Des entreprises souvent prises au dépourvu
La réaction de Food S.A. à la cyberattaque a été rapide et ciblée. Mais ce n’est pas toujours le cas, surtout si les victimes sont des petites et moyennes entreprises sans service informatique dédié. Nombre d’entreprises ne sont pas tout à fait conscientes des dangers auxquels elles sont exposées en cas de piratage et de la manière dont elles doivent se comporter dans de telles situations. Pire encore, elles ne réfléchissent aux mesures et aux procédures nécessaires que lorsqu’elles sont victimes d’attaques et réagissent donc de manière improvisée. «Elles sont prises au dépourvu», constate Simon Seebeck, responsable du centre de compétences Cyberrisques auprès de la compagnie d’assurance la Mobilière. La gestion des risques doit s’appuyer sur des mécanismes de défense bien rodés en cas de cyberattaque. Il s’agit d’une condition essentielle pour une gestion d’entreprise responsable et durable sur le long terme.
Toutes les données ont de la valeur
L’absence de mesures de sécurité et de prévention informatiques dans les petites entreprises est souvent justifiée par la taille modeste des entreprises et leur manque d’attractivité pour les agresseurs potentiels. «C’est un leurre: ces entreprises sont, au contraire, des cibles faciles pour les pirates, qui peuvent en extraire des données sans effort», selon Seebeck. Les cybercriminels trouvent toujours quelque chose à exploiter: «Les entreprises consignent les coordonnées bancaires ou encore les données des factures, autant d’informations qui peuvent être exploitées pour une nouvelle attaque – éventuellement contre une autre entreprise, plus grande. En bref, toutes les données ont de la valeur», alerte l’expert en sécurité informatique.
Certaines failles de sécurité sur les réseaux d’entreprise étonnent, même si la connaissance du problème a considérablement progressé – pas seulement depuis la pandémie de coronavirus et la généralisation du télétravail. Dans de nombreux cas, les bonnes pratiques tardent à être mises en place: ainsi, nombre de collaborateurs ne savent pas ce qu’il faut faire ni quand il faut le faire. Les mesures de sécurité nécessaires sont repoussées sine die, par manque de temps ou en raison des coûts. Pourtant, on sait aujourd’hui que la sécurité informatique ne dépend pas uniquement de mesures technologiques, mais surtout de la formation des collaborateurs et de leur comportement.
La sauvegarde automatique des données fait désormais partie des mesures de précaution généralisées. Avec l’usage d’un pare-feu et d’un logiciel antivirus à jour, de nombreuses petites entreprises se sentent en sécurité. Mais nombre d’entre elles ignorent que la sauvegarde des données ne suffit plus. Food S.A. l’a découvert à ses dépens:
Le samedi même, des spécialistes informatiques engagés par le grossiste ont commencé à analyser les sauvegardes de l’entreprise et ont abouti à un constat peu reluisant: les copies de sauvegarde étaient partiellement contaminées également. Par chance, une ancienne sauvegarde a pu être trouvée, de manière à ce que Food S.A. puisse reprendre ses activités au bout de cinq jours. Jusqu’à ce moment-là, l’entreprise est restée partiellement paralysée.
Les pirates agissent de manière subtile et silencieuse
Autrefois, les attaques des pirates informatiques s’apparentaient à des casses de banque: les pirates s’introduisaient rapidement dans les systèmes, cryptaient les données et demandaient une rançon. Aujourd’hui, les criminels agissent de manière plus subtile et discrète: ils se nichent dans les réseaux, recherchent des autorisations, des codes d’accès ou des sauvegardes et ne chiffrent ou ne volent les informations qu’à un stade ultérieur. «Cette nouvelle approche affecte également la sauvegarde des données: les entreprises sont incapables de déterminer avec précision quelles données ont été volées ou modifiées», explique M. Seebeck, expert en sécurité informatique pour la Mobilière.
Cette incertitude pose également des défis supplémentaires aux dirigeants des entreprises quant à la notification des cyberattaques: qui doit être informé? Faut-il s’adresser à tous les fournisseurs et clients, ou communiquer uniquement avec les acteurs directement affectés? De plus, l’ampleur de l’attaque n’est souvent déterminée que plusieurs jours après, lorsque les données de l’entreprise se retrouvent sur le darknet suite à une demande de rançon.
Food S.A. a également été menacée de publication de données si elle ne répondait pas à la demande de rançon des pirates. Les attaquants prétendaient détenir des données financières, des listes de clients, des offres et des données de collaborateurs, entre autres. En outre, les criminels exigeaient le paiement pour décrypter les données.
Aide extérieure en cas de chantage
Comme de nombreuses entreprises sont confrontées à des attaques criminelles, des demandes de rançon et des négociations avec les maîtres chanteurs, elles se tournent vers des partenaires de confiance extérieurs. Il s’agit notamment de groupes d’assurance comme la Mobilière, qui dispose d’une offre variée de prévention et d’assurance sur ce thème.
Pendant la phase de négociation faisant suite au chantage, Food S.A. a pu reprendre ses activités quotidiennes grâce à une infrastructure de remplacement. Parallèlement, son système informatique a été nettoyé et reconfiguré. Ce n’est qu’avec le temps que les données vérifiées ont pu être réintroduites dans les ordinateurs. Pour toutes ces tâches, Food S.A. a pu compter sur un partenaire technique de la Mobilière, qui a aidé le prestataire informatique du client à effectuer les travaux de restauration. Un autre partenaire de l’assureur a analysé les sauvegardes et vérifié où et dans quelle mesure les attaquants s’étaient infiltrés dans le réseau. Enfin, un gestionnaire de crise externe a accompagné le fournisseur dans sa communication avec les parties prenantes internes et externes, ainsi qu’avec les maîtres chanteurs.
Une cyberassurance à toute épreuve
Les dépenses liées à la restauration des systèmes, à la vérification et à la restauration des données, ainsi que les coûts liés à l’interruption de l’exploitation peuvent rapidement atteindre des montants considérables, parfois à six chiffres. Heureusement pour Food S.A., l’entreprise avait souscrit une cyberassurance auprès de la Mobilière, ce qui lui a permis de couvrir ces dommages importants.
Après les jours angoissants de l’attaque informatique, Food S.A. a pu se concentrer à nouveau à ses activités quotidiennes, non sans avoir mis à jour ses mesures de sécurité informatiques afin de se prémunir d’autres attaques.
Comment en tirer les bonnes leçons
Le traitement minutieux et détaillé d’une cyberattaque est de la plus haute importance. C’est la seule façon d’en tirer les bonnes leçons pour l’avenir, de prendre des mesures préventives ciblées et d’assurer la sensibilisation nécessaire dans l’entreprise. En effet, plus les processus sont rodés, moins les dégâts seront importants – et plus vite l’entreprise retrouvera son fonctionnement normal après cette nouvelle attaque.