A l’occasion de la publication récente de son livre sur la préparation à la crise d’origine cyber, InCyber a rencontré Sébastien Jardin. Il nous explique que la véritable résilience est humaine et outillée, mais qu’elle passe d’abord et avant tout par des exercices réguliers et très réalistes de simulation de crise.

Directeur Cyber Résilience chez Deloitte, Sébastien Jardin sensibilise et accompagne les directions générales de grands groupes de tous secteurs, en France comme à l’international, depuis plus de 10 ans. Son credo quand une cyberattaque vient frapper les infrastructures numériques d’une organisation : « se préparer au pire pour donner le meilleur ». Aucun acteur n’est à l’abri, quelle que soit sa taille, son activité et son statut privé ou public. 

Qu’est-ce que recouvre exactement le terme de « cybercrise » ? 

Une cybercrise n’est ni plus ni moins qu’une crise au sens classique du terme – mais une crise qui survient dans un environnement numérique et informatique. C’est un événement non prévu qui disrupte l’organisation et l’oblige soudainement à changer de modes de fonctionnement opérationnels, à se défendre pour revenir à une nouvelle normalité. En revanche, il ne faut pas confondre cybercrise et incident technique. Il y a différents seuils de criticité avant qu’on puisse se considérer “en crise”. Une panne informatique de sévérité zéro ou de sévérité une n’est pas une crise d’entreprise en soi, même si elle peut être évidemment très handicapante durant le temps où elle sévit. Généralement, on considère qu’une crise est avérée lorsque les seuils de criticité sont élevés en matière financière, réputationnelle et humaine. 

Quels sont les catégories d’acteurs derrière les cyberattaques qui frappent une organisation ?

Généralement, on peut distinguer trois grandes familles. La première englobe des pirates et des criminels dont l’objectif premier est de générer de l’argent, par exemple par le vol de données sensibles ou le déblocage de systèmes critiques contre paiement d’une rançon. La cybercriminalité représente un coût annuel de 6 000 milliards de dollars pour l’économie mondiale en 2022. C’est l’équivalent de six crises des subprimes ! Et si l’on en croit les chiffres de l’an dernier, ce montant a encore grossi. 

La seconde famille concerne les États. Les techniques d’attaques peuvent être similaires mais elles sont plus discrètes. Les motivations diffèrent quelque peu. Il s’agit de faire de l’espionnage pour récupérer des secrets industriels, financiers, technologiques, scientifiques, militaires, etc. La liste est loin d’être exhaustive. Mais cela peut aussi aller jusqu’aux intentions guerrières. C’était le cas en 2017, avec le code malveillant NotPetya que la Russie a lancé contre l’Ukraine pour perturber les réseaux informatiques de leurs centrales électriques. Le malware était particulièrement puissant et capable de contaminer 1 300 ordinateurs à la seconde comme en ont témoigné certaines victimes à l’époque. À tel point qu’il s’était propagé bien au-delà de la cible initiale du fait de l’interconnexion des nombreux réseaux mondiaux.

Enfin, il y a la famille des hacktivistes. Ils utilisent les attaques informatiques pour des considérations politiques et/ou éthiques. En 2015, le site de rencontres adultères Ashley Madison a vu la quasi-totalité des informations personnelles de ses 37 millions de membres volées par des hackers qui jugeaient amorale l’activité de cette entreprise. D’autant plus que celle-ci avait justement fondé sa communication et bâti sa réputation sur la capacité à garantir l’anonymat le plus absolu pour les adeptes d’aventures hors mariage. 

On peut également ajouter un autre groupe, qui a toutefois tendance à être en perte de vitesse – du moins publiquement. Il s’agit des pirates informatiques qui pénètrent frauduleusement dans les systèmes informatiques d’entreprises ou d’organismes d’État dans le seul but de prouver qu’ils en sont capables. Une fois leur forfait accompli, ils aiment s’en vanter sur les forums spécialisés, voire publiquement comme en 2012 quand Visa et Mastercard avaient été victimes d’un hacker de ce genre. 

Quels sont les facteurs qui augmentent les risques des entreprises de subir une cyberattaque ? 

Avant toute chose, il faut déterminer si l’on est en présence d’une attaque ciblée ou d’une attaque non ciblée. Dans le premier cas, le niveau de criticité est maximal. L’intention des assaillants est d’entrer coûte que coûte et les moyens mis à disposition sont considérables pour trouver une faille dans les infrastructures de la cible et l’exploiter. Il s’agit d’un assaut qui peut durer dans le temps. Dans le second cas, l’approche est différente. Les pirates pratiquent le scan de vulnérabilité à grande échelle. En d’autres termes, ils envoient à jets continus des virus malveillants en misant sur le fait qu’il y aura des entreprises moins bien protégées que d’autres qui pourront alors être compromises et rançonnées. 

Face à cela, il est impératif de se protéger et d’avoir une hygiène informatique la plus élevée possible. L’Anssi (Agence nationale de la sécurité des systèmes d’information) estime qu’entre 5% et 10% du budget informatique global d’une organisation devrait être consacrée à la cybersécurité pour disposer d’un bon niveau de protection ; reste à savoir comment ce budget est utilisé – mais c’est un autre sujet. Pour autant, l’infaillibilité n’existe pas. Les erreurs humaines sont souvent la cause des brèches de sécurité, soit parce que les correctifs de sécurité n’ont pas été installés dans les temps, ou bien parce qu’un collaborateur aura été victime d’une opération de phishing (hameçonnage) par exemple. D’où l’importance de sensibiliser en permanence en interne aux risques cyber et d’avoir des dispositifs pointus de surveillance informatique qui détectent les comportements anormaux. L’apport de l’IA est en cela un vrai atout pour les équipes informatiques. Ne pas s’en servir serait faire la part belle aux attaquants qui, eux, s’en servent toujours davantage.

Une chose est en tout cas certaine. Personne n’est à l’abri. Absolument personne. Privé ou public, petite ou grosse entreprise, n’importe qui peut se voir attaqué par des pirates. Dans plus de 95% des cas, l’objectif est l’argent via l’usage de rançongiciels et/ou vol de données. Néanmoins, les cibles les moins fortunées peuvent aussi être impactées. C’est arrivé récemment à plusieurs CHU et à France Travail. Le but des pirates était alors de subtiliser les données des patients ou des demandeurs d’emploi pour les revendre ensuite sur le Dark Web et faciliter ainsi les usurpations d’identités. 

En février 2024, grâce à la production de deepfakes ultraréalistes, des escrocs sont parvenus à abuser un employé d’une multinationale de Hong-Kong et à lui soutirer ainsi 24 millions d’euros à travers plusieurs virements. Le malheureux collaborateur avait été invité à participer à une visioconférence qui regroupait plusieurs de ses collègues dont le directeur financier qui n’étaient en fait que des avatars vidéo redoutablement similaires aux vrais personnages. L’IA générative risque-t-elle d’amplifier l’occurrence de cyberattaques ? 

La réponse est indéniablement oui. Par exemple, l’arnaque de la « fraude au patron » qui est déjà redoutable en soi avec des voix et/ou des e-mails parfaitement imités, va augmenter sa capacité de nuisance et de tromperie avec l’IA générative, comme on l’a vu avec cet épisode à Hong-Kong. D’ailleurs, c’est tout sauf un hasard si OpenAI vient d’intégrer dans son conseil d’administration, un expert en cybersécurité et en cyberdéfense qui était auparavant à la NSA et qui a participé à la création de l’United States Cyber Command. Il s’agit de mieux comprendre comment l’IA peut être utilisée et détournée afin de renforcer la cybersécurité. Le détournement de codes informatiques pour développer des produits malveillants n’est pas nouveau. L’IA générative s’inscrit dans cette continuité. Mais il faut aussi regarder le verre à moitié plein. Cette même IA permet de faire de gros progrès en matière de protection et de défense contre les cyberattaques. 

Comment peut-on parvenir à instaurer une culture de la « cybercrise » et notamment convaincre le PDG et son ComEx de vraiment intégrer le sujet comme une priorité absolue ?

Cette sensibilisation du PDG et son comex à la cybercrise est, en réalité, non-négociable pour eux. Tout simplement parce que cela fait partie de leur mission intrinsèque et qu’ils seront, de toute façon, en première ligne si un tel événement survient. Vouloir déléguer le sujet uniquement à la DSI constituerait une erreur dramatique.

Pour parvenir à cette acculturation, j’ai coutume de dire qu’il faut “les faire transpirer” en effectuant des exercices immersifs de simulation. Avec des scénarios peu complaisants et très intenses afin qu’ils ne relativisent pas ensuite le point en s’estimant suffisamment formés et avoir fait le tour du sujet. Ce genre de session vise évidemment à aiguiser leurs réflexes en situation de crise déclarée et d’augmenter la résilience de l’organisation face à une cyberattaque. Il est impératif qu’ils prennent conscience que ce domaine est fondamental pour la protection de l’entreprise tant elle est dépendante du vecteur numérique. Ils doivent ressortir transformés d’un tel exercice, placés dans un utile déséquilibre, avant tout pédagogique.

Il faut vraiment rester vigilant et répéter. Par mon expérience, j’ai remarqué que s’enclenchait souvent, après une cyberattaque, un cycle de trois ans où le pic des investissements en cybersécurité est alors fortement accru, avant de légèrement s’éroder puisque l’organisation a su parer les nouvelles cyberattaques. Or, attention à ce sentiment indolent de sécurité. Il faut constamment entretenir la dynamique et rester sur le qui-vive. Pourquoi les pompiers s’entraînent-ils de manière réaliste et régulière pour éteindre des incendies et sauver des vies, et pas le ComEx alors qu’ils auront ce même rôle pour leur organisation ? C’est pourquoi ce genre de simulation doit être organisé a minima tous les ans. Certaines entreprises américaines le font même deux fois par an. 

En quoi la veille technologique est-elle fondamentale pour parer une cyberattaque ? 

C’est un élément majeur dans la cyber-protection d’une entreprise qu’on appelle « Cyber Threat Intelligence ». En reprenant les méthodes du renseignement, l’objectif est de collecter et analyser toutes les informations liées aux menaces du cyberespace afin de dresser un portrait des attaquants potentiels ou de mettre en exergue des tendances. Au regard de ce travail, il s’agit aussi de bien se connaître en tant qu’organisation en établissant une matrice des vulnérabilités internes, en déterminant quelles sont celles qui sont cruciales à résoudre pour préserver la continuité de l’activité. Pour cela, on peut également procéder à des tests de pénétration avec des experts internes et/ou externes. Ce travail est en tout cas essentiel. L’écosystème cyber évolue en permanence et cela requiert une adaptation à l’aune de celui-ci. 

Jusqu’où faut-il aller dans la communication autour de la cyberattaque ? Faut-il tout dire ou ne rien dire tant que le problème n’est pas vraiment maîtrisé ? 

En dehors des obligations légales de déclaration de cyberattaque auxquelles une organisation est astreinte, la règle d’or est d’être le plus honnête et transparent possible dans la communication que vous allez développer dans les heures et les jours qui suivent. Nous sommes dans un univers interconnecté où tout se sait très vite. Il faut donc aller à l’essentiel, dire les choses et rassurer. Si on ne sait pas, il faut quand même le dire. En revanche, il est conseillé d’éviter de spéculer ou de s’engager sur des promesses trop précises et qui pourront peut-être ne pas être réalisées. 

Le silence est à proscrire. Les attaquants n’hésitent pas à communiquer eux-mêmes pour accroître la pression sur l’entreprise qui reste muette. Il faut aussi occuper le terrain en interne et en externe pour éviter l’affolement. Toutefois, il faut savoir placer correctement le curseur sur ce que l’on dit. C’est vraiment de la communication de crise « haute couture ». Attention à ne pas divulguer des informations qui pourraient servir aux pirates ou qui pourraient les énerver si on se montre trop confiants. L’équation n’est pas aisée à résoudre. Il est nécessaire de rassurer toutes les parties prenantes sans prendre le risque de dévoiler des choses sensibles. 

Dans votre expérience professionnelle, quelle est la cybercrise qui vous a le plus marqué et pourquoi ?

Je songe spontanément à une cybercrise qui n’est pas forcément récente mais elle constitue un véritable cas d’étude. C’est un florilège de tout ce qu’il ne faut pas faire ! Il s’agit d’Equifax, l’une des trois plus grandes agences d’évaluation du crédit en Amérique du Nord. Elle agrège et analyse des informations sur la solvabilité de centaines de millions de consommateurs individuels. En 2017, elle est victime d’une intrusion informatique qui aboutit au vol de données privées de 143 millions de clients américains et canadiens. L’histoire montrera que l’entreprise a été insuffisante à tous les niveaux. 

Celle-ci avait pourtant été préalablement avertie par le département américain de la sécurité intérieure qu’un gros risque cyber pesait sur elle et qu’il fallait procéder à des correctifs de sécurité. Rien ne sera effectué. Deux mois plus tard (en mai), l’intrusion survient. Seulement, elle n’est découverte par l’équipe informatique que fin juillet. L’histoire ne s’arrête pas là car l’entreprise choisit de ne rien dire. Entretemps, trois des dirigeants d’Equifax revendent leurs actions avant qu’elles ne dégringolent lors de l’annonce publique de la cyberattaque au début du mois de septembre. Les dirigeants seront limogés par la suite mais le mal est fait. Négligence, impréparation, mutisme et même délit d’initié ! L’addition est terrible.

Quel message-clé voudriez-vous que l’on retienne de votre livre ? 

Aucune organisation ne doit faire l’impasse sur la préparation et l’entraînement à la cyber-crise. La question n’est pas de savoir quand elle pourrait vous arriver mais comment appréhender au mieux la menace. Laquelle frappera inévitablement. Pour illustrer ce propos, il y a deux citations que j’aime utiliser. La première est un proverbe chinois qui dit : « Il vaut mieux être un guerrier dans un jardin qu’un jardinier sur un champ de bataille ». La deuxième est attribuée au général Eisenhower : « Aucune bataille n’est gagnée en suivant le plan. Aucune guerre n’est gagnée sans avoir de plan ». L’idée centrale de ces phrases est de dire qu’il faut disposer de compétences en permanence mobilisées même si la crise n’intervient pas. C’est capital pour éviter la cybercrise autant que possible d’une part, et en réduire l’impact lorsqu’elle arrive d’autre part. Et elle arrivera. Il faut rendre le risque acceptable plutôt que chercher à le minorer ou pire, ne pas s’en préoccuper. D’où le titre de mon livre : « Crise cyber – se préparer au pire pour donner le meilleur » !

Retrouvez le livre Crise cyber – se préparer au pire pour donner le meilleur ici !

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.