Les cyberattaques explosent et font des ravages dans les entreprises françaises. Pris à la gorge, les entrepreneurs doivent choisir entre payer une rançon à des criminels ou réparer les dégâts par eux-mêmes. Retour d’expérience.

 

Jamais ce patron de PME n’aurait imaginé payer une rançon en bitcoins à des criminels masqués derrière un écran d’ordinateur. Quelques heures après avoir constaté la paralysie totale d’une petite filiale de sa société de logistique en raison d’une cyberattaque, il se crée pourtant un compte sur un site Internet du dark web.

Ses requêtes habituelles sur les moteurs de recherche n’auraient pas pu l’amener là. Mais il a suivi les consignes d’un groupe criminel se faisant appeler Sodinokibi. Après quelques échanges de messages – « comme sur WhatsApp » – les hackers lui demandent 300.000 dollars en cryptomonnaie pour débloquer sa filiale. Une somme équivalente à un tiers du chiffre d’affaires annuel de la cible.

Le dirigeant est pris à la gorge. Depuis tôt ce matin du 27 janvier 2020, tous les fichiers stockés sur le réseau de l’entité sont illisibles. Un virus – un rançongiciel – les a renommés et cadenassés. Impossible pour ses salariés de retrouver leurs e-mails, leurs carnets de contacts, leurs tableaux de comptabilité. A moins de céder au chantage. « L’autre option aurait été de reconstituer un an de données, raconte-t-il, mais c’est un travail titanesque. »

Comme dans un « service client »

Ce professionnel installé dans le Sud-Est de la France souhaite rester anonyme, mais se souvient précisément des heures qui ont suivi. « Les attaquants nous répondaient très poliment, dans un anglais qui n’apparaissait pas comme étant leur langue maternelle. Entre chaque message, il pouvait s’écouler vingt minutes, parfois plusieurs heures, comme si nos interlocuteurs travaillaient dans un service client qui avait du boulot », détaille-t-il.

Les échanges, menés avec l’aide de spécialistes du risque cyber mandaté par son assureur contacté en urgence, durent plus d’une semaine. Les criminels finissent par abaisser le montant de la rançon. « A un moment donné l’assurance a dit d’accord on paye. »

Dilemme

Il s’agit alors de se procurer des bitcoins et de suivre les directives des criminels pour payer. L’argent part, sans que l’entreprise sache où. Puis elle reçoit un logiciel qu’elle exécute. « En quelques minutes, on retrouve nos fichiers en pleine forme et tout le reste disparaît », se souvient le patron.

En dépit de son dénouement heureux, la cyberattaque a laissé le dirigeant amer. « Les primes d’assurance que j’ai honorées pendant des années ont permis de sauver l’entreprise », avance-t-il. Cependant, l’idée « qu’on se satisfasse de mutualiser des fonds pour payer des criminels me rend malade », confesse le chef d’entreprise.

Il est loin d’être le seul à affronter ce dilemme. Année après année, des criminels en bande organisée, se faisant appeler DarkSide, Revil (alias Sodinokibi), Clop ou encore Conti, sévissent contre des acteurs de tous horizons et toutes tailles : grands groupes et PME, ministères et mairies, cabinets médicaux et même hôpitaux en pleine crise sanitaire n’échappent pas à leurs campagnes d’extorsion à grande échelle.

Explosion des attaques

Entre 2019 et 2020, l’Agence nationale de sécurité des systèmes d’information (Anssi) a relevé un quadruplement, à 192, du nombre d’attaques par rançongiciel perpétrées au sein des grandes administrations et des entreprises du CAC 40 qu’elle protège.

Et les observateurs sont persuadés que – sous les radars – des milliers d’entreprises de plus petite taille sont victimes chaque année. Faute d’être directement aidées par l’Anssi, celles-ci peuvent s’en remettre à des professionnels des technologies comme Orange Cyberdefense, Atos ou Wavestone ou à des experts travaillant au service d’assureurs comme Stelliant.

L’ampleur de la menace cyber pour les ETI et PME reste d’autant plus difficile à quantifier que les plaintes ne sont pas automatiques et les témoignages rares.

Olivier Piquet, le directeur général du groupe de lingerie fine française Lise Charmel, fait partie de ceux qui ont décidé de briser le silence. « Il vaut mieux en parler des cyberattaques, c’est le seul truc qui vous fout la boîte en l’air en 24 heures », décrit-il.

Le patron parle en connaissance de cause. Près de deux ans après avoir été la cible de hackers, son entreprise n’a toujours pas retrouvé le niveau d’activité de l’année 2018 pourtant marquée par le mouvement des « gilets jaunes ».

 

Redressement judiciaire

Simple à résumer, l’opération est en réalité un casse-tête. « Sans compter les prestataires, dix personnes ont bossé nuit et jour et week-end inclus pendant 1 mois », assure Olivier Piquet. Il faut rapatrier du matériel informatique de salariés à l’étranger, refaire des inventaires physiques, etc. Pendant ce temps-là, impossible d’encaisser les clients comme d’habitude, de les livrer, de commander les matières premières pour bien préparer la prochaine saison…

Le redémarrage de l’entreprise ne se fait que lentement. Résultat, les fêtes de fin d’année et la Saint-Valentin sont « ratées » alors que ce sont des événements clés pour le fabricant qui avait dégagé un chiffre d’affaires de 60 millions d’euros en 2018. Le groupe retrouve tous ses moyens opérationnels en septembre 2020, soit dix mois après le choc.

Entre-temps, l’entreprise a opté pour un redressement judiciaire, quatre mois après l’attaque. Une façon de se donner de l’oxygène notamment vis-à-vis des banques. Même si cette mesure de protection juridique, associée à la déroute d’une entreprise, rajoute une « autre couche d’opprobre », Olivier Piquet se félicite d’y avoir eu recours.

Le paiement des rançons en question

Elle a permis à l’entreprise de restructurer sa dette et revoir son organisation. Mais aussi de marquer des points dans la bataille qui l’oppose à son assureur sur l’indemnisation du préjudice subi. Le conflit n’est pas réglé. Et Lise Charmel peut au moins se prévaloir d’une assurance « cyber ».

Seulement 8 % des ETI pouvaient en dire autant en 2020, selon une enquête publiée cette année par l’association française des « managers des risques » des entreprises, l’Amrae. Les PME pourraient être encore moins équipées tandis que 87 % des grandes entreprises ont ce type de couverture.

Pourtant, l’assurance peut amortir le choc des cyberattaques en couvrant les pertes d’exploitation engendrées. Bercy a promis un plan d’action sur le sujet d’ici au début de l’année 2022. Car face à l’envolée du coût des attaques, les assureurs ont tendance à augmenter leurs prix et à se monter plus frileux. Ils mettent aussi en garde contre des attaques « systémiques », impossibles à couvrir car beaucoup trop destructrices.

Fausse bonne idée

Les autorités sont cependant attendues au tournant sur la question des rançons. D’après le cabinet de conseil Wavestone, 20 % des grands groupes attaqués finissent par payer, y compris des sommes pouvant atteindre des millions d’euros. Des assureurs peuvent proposer de prendre en charge ce paiement. Mais cette pratique est décriée. Notamment par l’Anssi, qui considère qu’elle entretient la cybercriminalité.

Les cybercriminels « ciblent désormais les fichiers des assureurs pour ensuite s’en prendre à leurs clients et avoir ainsi des garanties accrues de paiement », écrit Guillaume Poupard, le patron de l’autorité dans un rapport de la députée LREM, Valéria Faure-Muntian. Celui-ci n’hésite pas à jeter un pavé dans la mare en préconisant d’interdire le paiement des rançons par les entreprises et les prises en charge par les assureurs.

 

« Aucun système n’est inviolable »

Le coup est aussi parti d’une maladresse chez Pullin. Cette PME du Sud-Ouest, qui vend des vêtements pour hommes, a été victime d’une cyberattaque cet été qui a paralysé son siège pendant quelques jours. « Mon ancien directeur informatique n’avait pas remplacé certains mots de passe. Pour avoir accès au serveur, le mot de passe c’était Admin », se souvient son patron Emmanuel Lohéac.

Heureusement pour l’entreprise, les magasins ont pu continuer à tourner. L’entreprise décidée à ne pas payer la rançon réclamée a pu compter sur des sauvegardes pour repartir de l’avant. Pour autant, « aucun système n’est inviolable », considère le dirigeant.

Ce sentiment est partagé. Chez XXII, une start-up spécialisée dans la vidéosurveillance et l’intelligence artificielle, le virus, rencontré cet été, a vite été neutralisé. Mais le sentiment d’insécurité est resté. « Quand je vois que les gros acteurs de la cybersécurité n’ont pas pu nous aider, je me dis que c’est impossible d’être à jour », se désole son patron William Eldin.

Plus lucratif que le trafic de drogue

L’impunité apparente des criminels pose aussi question. Les entrepreneurs que nous avons interrogés ne s’attendent pas à ce que les forces de l’ordre arrêtent les criminels qui ont attaqué leur entreprise.

De fait, les cybercriminels opèrent le plus souvent hors du territoire français et la coopération internationale fonctionne mal. Quand un réseau est démantelé par les polices internationales, d’autres prennent sa place. A l’échelle mondiale, le cybercrime rapporte plus que le trafic de drogue, soulignent des experts.

Alerté par la montée en puissance de cette menace, l’Etat a promis un plan d’un milliard d’euros d’ici à 2025 pour renforcer la sécurité des entreprises et former des experts en cyberdéfense. La Gendarmerie nationale s’est dotée cette année d’un « commandement dans le cyberespace » regroupant 7.000 cyber-enquêteurs, avec pour objectif de passer à 10.000 l’an prochain, a déclaré récemment son commandant Marc Boget.

Des gendarmes « très éclairants »

De quoi – peut-être – mettre du baume au coeur d’Olivier Piquet pour qui les gendarmes « ont été très éclairants sur ce qui s’est passé », mais n’avaient pas assez de moyens pour l’aider quand la cyberattaque est survenue.

« J’ai porté plainte mais à la fin, on a payé un criminel pour qu’il arrête de nous embêter », lâche de son côté le dirigeant du Sud-Est de la France qui a payé une rançon. Qui se désole : « Je n’ai pas senti vraiment de lutte. »

 

Source : Les Echos