Intervention de Alain Bouillé

Je voudrais tout d'abord insister sur un point. On a l'habitude de définir des dates et des échelons dans le risque. Je retiendrai à cet effet l'année 2017, où on est entré dans une nouvelle ère. On est passé d'attaques massives, assez peu efficaces ou d'attaques ciblées, silencieuses, à des attaques destructives, comme WannaCry. Le virus rentre dans l'entreprise et détruit tout sur son passage si le responsable sécurité n'y a pas semé d'embûches. Saint-Gobain a ainsi annoncé 250 millions d'euros de pertes. On a aussi eu Renault ou même Altran, une entreprise informatique, également victime de ce type d'attaques. Le secteur financier n'est pas non plus à l'abri. Après ces attaques, on doit tout reconstruire ; les systèmes d'information de Saint-Gobain et d'Altran ont été totalement détruits et ont dû être reconstruits dans leur ensemble. C'est donc inquiétant pour les responsables de la cybersécurité.

Le deuxième aspect du phénomène, c'est la digitalisation. On a déjà eu une numérisation de l'économie. À cet égard, certains considéraient que comme que le système financier avait été précurseur en termes d'informatisation, la révolution digitale serait assez mineure pour lui. C'est l'inverse : le secteur financier est celui qui digitalise le plus. C'est particulièrement frappant dans le domaine de l'assurance. Tout est maintenant numérique, on n'a quasiment plus de contrat signé sous format papier chez un assureur. Tout cela veut dire que l'entreprise a ouvert son patrimoine informationnel, son système d'information à ses clients, mais aussi aux malveillants. La surface d'exposition a donc augmenté : on est passé d'un site de vente en ligne, un site promotionnel, à la possibilité de quasiment tout faire en ligne. Cette surface d'exposition oblige les responsables sécurité à devoir penser sécurité « du sol au plafond ». On parle aujourd'hui de « zero trust » pour confiance zéro. Avant, on disait que les « méchants » étaient dehors et les « gentils » étaient à l'intérieur - salariés, réseau interne de l'entreprise. Les entreprises étaient donc moins vigilantes en interne. Or, avec l'extension de la surface d'exposition, il n'y a plus de « gentils » et de « méchants » ; tout est mélangé. Ce concept de « zero trust » doit conduire les responsables sécurité à se renforcer, y compris sur des dispositifs internes considérés jusqu'ici comme bien sécurisés.

Or, pour faire ça, les directeurs des systèmes d'information des entreprises manquent trop souvent d'imagination et ont tous recours aux mêmes solutions, par exemple, un contrat avec Microsoft pour externaliser la messagerie, ou avec Amazon pour l'informatique en nuage ou cloud. En plus de l'exposition, il y a un phénomène de concentration.

Ce recours au cloud suscite ainsi une double-préoccupation : on va avoir une extrême dépendance vis-à-vis de quelques fournisseurs - essentiellement Microsoft, Google et Amazon - mais aussi un enjeu de souveraineté, car les données des entreprises se trouvent livrées sur un « plateau d'argent » à des grands acteurs américains qui n'ont plus autant besoin de recourir à l'espionnage économique. Cela rend ces systèmes vulnérables : quelqu'un qui voudrait s'en prendre aux États-Unis n'attaquerait pas la Maison Blanche mais les centres de conservation de données informatiques ou datacenters, ce qui provoquerait des dégâts aux États-Unis, mais aussi partout ailleurs.

Que fait-on par rapport à tout cela ? J'évoquerai quatre points.

Premièrement, on fait beaucoup de prévention. Ce sont tous les sujets de formation des salariés, de recrutement d'informaticiens, de gestion minutieuse des droits d'accès. Le concept de « zero trust » va sans doute obliger à aller plus dans la gestion des droits d'accès. Cela comprend aussi la sécurité « by design », soit l'intégration de la sécurité dès la phase de conception. Une voiture connectée qui sort d'une usine sans être correctement sécurisée va faire la une des journaux sous 48 heures. Le site web non sécurisé d'une entreprise ne va pas faire la une des journaux mais les résultats seront tout aussi catastrophiques. La prévention, c'est aussi avoir une gouvernance appropriée, au bon niveau. Le responsable sécurité des systèmes d'information (RSSI) se trouve en général dans le giron de l'informatique, plus ou moins muselé par le directeur des systèmes d'information. Cela est en train de changer, notamment sous l'impulsion de l'ACPR, qui fournit des modèles de gouvernance sur ce thème. Enfin, on trouve aussi dans cette action les sujets de conformité et d'assurance. Une enquête a été réalisée au sein du club auprès de ses 500 membres : plus de 50 % des répondants ont dit qu'ils avaient déjà signé un contrat de cyber-assurance. Le risque cyber est en train d'entrer dans la cour des grands risques, même si les montants en jeu ne sont peut-être pas à la hauteur des attentes du secteur des assureurs. À la prévention s'ajoute la protection. Des multitudes de produits sont proposés. Les experts du club préfèrent certes choisir des produits bien labellisés par l'Agence nationale de sécurité des systèmes d'information, mais cela ne suffit pas toujours. Avoir une véritable architecture de sécurité est un grand défi pour les entreprises.

Deuxièmement, quand la prévention et la protection ont péché, il faut savoir détecter. Quand un logiciel malveillant ou malware du type WannaCry rentre dans l'entreprise, un système de supervision approprié permettra de le détecter. S'il est détecté suffisamment tôt, il aura fait des dégâts, mais il n'aura pas tout détruit dans l'entreprise. Les entreprises que j'ai mentionnées ont peut-être eu un défaut de surveillance.

Troisièmement, il faut ensuite être capable de réagir : que faire si on se retrouve dans la situation de Saint-Gobain ou d'Altran ? Comment piloter l'entreprise sans informatique ?

En dernier lieu, il faut se préparer à la reconstruction. C'est aujourd'hui le point sur lequel les entreprises sont le moins bien préparées. En effet, si cela fait des années qu'on prépare des plans de continuité d'activité, des plans de secours informatiques, les attaques récentes ont montré qu'ils étaient sans doute insuffisants.