« L’informatique n’est pas un monde virtuel »

Créé en 2002, le cabinet de conseil XMCO est un des acteurs anciens de la cybersécurité. Il a pour mission d’anticiper les menaces et de répondre aux incidents de sécurité que connaissent les entreprises. En février, le cabinet s’est vu délivrer la qualification PASSI, délivrée par un organisme indépendant sous le contrôle de l’Agence nationale de sécurité et des systèmes d’information (ANSSI). Son dirigeant et fondateur, Marc Behar, revient sur les enjeux de la cybersécurité.

Les Petites Affiches : Pourquoi vous être lancé dans la prévention du risque informatique ?

Marc Behar : J’ai une formation d’ingénieur. Je suis polyvalent. Je comprenais bien les enjeux de la cybersécurité. J’ai créé mon cabinet de conseil à une époque où il n’y avait pas encore de leader, de label ou d’acteur de référence dans ce domaine. J’ai eu envie d’avoir une approche sur le long terme, fondée sur une marque et que les clients reconnaissent dans XMCO une certaine stabilité. Nous avons environ 250 clients, dont beaucoup sont récurrents. Parmi eux, de petites entreprises faisant du commerce en ligne, des PME de 50 employés, des grands groupes employant 100 000 personnes et générant plusieurs milliards de chiffre d’affaires. Tous font face à la même problématique, déclinée de manière différente.

LPA : Comment travaillez-vous ?

M.B. : Nous simulons les approches, méthodologies et techniques de pirates, mais travaillons bien évidemment dans un cadre légal, avec des autorisations. Nous montrons aux entreprises ce qui ne marche pas, les informations qu’un pirate pourrait trouver. Nous réalisons des audits. Si vous lancez une application sur smartphone, vous pouvez mandater une société comme la nôtre pour vérifier que tout est sécurisé. Vous devez, par exemple, vérifier que sans compte, on ne peut pas s’y connecter. Ou qu’un utilisateur ne peut pas avoir accès aux données des autres comptes. Si l’application est mal développée, on arrive à rentrer. Nous avons aussi une activité de surveillance et de protection. En télétravail, les gens publient des documents sur des plateformes sans se rendre compte qu’ils les rendent public. Vous pouvez retrouver des fichiers de business plan confidentiels égarés sur le net.

LPA : Qu’est-ce qu’une attaque informatique ?

M.B. : Il existe plusieurs types de cyberattaques. Ce qu’on appelle attaque informatique peut être quelque chose de ciblé. Il y a d’abord les attaques de type fishing. Je me masque derrière un site et je vous envoie un lien par lequel je vais vous demander des informations. C’est de l’ingénierie sociale. J’utilise votre naïveté, votre bonne volonté, votre manque de compétence. De vous-même, vous allez me donner les informations, parfois même votre numéro de carte bleue. Ces attaques peuvent aussi prendre la forme d’un logiciel que l’on vous envoie par un lien sur lequel vous cliquez. Cela va permettre à votre assaillant de chiffrer votre disque dur, ou d’effacer vos données et de vous demander une rançon pour vous les rendre. On appelle cela le « ransomware ».

LPA : D’où viennent les attaques informatiques ?

M.B. : Il existe des profils très différents. Cela va de la petite délinquance à la grande criminalité, avec des réseaux de blanchiment et des détournements de fonds. Quand on a les moyens de faire de l’espionnage industriel, on peut trouver des boîtes ou des États prêts à financer cela pour accéder à des secrets. Les failles informatiques sont le gagne-pain des pirates. Ils n’ont pas de week-end, pas de RTT, pas de vacances. Il leur suffit de trouver une faille sur 100 pour accéder à des données confidentielles.

LPA : Cette délinquance augmente-t-elle ?

M.B. : Je pense qu’il y a toujours eu un certain nombre de dossiers mais qu’on les détectait moins bien. Cela touche néanmoins plus de personnes aujourd’hui car il y a de plus en plus de gens connectés. Avant, nombre d’entreprises n’étaient pas connectées à internet.

LPA : Que faut-il faire pour s’en prémunir ?

M.B. : En informatique, il y a plein d’informations et de boîtes de dialogues. C’est abscons. Quand vous ne connaissez pas, que vous ne savez pas d’où viennent les messages, vous devriez faire comme vous faites dans la vraie vie : fermer la fenêtre. Or souvent, vous l’ouvrez. Il faut être logique. Les impôts ne vous demanderont jamais votre relevé d’identité bancaire pour vous rembourser, pour la bonne raison qu’ils l’ont déjà. Les rançons demandées peuvent être de 50 € pour un particulier qui veut récupérer ses données mais elles peuvent être plus élevées pour une entreprise. Surtout, elles ont un coût en perte d’exploitation. Si vous n’avez pas pu produire pendant 2 jours, cela peut coûter des millions d’euros. Il faut faire les mises à jour. Cela permet de se protéger des vulnérabilités identifiées. L’informatique est instable par nature. On prête une intelligence à l’ordinateur, on s’attend à ce qu’il corrige de lui-même ses erreurs alors qu’il n’a qu’une capacité de traitement. Ce sont les logiciels, faits par l’homme, qui le font réagir. Il ne va pas vous dire quand vous faites une bêtise. Pour faire une métaphore, il est capable de traverser l’autoroute suffisamment vite pour ne pas se faire renverser, mais pas de faire preuve de prudence pour ne pas traverser. Avant, tous les systèmes étaient fermés. S’il y avait un bug à l’intérieur, ce n’était pas grave. On a accumulé au cours des années des systèmes qui comportent des vulnérabilités.

LPA : Vous dites qu’il faut tout envisager…

M.B. : Quand vous remplissez votre formulaire, on vous demande votre code postal. Vous avez dit au logiciel qu’un code postal comportait 5 chiffres. Si vous rentrez autre chose, on ne sait pas comment il va réagir. Les réactions à une situation imprévue sont inconnues. Le rôle d’un développeur est de prévoir tous les cas de figure. Quand ce dernier n’a pas assez de temps ou de compétence, on se retrouve avec un système qui n’a pas prévu toutes les situations, mais qui garde une capacité à réagir très rapide. Le risque est que, dans le doute, l’ordinateur fasse n’importe quoi. Je vais vous raconter une situation concrète. Une fois, lors d’un audit, quelqu’un a par hasard posé un objet sur la touche « enter » de son PC. Au bout de 73 appuis sur cette touche, il est rentré dans une application théoriquement fermée. Cette action imprévue avait provoqué une anomalie dans son fonctionnement.

LPA : Les chefs d’entreprise sont-ils conscients du risque ?

M.B. : Les entreprises ont un budget limité. Comme pour les assurances, elles essayent de faire baisser le coût en prenant des contrats avec peu d’options. Il y a néanmoins une prise de conscience depuis quelques années. La sécurité informatique est de plus en plus prise au sérieux, au fur et à mesure du développement web des entreprises. Avant, les gens nous disaient : « Mon métier est de fabriquer des pneus, des panneaux publicitaires, cela n’a rien à voir avec internet ». Aujourd’hui, ces entreprises vendent en ligne. Elles sont d’emblée plus intéressées par le numérique.

LPA : Comment doivent-elles s’y prendre pour améliorer leur sécurité ?

M.B. : Si vous voulez tout traiter du jour au lendemain, vous allez vous décourager. Nous définissons des zones stratégiques pour nos clients, avec des contraintes de temps et de budget. Il faut faire le mieux possible, dans les meilleurs délais. Nous leur donnons des conseils portant sur l’hygiène de base, ainsi que sur le développement sécurisé, les bonnes pratiques et les mises à jour. En les adoptant, vous allez progressivement colmater les brèches de votre système informatique. Nous préconisons de commencer par les plus sensibles : si vous êtes un fonds d’investissement, vous devez continuer à passer des ordres, sinon vous faites faillite. Nous allons donc commencer par protéger la machine qui passe des ordres avant de nous intéresser au reste. Quand on a les bonnes pratiques c’est très simple. Ce n’est pas comme ce qu’on voit à la télévision, quand des informaticiens tapent des codes dans tous les sens. En réalité, ce sont des tâches besogneuses mais pas compliquées. La complexité réside dans leur accumulation. Aucune n’est impossible en elle-même mais il faut en faire de grandes quantités chaque jour. Il y a des gens qui passent leur temps à mettre à jour des systèmes.

LPA : Quel est le risque si ces précautions ne sont pas prises ?

M.B. : Entrepreneur, si votre activité s’arrête, vous fermez. Les entreprises ne jouent donc rien de moins que leur survie. Elles sont toutes exposées. Les petites sont souvent plus exposées car elles ont moins de moyens. Paradoxalement elles se sentent à l’abri, car moins intéressantes que les grosses. Là encore, repensons à la vraie vie. Un braqueur de banque avec un fourgon n’a pas peur de s’attaquer à de gros sujets avec de gros gains. Mais le petit délinquant qui voit un sac dans la rue le ramasse. C’est pareil en informatique. L’opportunisme en cybersécurité est aussi répandu que dans la vie. Les grosses entreprises résistent mieux car elles ont davantage de moyens.

On a mis de l’informatique partout, on ne maîtrise pas tout ce qui a été fait. Prenez la médecine : quand vous allez faire une IRM, elle est pilotée par un ordinateur. Ce dernier est très rarement mis à jour. S’il l’est, l’équipementier doit également mettre à jour le système car il y a un risque que les équipements ne marchent plus une fois les mises à jour effectuées. Cela peut engendrer des jours d’interruption. Les hôpitaux travaillent avec de vieilles machines qu’ils n’osent pas mettre à jour en raison de ces risques de plantage. Mais comme tout est connecté, si un virus arrive dans un appareil, il se balade partout. Les hôpitaux souffrent. Ce sont les endroits où vous avez le plus de liens avec le monde réel mais où les interactions entre monde réel et informatique ne sont pas optimales.