest), puis à l’Ensea, et enfin à Efrei Paris, où elle occupe aujourd’hui le poste d’enseignante-chercheuse, Fériel Bouakkaz n’a eu de cesse de monter en compétences dans ses domaines, la cryptographie, la sécurité des infrastructures ou encore le hacking éthique. « En tant qu’enseignante-chercheuse, ‘rester à jour’ sur mes sujets est évidemment mon quotidien. Mais être infaillible dans sa propre spécialité n’est pas suffisant : la cybersécurité est un ensemble de spécialités connexes. Il est donc indispensable d’être au fait des évolutions de l’ensemble du secteur », pointe l’informaticienne.

Pas de droit à l’erreur

La protection des données critiques des organisations étant devenue une priorité stratégique aussi bien pour les entreprises que les Etats, le droit à l’erreur n’est pas permis. Peut-être encore moins lorsque l’on est une femme experte du risque cyber… Quoi qu’il en soit, Fériel Bouakkaz estime qu’aucune source d’information ne doit être négligée, ni l’abondante documentation existante ni les retours d’expérience des acteurs privés, « qui permettent d’ancrer dans le monde réel les travaux académiques ».

Sekoia lève 10 millions d'euros pour s'attaquer aux cybermenaces, Financer la croissance

Sekoia lève 10 millions d'euros pour s'attaquer aux cybermenaces, Financer la croissance

Sekoia vient de mettre au point une plateforme qui anticipe et détecte les menaces de cyberattaques, traitées automatiquement. La société a annoncé sa première levée de fonds de 10 millions d’euros pour la commercialiser en France et en Europe.

Sekoia modernise la lutte contre les cyberattaques. L’entreprise, dont les activités sont réparties entre Rennes et Paris, vient de mettre au point une toute nouvelle plateforme, nommée Sekoia.io, qui permet d’anticiper les menaces de la cybercriminalité, de les détecter rapidement puis de les traiter de façon automatique. Pour commercialiser sa solution en France et en Europe, Sekoia a annoncé jeudi 8 octobre avoir bouclé sa première levée de fonds à 10 millions d’euros auprès d’Omnes et d’Alliance Entreprise.

« Chaque jour, notre plateforme récupère de l’ordre de 20.000 données techniques sur les attaques cyber. Elles viennent de plusieurs sources internationales que nous agrégeons pour connaître avec précision l’évolution de la cybercriminalité », précise Freddy Milesi, cofondateur et président. Une dizaine des 80 collaborateurs de l’entreprise se charge ensuite de détecter pour le compte de ses clients les risques réellement encourus, puis de les préparer à se défendre « de façon automatique », continue-t-il. Vendue en mode SaaS, la plateforme Sekoia.io s’adapte à tous les environnements technologiques existants au sein des groupes et autres organisations.

Une baisse de 30 à 50 %

« Par rapport à une solution classique, nous proposons une baisse de 30 à 50 % de la facture cyber des entreprises », insiste Freddy Milesi qui fait état de premiers clients dans le domaine hospitalier, la finance et les collectivités. Quatre années de R&D et plus de 7 millions d’euros, principalement issus d’aides financières de Bpifrance, de la Direction générale de l’armement (DGA) et du crédit impôt recherche (CIR), ont été nécessaires pour arriver à développer cette plateforme. Une trentaine d’ingénieurs vont être recrutés dans les prochains mois, afin de vendre la solution et poursuivre les travaux de R&D.

Aux côtés de l’équipe dirigeante qui contrôle toujours la majorité du capital de Sekoia, ses nouveaux actionnaires entendent faire de cette société technologique une ETI européenne. Car elle s’inscrit dans un marché en très forte croissance évalué à « un montant prévisionnel de l’ordre de près de 6 milliards d’euros en 2023, uniquement en Europe », estime Freddy Milesi. Il commence aussi à regarder d’éventuelles opportunités de l’autre côté de l’Atlantique.

La levée de fonds

Date de création : 2008

Président : Freddy Milesi

Montant : 10 millions d’euros

Effectifs : 80 personnes

Secteur : cybersécurité