Cybersécurité : ce que dit, et ne dit pas, le sondage Cesin/OpinionWay
Largement repris dans la presse, les résultats de ce sondage peuvent être présentés de manière dramatique. Mais ce qu’ils disent en filigrane des grandes entreprises françaises n’est pas forcément très séduisant.
« Au moins 20 % des entreprises françaises ont subi une attaque par rançongiciel l’an passé », titrent nos confrères de BFMTV, reprenant les chiffres de la 6e édition du baromètre annuel du Club des experts de la sécurité de l’information et du numérique (Cesin). La formule a de quoi inquiéter. Nos confrères de 20 Minutes ne sont guère plus rassurants : « rançongiciel, une entreprise française sur cinq attaquée en 2020 ». Las, cette présentation apparaît à tout le moins exagérée.
Il n’est pas question de nier la réalité de la menace ni de chercher à en minimiser l’ampleur. Nous-mêmes avons compté environ 130 victimes de ransomware en France en 2020, dont une centaine d’entreprises. Et les chiffres fournis par Acyma, opérateur du portail cybermalveillance.gouv.fr, montrent que les nôtres sont clairement en deçà de la réalité : le GIP a compté 837 entreprises victimes de ransomware l’an passé. Mais même à considérer que ce chiffre ne fournit pas une image complète de situation, le chemin n’en est pas moins long pour arriver à 20 % d’entreprises françaises attaquées par rançongiciel en 2020.
La nuance est d’autant plus importante que l’on ne parle pas là d’attaque détectée et déjouée avec succès. La définition donnée au terme cyberattaque pour ce sondage est claire : « la cyberattaque est le fait de subir un acte malveillant envers un dispositif informatique portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise ».
Dans ce contexte, une cyberattaque de rançongiciel doit donc être interprétée comme réussie, au moins dans le fait qu’elle a conduit à une détonation de la charge malveillante et au chiffrement de postes de travail et/ou serveurs. Et cela qu’une rançon ait été en définitive versée ou pas.
L’aveu d’une posture préoccupante
Dans le détail, le sondage indique que 57 % des sondés déclarent avoir connu au moins une cyberattaque en 2020, et que 19 % ont été victimes « d’une attaque de type ransomware provoquant un chiffrement ou un vol et chantage de données ». Pour mémoire, ces chiffres ont été établis à partir d’un échantillon de 228 répondants représentants de grandes entreprises. Et c’est probablement le plus préoccupant.
Car si la menace a réussi à tant affecter des organisations dont on pourrait très légitimement estimer qu’elles disposent d’une bonne maturité et de moyens appropriés face à la menace, c’est que ce n’est manifestement pas le cas. De fait, lorsqu’une attaque de ransomware conduit à une détonation et à un chiffrement, avec, ou non, vol de données, c’est que les contrôles de sécurité et les processus en place dans l’organisation n’ont pas permis de détecter bon nombre de signaux symptomatiques des étapes intermédiaires de l’attaque et d’intervenir en conséquence pour couper l’herbe sous le pied des assaillants.
Il n’est pas question de dire que c’est facile, mais les moyens techniques, l’expertise et les processus existent pour cela. On peut d’ailleurs être tenté d’imaginer qu’Air France-KLM en a fait la démonstration à l’automne, en renouvelant massivement les mots de passe. Une opération typiquement engagée en cas de compromission avérée, ou à tout le moins fortement suspectée, de l’infrastructure Active Directory.
Sondage OpinionWay
D’autres résultats du sondage OpinionWay, conduit pour le Cesin, confortent cette impression de posture de sécurité devant encore être sensiblement améliorée. Ainsi seulement 59 % des sondés s’estiment prêts à gérer une cyberattaque en termes de moyens de détection. Mais ce n’est pas tout.
Le phishing est présenté comme premier vecteur d’attaque (80 %) par les sondés, devant l’exploitation de failles (52 %). Les cas connus d’attaques de ransomware en 2020 ne disent pas autre chose. Mais ces chiffres doivent avant tout interroger sur les pratiques des grandes organisations françaises, en matière de filtrage de la messagerie, de sensibilisation des utilisateurs, et de gestion des vulnérabilités.
Et cela d’autant plus, que la plupart des vulnérabilités massivement exploitées en 2020 pour des attaques de ransomware n’étaient pas de celles qui ont une forte adhérence avec le reste du système d’information : appliquer les correctifs disponibles pour des serveurs VPN ou des passerelles d’accès distant n’a pas grand-chose à voir avec le patch d’applications métiers critiques.
Une communication de crise à construire
Et puis, si 19 % des 228 répondants au sondage réalisé par OpinionWay pour le Cesin ont été victimes d’une cyberattaque de ransomware en 2020, où sont les 43 entreprises en question ? Sur la centaine d’entreprises victimes de ransomware l’an passé, nous avons identifié 11 membres du Cesin : Bollore Logistics, Bouygues Construction, CMA-CGM, Elior, Essilor, Lacoste (via Dactyl Buro Office), Orange (via Neoclès), Randstad, Sopra Steria, SPIE, et Tarkett. Manifestement, au moins une trentaine manque à l’appel ; environ les trois quarts donc. Et encore, tous ceux qui ont été identifiés ne l’ont pas nécessairement été, du fait d’une approche volontaire et proactive de la communication, loin s’en faut.
Mais est-ce bien une surprise ? Non, comme l’a illustré Elior lorsque nous avons révélé, fin septembre dernier, qu’il avait été attaqué par Revil/Sodinokibi début juin 2020 : le groupe avait manifestement choisi, initialement, de ne pas communiquer publiquement sur l’attaque. Et il n’a pas semblé apprécier nos révélations.
Dans un message adressé à la rédaction, Elior a d’ailleurs dénoncé un article « volontairement anxiogène », nous accusant de viser « à faire croire que notre entreprise a été fortement impactée par cette attaque ». Ce qui, selon le groupe, n’a pas été le cas : « à l’époque, notre réaction immédiate nous avait permis d’assurer la continuité de nos services et prestations auprès de nos clients, convives et fournisseurs. Et l’ensemble des mesures qui devaient être prises l’ont été ».
Il n’en reste pas moins que l’absence de communication publique volontaire sur l’incident, comme pour les trois quarts des entreprises victimes de ransomware dans les rangs du Cesin, donc – et probablement au-delà –, rappelle que hélas, une cyberattaque de rançongiciel semble encore largement perçue comme une maladie honteuse.
Et cela n’aide pas à la prise de conscience de la réalité de la menace, et encore moins à encourager l’adoption des pratiques qui permettent de se renforcer face à elle – que ce soit en prévention, en protection, ou en résilience. Heureusement, comme le montrent certains exemples récents, à l’instar de Trigano, les choses semblent commencer à changer. Mais il y a encore beaucoup de chemin à parcourir.