Menaces de cybersécurité des entreprises françaises : un projet de loi arrive au Sénat. Regardez l'analyse de Gérôme Billois, associé en cybersécurité et confiance numérique au sein du cabinet Wavestone.
Regardez L'invité pour tout comprendre avec Yves Calvi du 11 mars 2025.
Regardez L'invité pour tout comprendre avec Yves Calvi du 11 mars 2025.
Catégorie
🗞
NewsTranscription
00:00Yves Calvi et Agnès Bonfillon, RTL Soir.
00:03Il est 18h44, bonsoir Jérôme Billois.
00:06Vous êtes expert en cybersécurité au sein du cabinet Wavestone.
00:09L'année 2024 a été exceptionnelle en matière de cyberattaques.
00:13Plus 15% traités selon l'agence française de sécurité informatique.
00:17Pardonnez-moi Jérôme Billois, mais qu'est-ce qu'un incident traité dans le langage informatique ?
00:21Alors c'est un appel souvent reçu par cette agence de cybersécurité nationale
00:26d'une victime qui finalement lui dit j'ai un énorme problème, mon système s'est arrêté
00:31ou je crains que des données aient été fuitées, que mes concurrents l'aient peut-être eue
00:34et ensuite notre agence va aller investiguer, va poser des questions pour comprendre la gravité
00:39et ça rentre dans leur registre.
00:41Et donc ce sont des attaques qu'on n'a pas réussi à repousser ?
00:44Les attaques ont eu lieu forcément ?
00:45Alors souvent quand on appelle l'agence nationale de cybersécurité c'est qu'effectivement on a des impacts réels.
00:50Alors ça peut être des suspicions dans certains cas, en particulier de l'espionnage
00:53où on a des doutes. Mais la plupart du temps malheureusement c'est qu'il y a eu des dégâts,
00:57les systèmes sont arrêtés et on cherche de l'aide.
01:00Le projet de loi Résilience était présenté cet après-midi au Sénat
01:03et doit imposer une feuille de route de cybersécurité à 15 000 structures considérées comme essentielles.
01:09Il faut absolument passer par là ? On doit se protéger en fait ?
01:13Clairement la menace elle est vraiment multiforme, elle est en croissance comme vous l'évoquiez.
01:16Il y a déjà eu beaucoup d'efforts de fait sur les entreprises dites stratégiques,
01:19les grandes entreprises qui ont eu des textes de loi qui les ont concernées.
01:23Là maintenant il faut passer à l'échelle parce qu'aujourd'hui les premières victimes
01:26c'est les PME, c'est les ETI, c'est les hôpitaux, les collectivités territoriales.
01:30Et malheureusement aujourd'hui on est obligé d'en passer par la loi
01:33parce que la sensibilisation, l'explication des risques malheureusement ne suffit pas toujours.
01:37Et le texte prévoit de grosses amendes pour les patrons qui ne se protègeraient pas justement.
01:41Et à 18h on entendait le chef d'une petite entreprise qui disait
01:45moi je suis pas forcément pour. Est-ce que tout le monde a les moyens financiers de se protéger correctement ?
01:52Alors il faut forcément un bâton dans un texte de loi sinon on sait bien que personne ne s'en occupe.
01:56Par contre je ne vais pas parler au nom de notre agence mais ils ont déjà annoncé
02:00qu'il y aurait un délai de 3 ans pour se mettre en conformité et qu'ils sont aussi dans une logique
02:04justement d'explication, de sensibilisation, de donner des moyens.
02:07Il ne s'agit pas d'aller taper sur des entreprises qui elles-mêmes se font taper dessus
02:10par des cybercriminels en leur mettant des amendes.
02:13Là l'idée c'est bien qu'il y a un mouvement collectif et qu'on trouve des solutions
02:16et il y en a pour se sécuriser à des coûts tout à fait raisonnables.
02:19Quelques centaines, quelques milliers d'euros c'est possible et il y a même des bons réflexes
02:23où finalement il n'y a même pas besoin d'investir des milliers d'euros pour se sécuriser.
02:26Lesquels ?
02:27Le plus simple déjà c'est appliquer les mises à jour de sécurité sur tous les systèmes de l'entreprise
02:32comme on le fait à la maison sur nos ordinateurs.
02:34Sur notre portable ?
02:35Voilà sur le téléphone portable, sur l'ordinateur, les serveurs des entreprises.
02:39C'est vérifier que quand les employés accèdent à distance
02:42ce n'est pas juste un mot de passe trop facile à deviner
02:45qu'on va mettre un code en plus d'un mot de passe.
02:47Ça c'est des choses qu'on peut activer avec la plupart des systèmes qui existent.
02:50Puis peut-être pour compléter le top 3 c'est les sauvegardes.
02:53Avoir des sauvegardes, les tester, les externaliser
02:56pour que si jamais il y a un incendie ou s'il y a un cybercriminel
02:59qui arrive à rentrer dans l'entreprise que les sauvegardes soient ailleurs
03:01pour pouvoir repartir.
03:02Quelles seraient les conséquences d'une cyberattaque massive
03:05sur des infrastructures dites essentielles ?
03:07Est-ce que vous avez un exemple ?
03:09J'avais envie de vous dire sans vous faire trop peur.
03:11Nos centrales nucléaires par exemple, elles sont concernées ?
03:14Dans les infrastructures critiques, il y a la production d'électricité.
03:17On l'a vu, les Russes ont attaqué l'Ukraine en 2014.
03:21Ils ont coupé l'électricité à Kiev.
03:238 millions de personnes qui ont été dans le noir
03:25pendant plusieurs heures au milieu de l'hiver.
03:27C'est quelque chose qui est possible.
03:29En France depuis 2014, on a les textes de loi
03:33et les énergéticiens ont énormément investi sur la cybersécurité
03:36donc on est moins vulnérable que d'autres pays.
03:38Mais le risque est toujours là.
03:39Il faut continuer à augmenter les protections
03:41parce que les attaquants en face,
03:43effectivement les Russes, les Chinois, d'autres pays,
03:46eux sont très actifs et cherchent sans arrêt les failles dans nos systèmes.
03:49Mais est-ce que les cyberattaques d'ampleur
03:51comme par exemple celle qui a paralysé hier le réseau social d'Elon Musk,
03:55le réseau social X,
03:57sont forcément liées au gouvernement d'un État ?
04:00Non, pas forcément.
04:02Parce qu'en plus, quand on paralyse un réseau social,
04:04c'est quand même un peu plus simple que d'arrêter l'électricité.
04:07Heureusement, parce qu'on voit quand même que,
04:09en termes de besoins vitaux,
04:10l'électricité va passer avant les réseaux sociaux.
04:13Quand on a un site web qui est très exposé,
04:15une application comme X en l'occurrence,
04:18on peut être vulnérable à des attaques de saturation, ça s'appelle.
04:21C'est-à-dire que les cybercriminels vont avoir pré-piraté
04:25des dizaines de PC, de milliers de PC, etc.
04:28Pré-piraté, dites-vous ?
04:29Oui, par exemple certains auditeurs le savent peut-être pas,
04:31mais hier ils ont pu participer à l'attaque contre X.
04:34Parce que leur ordinateur avait été piraté par des groupes de cybercriminels
04:38et ces ordinateurs ensuite sont « loués » à d'autres
04:41qui vont réaliser des attaques en rebondissant par l'ordinateur de la maison.
04:45Et c'est comme ça qu'on arrive à faire tomber un réseau social.
04:48C'est parce qu'il y a des milliers, des milliers, des milliers d'ordinateurs
04:50qui en même temps vont sur le même site
04:52et ça dépasse sa capacité.
04:54Ça fait un bouchon, comme sur nos routes, tout simplement.
04:56Nos Jeux Olympiques de Paris 2024 se sont déroulés visiblement sans accroc,
04:59malgré les nombreuses menaces de cyberattaques.
05:02Est-ce que ça veut dire que la France est bien protégée
05:04ou qu'on n'en a jamais entendu parler ?
05:05D'ailleurs, les deux peuvent être conjoints.
05:07La France est quand même un des pays dans le monde
05:09avec le plus de compétences en cyber.
05:11On a un écosystème très développé,
05:13des bonnes compétences dans les personnes,
05:15des bons acteurs industriels aussi.
05:17D'ailleurs, on le voit à l'échelle européenne,
05:19on sait que la France est vue comme un des acteurs
05:21qui peut aussi aider dans l'évolution du contexte géopolitique d'aujourd'hui.
05:25Il y a eu des attaques sur les Jeux Olympiques.
05:27Nancy a communiqué dessus.
05:29Des attaques qui étaient même très pointues, très précises
05:31sur plusieurs sites d'épreuve.
05:33Je rappelle que Nancy est l'agence française de sécurité informatique.
05:35Oui, tout à fait.
05:37Il y a eu ces attaques.
05:39On n'en a pas entendu parler beaucoup. Pourquoi ?
05:41Parce qu'on avait été préparé
05:43et on s'était entraîné à gérer une crise.
05:45On avait audité les systèmes
05:47pour vérifier s'il n'y avait pas des trous
05:49et puis les combler avant que ça arrive.
05:51Les administrations,
05:53les hôpitaux, les entreprises
05:55sont très ciblées par les hackers.
05:57Que veulent-ils ?
05:59Forcément une rançon ?
06:01Il faut comprendre qu'il y a trois grandes motivations pour les attaquants.
06:03Il y a avant tout une motivation financière.
06:05Ils veulent gagner de l'argent.
06:07Ça passe par du vol de données,
06:09de la revente, par de la rançon
06:11ou par de la fraude financière directe.
06:13S'ils arrivent à accéder à l'appli bancaire d'une entreprise,
06:15ils peuvent faire des virements
06:17et piquer l'argent, très concrètement.
06:19La deuxième motivation,
06:21c'est la première motivation financière la plus fréquente.
06:23C'est celle qui fait la plus peur aujourd'hui.
06:25La deuxième, c'est l'espionnage venant d'États.
06:27Là, c'est plutôt les grandes entreprises,
06:29ceux qui sont dans des secteurs sensibles,
06:31la défense, etc.
06:33Et la troisième, c'est ce qu'on appelle les activistes.
06:35H-A-C-K.
06:37Des personnes qui vont agir par idéologie.
06:39C'est-à-dire qu'ils vont décider d'attaquer
06:41telle ou telle marque, telle ou telle entreprise,
06:43pour nuire à son image, pour faire passer leur message à eux.
06:45Et ça, c'est typiquement ce qui s'est passé sur XIR.
06:47C'est un de ces exemples-là.
06:49On va arrêter un site web,
06:51on va revendiquer une cause
06:53et on va faire parler de soi.
06:55Mais, excusez-moi, est-ce qu'on peut faire des cyberattaques dans l'autre sens ?
06:57C'est-à-dire, on va leur en coller une, de temps à autre ?
06:59Alors, ça s'appelle le hack-back.
07:01Le hacking à l'envers, entre guillemets.
07:03Donc ça, en France et en Europe,
07:05c'est très encadré. Il y a une doctrine
07:07qui existe à l'échelle de l'État, qui permet la contre-attaque.
07:09C'est quelque chose qui, par contre, est réservé à...
07:11Dont on n'entend quasiment jamais parler.
07:13Ça s'appelle la lutte informatique offensive,
07:15dans le langage des militaires.
07:17Le ministère des Armées a quand même une doctrine,
07:19vous pouvez aller sur leur site web, ils expliquent,
07:21qui se donne la capacité, en cas d'agression, à pouvoir répondre.
07:23Mais ça reste vraiment dans le champ des militaires.
07:25Il ne s'agit pas que toute entreprise attaquée
07:27essaie de contre-attaquer, de récupérer ses fichiers.
07:29Sinon, ça devient le Far West.
07:31Et là, on ne sait pas où ça mène.
07:33Merci beaucoup, Jérémie Biloix, expert en cybersécurité
07:35au sein du cabinet Wefstone. Merci d'avoir pris la parole
07:37et de nous avoir donné toutes ces informations sur RTL.
07:39Dans un instant, un homme très bien programmé,
07:41même si son disque dur
07:43chauffe un peu trop,
07:45Marc-Antoine Lebray, pour son Breaking News.