Née à Montpellier en 2012, Devensys Cybersecurity s’est fait une place parmi les experts nationaux de la cybersécurité. Cette année, son chiffre d’affaires devrait dépasser 5 M€ (contre 3,4 M€ en 2020 et 2,4 M€ en 2019) et son effectif atteindre 40 personnes. Son PDG et cofondateur Leo Gonzales livre à La Lettre M son analyse du boom des attaques par ransomware et ses conseils pour s’en prémunir.

Les attaques par ransomware se sont-elles vraiment multipliées ces derniers mois ou sont-elles davantage médiatisées ?

Le phénomène est double : la situation se dégrade depuis quelque temps - c’est indéniable - et la visibilité des attaques s’est accrue. L’accélération de la digitalisation des organisations est une explication – les échanges numériques se multiplient et les risques aussi - mais ce n’est pas la seule. La cybercriminalité s’est industrialisée : attaquer un système d’information avec un ransomware est à la portée de beaucoup de gens, pour peu qu’ils soient un peu technophiles et mal intentionnés ou animés par l’appât du gain. Pour quelques centaines d’euros, on peut aujourd’hui acheter un rançongiciel sur étagère auprès de groupes de pirates informatiques. Certains ne font même pas payer les logiciels et se commissionnent sur ce qui est extorqué.

Quelles sont les organisations ciblées par ces attaques ?

Toutes ! Du médecin libéral au très grand groupe ou à l’institution publique, en passant par la PME qui est aujourd’hui la cible principale de ces attaques. Car elle est souvent mal voire pas protégée, sans solution de sauvegarde, et elle ne peut pas se permettre de voir son activité bloquée pendant plusieurs jours voire semaines et elle ne dispose pas non plus d’un service de communication pour gérer « l’incident technique ». Donc elle paye. Comme beaucoup d’entreprises en France. Et c’est justement pour cela que les pirates frappent large : car ils savent que, sur la masse, certains paieront. Bloquer un système d’information avec demande de rançon est certes moins lucratif que pirater un système pour dérober des informations stratégiques en vue de les revendre mais c’est aussi moins complexe et plus rapide.

Le mois dernier, Axa a annoncé qu’il n’indemniserait plus les attaques par ransomwares. Est-ce une bonne chose selon vous ?

Oui, il était temps ! Certains assureurs en venaient à mandater des négociateurs pour faire baisser le montant de la rançon, payée en cryptomonnaie. Sachant que payer ne garantit en rien que le pirate n’a pas fait une copie de vos données en pénétrant dans votre système d’information et qu’il ne va pas chercher à les revendre six mois plus tard… La prévention me paraît être le moyen le plus efficace de lutter contre ces attaques. Se dire : « Ce n’est pas grave, je suis assuré », c’est dangereux car des données personnelles peuvent fuiter et arriver entre les mains de pirates beaucoup plus malveillants qui, en les recoupant avec d’autres informations, vont bâtir des attaques de plus grande ampleur, aux conséquences qui peuvent être lourdes.

Avez-vous un exemple marquant à nous à citer ?

J’ai en tête le cas d’un client, fabricant de pièces métalliques pour l’industrie, qui a été victime d’une intrusion dans son système informatique. On s’est rendu compte, à temps heureusement, que les pirates avaient non seulement cherché à bloquer la production de l’usine mais qu’ils avaient aussi pris la main sur les données du contrôle qualité et modifié les paramètres de certaines machines. Des milliers de pièces auraient ainsi pu être fabriquées avec des propriétés qui n’étaient pas les bonnes, au risque de fragiliser des structures, par exemple. C’est un cas extrême, certes, mais je le répète : à des degrés divers, tout le monde peut être touché.

Comment se prémunir contre ces attaques ?

D’abord en prenant conscience du risque. Comme on intègre dans son business plan un système de sécurité incendie, il faut prévoir un budget raisonnable et conséquent pour sa cybersécurité. Il peut se chiffrer à quelques milliers d’euros par an pour une PME mais tout dépend bien sûr du degré d’exposition au risque : une start-up technologique sera plus vulnérable qu’une entreprise traditionnelle par exemple. Donc la première étape consiste à solliciter un audit auprès d’un prestataire compétent, qui préconisera ensuite une feuille de route, en priorisant les investissements à réaliser.

De quelle nature sont ces investissements ?

Ils peuvent être aussi bien matériels – avec la mise en place d’une solution de SIEM (Security Information and Event Management ou gestion des informations et des événements de sécurité) par exemple - qu’humains. Dans le cadre de notre activité, nous faisons régulièrement des attaques-tests pour évaluer le niveau de sécurité de systèmes d’information en repérant les potentielles failles et vulnérabilités. Cela passe par des intrusions informatiques mais aussi de l’ingénierie sociale (ensemble de techniques de manipulation utilisées par les cybercriminels pour inciter des personnes à partager des informations confidentielles, NDLR) : envoi de faux SMS, mails, colis, appels téléphoniques, etc. Et dans 99 % des cas, nous réussissons à obtenir les informations recherchées. Ce qui prouve que la sensibilisation des collaborateurs est primordiale en matière de cybersécurité.

La cybersécurité peut-elle aussi constituer une opportunité pour les entreprises ?

Au-delà de la charge financière qu’elle représente, elle peut également permettre à une entreprise d’améliorer ses process, lui faciliter certaines tâches, apporter plus de confort à ses clients, etc. Je pense par exemple au partage de documents entre une banque et ses clients : fini l’envoi d’une offre de prêt par la Poste, avec tous les aléas que cela comportait ; désormais les échanges se font en ligne, grâce à des solutions non seulement plus sécurisées mais aussi plus rapides et plus pratiques pour tout le monde.