Ce 16ème FRC a été l’opportunité d’aborder la connaissance des risques et d’une introspection pour se prémunir contre les attaques sournoises et se préparer à y répondre par des actions organisées, tandis que les risques logiques et les cyberattaques figurent au premier plan dans la presse. À cet effet, une vidéo de démonstration réalisée avec la participation d’étudiants a détaillé les différentes étapes d’une cyberattaque par rançongiciel, dont voici un extrait explicite :
Bien que fictive, elle illustre la réalité causée par des situations d’hameçonnage ou de négligences humaines. Ce qui arrive dans 50% des cas… alors que les actions de sensibilisation et de formation du personnel, associées à des actions concrètes, seraient pourtant peu coûteuses pour éviter une telle situation. Voici maintenant un exemple bien réel cette fois, parmi d’autres, près de chez nous en Alsace (voir encadré).
Un état des lieux des cyberattaques en France a été dressé en se fondant sur le rapport d’analyse des cybermenaces 2023 établi par le commandement de la gendarmerie dans le cyberespace (ComCyberGend). Il a ainsi été présenté un ensemble de menaces, certaines des plus subtiles, ainsi que les tendances de la cybercriminalité, en même temps que les moyens importants engagés et les résultats déjà obtenus par la gendarmerie nationale, avec 9000 enquêteurs numériques de proximité au niveau des brigades, appuyés par des cyber-enquêteurs aux niveaux départemental, régional et national, et par des réservistes cyber. Il a été souligné que le cyber est un enjeu majeur qui nécessite la collaboration entre les acteurs pour faire face à un écosystème cybercriminel sophistiqué, mêlant professionnels et affiliés.
La synergie entre les différents acteurs au niveau territorial a été formalisée par un partenariat entre la Région Grand Est et l’État, avec des points de contact établis. Dans ce cadre, le centre territorial de réponse aux incidents cyber (CSIRT) a pour mission principale de trouver une aide adaptée aux victimes de cyberattaques en les dirigeant vers des prestataires de services privés, qualifiés en matière de réponse aux incidents de sécurité et de remédiation.
À leur tour, les services de la région de gendarmerie Grand Est et de la police nationale, au niveau local, faciliteront l’orientation des victimes qui souhaitent déposer plainte et en fournissant les indications pour ne pas polluer «la scène de crime» numérique servant à l’enquête.
Il a été vu que le dépôt de plainte est fondamental pour déclencher l’enquête et bénéficier d’une aide lors de négociations, mais également pour favoriser la connaissance de cybermenaces émergentes et ainsi faciliter la mise en oeuvre d’engagements opérationnels ciblés et proportionnés. Contrairement aux idées reçues, ce dépôt n’est pas difficile, pour peu que la victime sache qu’elle réside en zone police ou gendarmerie. À partir de cette indication, elle trouvera l’interlocuteur ad hoc dans un commissariat de police ou dans une brigade de gendarmerie, selon le cas. Il faut ajouter que chaque plainte fait l’objet d’un compte rendu auprès de l’autorité judiciaire afin de définir le service compétent pour la poursuite de l’enquête, selon la nature, la complexité, l’étendue et la gravité des faits. Ces enquêtes sont menées dès le dépôt de plainte et, malgré les difficultés techniques et procédurales notamment en cas de multi-territorialité, des condamnations sont prononcées. À ce propos, il a été souligné les actions menées par la section J3 du Parquet de Paris dédiée à la cybercriminalité qui portent leurs fruits.
Il a été mentionné qu’éviter une cyberattaque est souhaitable plutôt qu’avoir à y remédier. À ce propos, une réponse à incident, en mesure d’aboutir à un redémarrage, a été détaillée par étapes. Aussi, le passage par une analyse méthodique des risques est essentiel, de même que la prise en compte du facteur humain en faveur de la participation en englobant le risque cyber dans diverses couches de sécurité déjà mises en place dans l’entreprise. Les contraintes réglementaires, en particulier celles du règlement européen sur la protection des données personnelles (RGPD) ont été abordées, avec les différentes facettes et actions à mettre en place. La cybersécurité ne se limite pas à la technique, elle traite de l’organisation, et des aspects réglementaires et humains. Il faut ensuite insister sur l’importance de la synergie, à l’intérieur de l’entreprise comme à l’extérieur, et celle de la prise en compte du risque cyber par la direction générale et plus d’un seul service, avec un engagement suffisant pour ne plus subir et développer la résilience.
Enfin, la prospective a porté sur l’arrivée de l’intelligence artificielle, en faveur de la cybersécurité et des enquêteurs, mais aussi des cybercriminels en leur donnant des facilités de production d’attaques subtiles. Pour l’État, la bataille pour la souveraineté est engagée, avec la nécessité pressante de réglementation et de certification, et pour les organismes, cette nouvelle donne est à intégrer après étude et expérimentation.
Toutes les éditions sur : https://adhonores.alsace/index.php/cybermenaces- editions-passees
À noter que le prochain forum FRC est prévu le mardi 5 novembre 2024.
Cas d’une cyberattaque ayant mis fin à une entreprise alsacienne
Le fabricant de cloisons de bureaux et de salles blanches d’Illkirch-Graffenstaden Clestra Hauserman a été victime d’une cyberattaque par rançongiciel qui lui aurait coûté 20 millions d’Euros en perturbant gravement son activité, dans un contexte économique difficile, et alors qu’elle était en procès avec son bailleur qui réclamait le doublement du loyer annuel des locaux, actuellement de 1,3 million d’euros. D’abord placée en redressement judiciaire par la chambre commerciale du tribunal judiciaire de Strasbourg le 1er août 2022, elle a finalement été reprise par le groupe Jestia, suite au jugement de la même chambre le 13 octobre 2022.
Les faits : Le 1er mai 2022 au soir, le responsable informatique de l’entreprise constate qu’il ne peut accéder à aucune information. Il appelle le prestataire informatique qui le rejoint à 21 heures pour constater que tous les fichiers de l’ensemble des serveurs et des deux jeux de sauvegardes sont cryptés. Toutes les données étant inaccessibles : bureau d’étude, comptabilité, paie, commercial, etc., ce qui concerne toutes les étapes de la chaîne, depuis la commande jusqu’à sa réalisation. En conséquence, les 250 employés sont mis en chômage partiel, et l’usine et la production sont à l’arrêt le 2 mai. Des consultants et experts sont appelés, sans qu’une solution viable soit trouvée pendant près de deux mois. S’agissant d’un rançongiciel, le prix à payer aux pirates est de 85 000 euros, mais sans certitude d’obtenir la restitution des données. Les négociations sont arrêtées, considérant que ces derniers ne sont pas sérieux. La société s’en trouve très affaiblie, malgré les efforts pour trouver des substitutifs sur support papier et reconfigurer les serveurs de façon approximative. Il s’ensuit une production d’un faible niveau, de l’ordre de 10% et avec des erreurs, ceci pendant trois mois. Dans l’impossibilité de connaître ses besoins financiers ou autres, l’entreprise a dû se résigner à demander le dépôt de bilan.
Une évaluation du risque, suivie de l’établissement d’un plan de continuité d’activité (PCA) à jour, comprenant un plan de sauvegarde, pour un coût incomparablement faible en comparaison des pertes subies, auraient sans doute permis d’éviter la perte de l’entreprise.
Le témoignage de l’ex-président de l’entreprise : https://www.youtube. com/watch?v=uU8Eq4jGZH8&t=5s