Petites ou grandes, toutes les entreprises sont exposées aux cyberattaques, préviennent Jessica Miclotte et Jeremy Grandclaudon, respectivement experte en industrie du futur et expert senior en cybersécurité au sein de l’Agence du numérique de la Région wallonne.
Comment la cybercriminalité a-t-elle évolué ces dernières années?
Jeremy Grandclaudon: “C’est devenu un secteur en soi, extrêmement lucratif et qui déborde de moyens et d’imagination. On assiste même au développement du ‘malware as a service’: des sociétés organisées conçoivent et vendent ou louent ‘clé en main’ ces programmes malfaisants à d’autres qui n’ont pas leurs compétences techniques.”
Toutes les entreprises sont-elles concernées?
Jeremy Grandclaudon: “Absolument. Avec cette facilité d’accès aux outils, les ressources nécessaires à une cyberattaque – temps, compétences et argent – ont drastiquement diminué. Même mal conçues, de grandes campagnes de phishing se révèlent très rentables dès lors que quelques pour cent à peine des récipiendaires tombent dans le piège. Les pirates sont donc moins sélectifs et attaquent tous azimuts, y compris les petites structures. La question n’est donc plus de savoir si vous allez être attaqué, mais quand et combien de fois.”
Comment les cybercriminels procèdent-ils?
Jeremy Grandclaudon: “Le mode opératoire le plus classique consiste à faire pénétrer un fichier dans votre système via une clé USB ou l’ouverture d’une pièce jointe accompagnant un e-mail frauduleux. Ce fichier scanne tous vos appareils connectés et vos sources de données, puis il encrypte discrètement l’ensemble. Vous vous retrouvez un beau matin avec tout votre système bloqué. Le criminel maintient un seul canal de communication avec l’entreprise, par lequel il négociera une rançon en échange d’une clé de décryptage.”
Pour être victime d’une cyberattaque, il faut, par définition, être digitalisé. Quel est le niveau d’exposition des entreprises wallonnes aujourd’hui?
Jessica Miclotte: “On observe une dynamique à deux vitesses, qui reflète le tissu industriel wallon. D’une part, un nombre très important de petites sociétés conservent un niveau de maturité numérique plutôt faible. Souvent, elles sont informées et commencent à percevoir les risques, mais elles ne passent pas à l’action. À côté de cela, un petit nombre de grandes entreprises et d’entreprises de taille moyenne sont très avancées dans leur processus de digitalisation. Celui-ci va fréquemment de pair avec un très haut niveau d’excellence et de compétitivité.”
En quoi les entreprises industrielles sont-elles particulièrement exposées aux cyberattaques?
Jeremy Grandclaudon: “Précisons d’abord que même un indépendant dont le business repose simplement sur un smartphone et un fichier clients Excel doit se sentir concerné. Les criminels attaquent tout le monde. Personne n’est à l’abri d’un e-mail ou d’un message WhatsApp malfaisant, ouvert par inadvertance.”
“Un bon mot de passe et l’adoption du principe de double authentifi cation vous mettront déjà à l’abri d’un grand nombre d’attaques peu sophistiquées.”
Jessica Miclotte: “Quant aux entreprises manufacturières, en plus des systèmes informatiques classiques, elles disposent de plus en plus de machines connectées à leurs propres réseaux, mais aussi à ceux de leurs partenaires, sous-traitants ou distributeurs. Elles sont des cibles autant que des portes d’entrée. Or, l’arrêt d’une chaîne de production a des conséquences énormes. L’adoption de politiques de cybersécurité doit être à la mesure du risque, qui est majeur.”
Sur quoi pèsent ces risques?
Jessica Miclotte: “Sur les résultats, bien sûr, mais aussi, parfois, sur la viabilité même. Ou encore sur la société dans son ensemble. On pense forcément aux industries pharmaceutique et alimentaire, mais cela va plus loin. Voilà pourquoi l’Union européenne, avec sa directive NIS 2, impose des exigences de sécurisation pour toutes les grandes entreprises dans les secteurs jugés stratégiques, parmi lesquels l’énergie et la fabrication de machines et équipement ou de véhicules automobiles.”
Comment les petites entreprises avec peu de ressources peuvent-elles procéder?
Jeremy Grandclaudon: “Pas besoin d’être un spécialiste: un bon mot de passe et l’adoption du principe de double authentification vous mettront déjà à l’abri d’un grand nombre d’attaques peu sophistiquées. Pour le reste, les budgets à affecter doivent être déterminés en fonction du rapport coûts/bénéfices. J’encourage chaque entrepreneur à évaluer les dommages qu’il subirait si tous ses systèmes et accès étaient bloqués pendant plusieurs jours. Une entreprise dont une grande part des ventes se font en ligne, par exemple, serait bien avisée de prévoir un budget à la hauteur.”
“Il est bon d’identifier quelqu’un dans l’entreprise qui soit intéressé par le sujet et qui détiendra des informations permettant de réduire les risques les plus basiques.”
Faut-il aussi dédier de la ressource humaine à la prévention?
Jessica Miclotte: “Même si 90% des entreprises ne disposent pas d’une personne dédiée, il est bon d’identifier quelqu’un dans l’entreprise qui soit intéressé par le sujet et qui détiendra des informations permettant de réduire les risques les plus basiques. Ce sera aussi la personne de référence à qui s’adresser en cas de doute. L’avantage de former une personne en interne est qu’elle connaît bien l’entreprise et les données, fichiers et systèmes les plus importants à protéger, et sur lesquels il faudra concentrer l’effort.”
Et pour ceux qui veulent aller plus loin?Jessica Miclotte: “Même avec peu de moyens et d’expertise, on peut s’appuyer sur des partenaires externes, notamment les hébergeurs de données et les fournisseurs de solutions IT. Nos dispositifs sont aussi là pour aider. L’écosystème en Wallonie est très riche. Aux entreprises d’en profiter.”