Les Echos Lundi 9 mars 2020 EXECUTIVES// 37
Valérie Landrieu
@ValLandrieuQ
uand, dans la nuit du mer-
credi 10 au jeudi 11 avril 2019, le
téléphone d’A nne Michel reten-
tit, elle est depuis seulement deux mois
en poste chez Fleury Michon. La nou-
velle directrice organisation et systèmes
d’information va toutefois devoir rapi-
dement gérer une cyberattaque non
répertoriée. L’agression va se révéler
être un « ransomware », un logiciel
hostile qui prend les données en otage
et prie la victime de payer une rançon.
L’entreprise agroalimentaire maîtrisera
l’incident, redémarrant son système en
trois jours. Mais il faudra tout de même
attendre la fin du mois, pour que les
opérations renouent avec un rythme de
croisière, et le début de l’été, pour que
les systèmes d’information fonction-
nent normalement.
Depuis l’attaque, la sécurité informati-
que est en première ligne des objectifs
de l’entreprise vendéenne. « Investir
dans la cybersécurité signifie mettre de
l’argent sur les réseaux, les serveurs, les
sauvegardes ; c’est coûteux. Il faut avoir
vécu une cyberattaque pour ne pas avoir
envie de raboter le budget », témoigne
Anne Michel. Elle a notamment puproblème sanitaire que d’une cyberatta-
que... Pour autant, dès 10 heures le jeudi,
le directeur général, le directeur finan-
cier, le directeur des opérations et des
ressources humaines, et le collabora-
teur chargé de l’organisation de la cel-
lule de crise se retrouvaient autour de la
directrice des systèmes d’information
pour établir un premier état des lieux.En avril 2019, les systèmes
d’information de Fleury Michon
ont été attaqués par un
« ransomware », alors non
identifié. Plusieurs enseignements
peuvent être tirés de l’expérience.nommer un responsable de sécurité
informatique (RSSI) à temps plein et
doter la PME d’un schéma directeur sur
trois ans. Au demeurant, pour la res-
ponsable – au-delà des exigences tech-
nologiques, telle la segmentation des
réseaux de gestion et d’informatique
industrielle –, « la morale de l’histoire,
c’est que pour bien affronter une cyberat-
taque, il faut se préparer ». Quatre prin-
cipes montrent la voie.1
S’assurer pour
le cyberrisque
Indépendamment du remboursement
des coûts liés à une cyberattaque, l’assu-
rance offre quelques avantages. « Dès
9 heures, le jeudi, le cabinet d’assurances
m’a mise en contact avec une entreprise
spécialiste en cybersécurité (Intrinsec,
NDLR), agréée par l’Agence nationale de
la sécurité des systèmes d’information
(Anssi). Pour moi, qui, à l’époque, con-
naissais à peine les prestataires de Fleury
Michon, une telle garantie me permettait
de traiter la crise avec plus sérénité »,
témoigne la cadre dirigeante.
A signaler également : l’aide de l’assu-
reur pour remplir le formulaire de
déclaration d’incident de sécurité à
adresser à la CNIL. La démarche est
obligatoire mais les directions des
systèmes d’information (DSI) y sont
rarement rompues.2
Prévoir une cellule de crise
adaptée
Si l’activation d’une cellule de crise était
bien prévue chez Fleury Michon, le
scénario envisagé partait plus d’unCyberattaque :
4 grands principes
pour y faire face
BUSINESS CASE
Et s’accorder sur l’information à
diffuser en interne et à l’externe.
« J’ai mis en place une réunion toutes
les quatre heures, précise Anne Michel,
l’objectif étant, à chaque fois, de faire
un point sur le plan d’action, sur
son avancement et de partager
les éléments avec tous les membres
de la cellule. »3
Constituer une
équipe d’intervention
et la manager
Du fait de son activité en produits frais
et de la saturation des entrepôts, l’entre-
prise disposait de trois jours pour redé-
marrer. « Nous ne savions pas si tout
notre système avait été attaqué, mais une
chose était sûre : il fallait reconstruire
entièrement le système d’information »,
indique la professionnelle. Toutes les
procédures de l’entreprise étant digitali-
sées – la documentation était hébergée
sur l’intranet –, il faudra recourir à la
mémoire collective et à l’attachement
des salariés, y compris un ancien. Aux
prestataires habituels de l’entreprise
viendront s’ajouter ceux que connaît
Anne Michel et les experts mandatés
par les assureurs. Ces derniers exige-
ront en outre la mise en place d’un SOC- security operation center – pour
reprendre l’activité. Pendant plus d’une
semaine, la DOSI va devenir une ruche
d’une centaine de personnes, travaillant
24 heures sur 24.
Avec le recul, Anne Michel pointe la
dimension managériale de la gestion de
crise : « J’ai dû réunir les équipes inter-
nes pour leur expliquer que la venue des
experts ne remettait pas en cause leurs
compétences, que nous étions en difficul-
tés et que nous avions besoin d’eux », se
souvient-elle.
4
Pratiquer
le copilotage
avec les métiers
De même, elle insiste sur la nécessité
d’un copilotage avec les dirigeants
opérationnels : « Lorsque j’ai appelé le
directeur industriel pour l’avertir qu’il y
avait une cyberattaque, je l’ai averti que
l’on allait tout couper et qu’il n’aurait
plus du tout d’informatique dans ses
usines. Et pendant tout le temps de la
crise, je lui ai demandé de rester avec
moi », partage-t-elle encore.
Pendant la crise, directeurs d’usine et
direction logistique se retrouveront
chaque jour au siège de l’entreprise
autour de la DSI. « En cas d’attaque, il ne
faut surtout pas s’isoler du reste de
l’entreprise mais se placer au plus proche
des métiers, de leurs représentants et
partager leurs préoccupations », con-
seille cette dernière.nl’entreprise de contrôler totalement les
usages et connexions en son sein. Du
reste, Cybersecurity Insiders, un média
en ligne spécialiste du sujet, vient tout
juste de publier une étude intitulée
« 2020 Zero Trust Progress Report ».
Cependant, cette tendance semble loin
d’être une panacée. Explications avec
Pascal Delcombel, entrepreneur et
défenseur d’une philosophie équilibrée
des systèmes d’information, également
ancien DOSI du groupe Cémoi, une
société agroalimentaire de plus de 3.000
salariés.Trop lourd, trop coûteux
L’étude, conduite auprès de 400 déci-
deurs spécialisés en cybersécurité,
conclut que plus de 7 entreprises améri-
caines sur 10 (72 %) envisageant de
passer au Zero Trust, sont en train de le
faire ou l’ont déjà adopté. Cependant,
47 % des experts interrogés ne sont pas
certains de pouvoir appliquer efficace-
ment ce modèle à leur architecture
d’accès. Si les trois principes du Zero
Trust – protection des données, vérifica-
tion constante et authentification draco-
nienne – sont bien connus, les profes-
sionnels chargés de l’implémenter en
entreprise demeurent perplexes quant à
son application concrète. Pour Pascal
Delcombel, ils ont de nombreuses rai-
sons de douter. « Le Zero Trust est le
retour de balancier du “bring your own
device” [connu sous le nom de BYOT,caractères spéciaux, NDLR] pour chaque
application ou site, le salarié se retrouve à
devoir mémoriser des dizaines de mots de
passe complexes, ce qui est impossible.
Résultat, certains reviennent au pense-
bête pour tout noter. Dans mon ancienne
société, nous faisions un tour par an des
bureaux, et avions calculé que 9 % des
salariés avaient un pense-bête attaché sur
leur PC avec leurs mots de passe », pointe
Pascal Delcombel.
En théorie, un gestionnaire de mots de
passe permet de remplir automatique-
ment ceux-ci, sauf que les règles de
sécurité imposent de changer, parfois
tous les mois, de mot de passe. Surtout,
l’intérêt d’un mot de passe connu du
seul utilisateur humain est rapidement
perdu, puisque c’est la machine elle-
même qui remplit le mot de passe. « Le
Zero Trust est une psychose venue des
Etats-Unis, mais qui arrive en France.
Pour une grande majorité des entreprises,
cela rigidifie inutilement le système
d’information et s’oppose totalement aux
besoins de flexibilité et d’agilité des socié-
tés modernes. Les gains en termes de
sécurité sont d’ailleurs marginaux »,
souligne le spécialiste. Pour autant, tous
les usages de ce nouveau système ne
sont pas à bannir. Ainsi, de plus en plus
d’entreprises utilisent un système
d’intelligence artificielle (IA) permet-
tant de surveiller les comportements
numériques des utilisateurs. « La con-
sultation de sites anormaux, par exem-ple, entraîne un blocage du PC et une
alerte est envoyée à la DSI. Celle-ci juge
ensuite si l’alerte est justifiée ou non. Cela
génère beaucoup de fausses alertes, mais
permet en revanche de détecter efficace-
ment les comportements à risque »,
poursuit Pascal Delcombel.Privilégier la navigation
sécurisée
Sans aller jusqu’à l’utilisation d’une IA,
il existe des moyens accessibles et effica-
ces pour renforcer la sécurité des entre-
prises. « Un VPN [réseau privé virtuel en
anglais, NDLR] par exemple coûte 20 à
30 dollars par an et est relativement facile
à mettre en place. Il permet aux utilisa-
teurs de travailler avec leur matériel
informatique personnel. Les millenials,
nés avec un portable dans la main, sou-
haitent pouvoir le faire, car ils ne font pas
la même distinction entre vie privée et vie
professionnelle que les anciennes généra-
tions », détaille le spécialiste. Ce dernier
en est convaincu, pour une immense
majorité d’entreprises, la navigation
sécurisée – ce qui est le cas dès que votre
barre de recherche débute par https (s
pour sécurisé) – et du bon sens suffisent.
« Dans mon ancienne boîte, mais aussi
chez Michelin ou Peugeot dont je connais
bien les anciens DSI, nous avions tous mis
en place ces mesures simples, sans avoir
besoin de recourir à des investissements
massifs en cybersécurité », conclut
l’expert.nJean-Marie CuninL’entreprise est souvent considérée,
d’un point de vue informatique, comme
un château fort. Ce qui se trouve à l’inté-
rieur des murs est protégé – c’est la zone
« trust » (ou white list), ce qui est en
dehors, dans la zone « untrust » (ou
black list) ne l’est pas. Mais les châteaux
forts se transforment de plus en plus en
« smart cities » ultraconnectées et
ouvertes aux quatre vents. Les salariés
deviennent nomades et veulent pouvoir
travailler depuis n’importe où, ce qui
pousse à stocker les données dans des
serveurs détenus par des tiers (les
clouds d’Amazon ou de Microsoft), et à
utiliser des infrastructures hors
site. Mais face aux nombreuses mena-
ces qui pèsent sur la cybersécurité des
entreprises s’impose peu à peu, aux
Etats-Unis, une nouvelle approche : le
« Zero Trust ». Il s’agit d’un ensemble de
règles de vérification qui permet àAprès avoir fortement encouragé
la flexibilité informatique, les
Etats-Unis rebroussent chemin en
bannissant toute forme de
confiance envers les usagers.
Le Zero Trust promet, à travers un
lourd arsenal sécuritaire,
de limiter grandement les risques
numériques.Zero Trust, ou la multiplication
des mots de passe
NDLR] où l’entreprise permettait une
trop grande liberté aux employés. Mais le
Zero Trust, qui veut prendre le contre-
pied total du BYOT, va trop loin, sauf
pour des secteurs très précis comme
l’armée. Pour 95 % des entreprises, ce
nouveau système est beaucoup trop lourd
et coûteux. De plus, vous avez beau le
mettre en place, rien n’empêchera jamais
une personne malveillante d’imprimer ou
de photographier les écrans, et même ce
coûteux blindage technologique ne peut
garantir un risque zéro », détaille le
spécialiste.Le Zero Trust induit, comme son nom
l’indique, une absence totale de con-
fiance, que ce soit envers l’extérieur de
l’entreprise ou avec ses propres
employés. Le système repose donc sur
une multiplication des mots de passe
imposés aux salariés, qui peuvent rapi-
dement se retrouver débordés. « Entre
la double authentification pour se con-
necter à son PC, et les nombreux mots de
passe durcis [avec des majuscules etSans aller jusqu’à
l’utilisation d’une IA,
il existe des moyens
accessibles et efficaces
pour renforcer la sécu-
rité des entreprises.Fleury Michon a été agressé par le biais
d’un « ransomware », un logiciel hostile
qui prend les données en otage
et prie la victime de payer une rançon.
Photo Fleury MichonTENDANCE
Ransomwares :
faut-il payer
la rançon?
Réponse sur :
echo.st/m334974