« L’informatique n’est pas un monde virtuel »
Créé en 2002, le cabinet de conseil XMCO est un des acteurs anciens de la cybersécurité. Il a pour mission d’anticiper les menaces et de répondre aux incidents de sécurité que connaissent les entreprises. En février, le cabinet s’est vu délivrer la qualification PASSI, délivrée par un organisme indépendant sous le contrôle de l’Agence nationale de sécurité et des systèmes d’information (ANSSI). Son dirigeant et fondateur, Marc Behar, revient sur les enjeux de la cybersécurité.
Les Petites Affiches : Pourquoi vous être lancé dans la prévention du risque informatique ?
Marc Behar : J’ai une formation d’ingénieur. Je suis polyvalent. Je comprenais bien les enjeux de la cybersécurité. J’ai créé mon cabinet de conseil à une époque où il n’y avait pas encore de leader, de label ou d’acteur de référence dans ce domaine. J’ai eu envie d’avoir une approche sur le long terme, fondée sur une marque et que les clients reconnaissent dans XMCO une certaine stabilité. Nous avons environ 250 clients, dont beaucoup sont récurrents. Parmi eux, de petites entreprises faisant du commerce en ligne, des PME de 50 employés, des grands groupes employant 100 000 personnes et générant plusieurs milliards de chiffre d’affaires. Tous font face à la même problématique, déclinée de manière différente.
LPA : Comment travaillez-vous ?
M.B. : Nous simulons les approches, méthodologies et techniques de pirates, mais travaillons bien évidemment dans un cadre légal, avec des autorisations. Nous montrons aux entreprises ce qui ne marche pas, les informations qu’un pirate pourrait trouver. Nous réalisons des audits. Si vous lancez une application sur smartphone, vous pouvez mandater une société comme la nôtre pour vérifier que tout est sécurisé. Vous devez, par exemple, vérifier que sans compte, on ne peut pas s’y connecter. Ou qu’un utilisateur ne peut pas avoir accès aux données des autres comptes. Si l’application est mal développée, on arrive à rentrer. Nous avons aussi une activité de surveillance et de protection. En télétravail, les gens publient des documents sur des plateformes sans se rendre compte qu’ils les rendent public. Vous pouvez retrouver des fichiers de business plan confidentiels égarés sur le net.
LPA : Qu’est-ce qu’une attaque informatique ?
M.B. : Il existe plusieurs types de cyberattaques. Ce qu’on appelle attaque informatique peut être quelque chose de ciblé. Il y a d’abord les attaques de type fishing. Je me masque derrière un site et je vous envoie un lien par lequel je vais vous demander des informations. C’est de l’ingénierie sociale. J’utilise votre naïveté, votre bonne volonté, votre manque de compétence. De vous-même, vous allez me donner les informations, parfois même votre numéro de carte bleue. Ces attaques peuvent aussi prendre la forme d’un logiciel que l’on vous envoie par un lien sur lequel vous cliquez. Cela va permettre à votre assaillant de chiffrer votre disque dur, ou d’effacer vos données et de vous demander une rançon pour vous les rendre. On appelle cela le « ransomware ».
LPA : D’où viennent les attaques informatiques ?
M.B. : Il existe des profils très différents. Cela va de la petite délinquance à la grande criminalité, avec des réseaux de blanchiment et des détournements de fonds. Quand on a les moyens de faire de l’espionnage industriel, on peut trouver des boîtes ou des États prêts à financer cela pour accéder à des secrets. Les failles informatiques sont le gagne-pain des pirates. Ils n’ont pas de week-end, pas de RTT, pas de vacances. Il leur suffit de trouver une faille sur 100 pour accéder à des données confidentielles.
LPA : Cette délinquance augmente-t-elle ?
M.B. : Je pense qu’il y a toujours eu un certain nombre de dossiers mais qu’on les détectait moins bien. Cela touche néanmoins plus de personnes aujourd’hui car il y a de plus en plus de gens connectés. Avant, nombre d’entreprises n’étaient pas connectées à internet.
LPA : Que faut-il faire pour s’en prémunir ?
M.B. : En informatique, il y a plein d’informations et de boîtes de dialogues. C’est abscons. Quand vous ne connaissez pas, que vous ne savez pas d’où viennent les messages, vous devriez faire comme vous faites dans la vraie vie : fermer la fenêtre. Or souvent, vous l’ouvrez. Il faut être logique. Les impôts ne vous demanderont jamais votre relevé d’identité bancaire pour vous rembourser, pour la bonne raison qu’ils l’ont déjà. Les rançons demandées peuvent être de 50 € pour un particulier qui veut récupérer ses données mais elles peuvent être plus élevées pour une entreprise. Surtout, elles ont un coût en perte d’exploitation. Si vous n’avez pas pu produire pendant 2 jours, cela peut coûter des millions d’euros. Il faut faire les mises à jour. Cela permet de se protéger des vulnérabilités identifiées. L’informatique est instable par nature. On prête une intelligence à l’ordinateur, on s’attend à ce qu’il corrige de lui-même ses erreurs alors qu’il n’a qu’une capacité de traitement. Ce sont les logiciels, faits par l’homme, qui le font réagir. Il ne va pas vous dire quand vous faites une bêtise. Pour faire une métaphore, il est capable de traverser l’autoroute suffisamment vite pour ne pas se faire renverser, mais pas de faire preuve de prudence pour ne pas traverser. Avant, tous les systèmes étaient fermés. S’il y avait un bug à l’intérieur, ce n’était pas grave. On a accumulé au cours des années des systèmes qui comportent des vulnérabilités.
LPA : Vous dites qu’il faut tout envisager…
M.B. : Quand vous remplissez votre formulaire, on vous demande votre code postal. Vous avez dit au logiciel qu’un code postal comportait 5 chiffres. Si vous rentrez autre chose, on ne sait pas comment il va réagir. Les réactions à une situation imprévue sont inconnues. Le rôle d’un développeur est de prévoir tous les cas de figure. Quand ce dernier n’a pas assez de temps ou de compétence, on se retrouve avec un système qui n’a pas prévu toutes les situations, mais qui garde une capacité à réagir très rapide. Le risque est que, dans le doute, l’ordinateur fasse n’importe quoi. Je vais vous raconter une situation concrète. Une fois, lors d’un audit, quelqu’un a par hasard posé un objet sur la touche « enter » de son PC. Au bout de 73 appuis sur cette touche, il est rentré dans une application théoriquement fermée. Cette action imprévue avait provoqué une anomalie dans son fonctionnement.
LPA : Les chefs d’entreprise sont-ils conscients du risque ?
M.B. : Les entreprises ont un budget limité. Comme pour les assurances, elles essayent de faire baisser le coût en prenant des contrats avec peu d’options. Il y a néanmoins une prise de conscience depuis quelques années. La sécurité informatique est de plus en plus prise au sérieux, au fur et à mesure du développement web des entreprises. Avant, les gens nous disaient : « Mon métier est de fabriquer des pneus, des panneaux publicitaires, cela n’a rien à voir avec internet ». Aujourd’hui, ces entreprises vendent en ligne. Elles sont d’emblée plus intéressées par le numérique.
LPA : Comment doivent-elles s’y prendre pour améliorer leur sécurité ?
M.B. : Si vous voulez tout traiter du jour au lendemain, vous allez vous décourager. Nous définissons des zones stratégiques pour nos clients, avec des contraintes de temps et de budget. Il faut faire le mieux possible, dans les meilleurs délais. Nous leur donnons des conseils portant sur l’hygiène de base, ainsi que sur le développement sécurisé, les bonnes pratiques et les mises à jour. En les adoptant, vous allez progressivement colmater les brèches de votre système informatique. Nous préconisons de commencer par les plus sensibles : si vous êtes un fonds d’investissement, vous devez continuer à passer des ordres, sinon vous faites faillite. Nous allons donc commencer par protéger la machine qui passe des ordres avant de nous intéresser au reste. Quand on a les bonnes pratiques c’est très simple. Ce n’est pas comme ce qu’on voit à la télévision, quand des informaticiens tapent des codes dans tous les sens. En réalité, ce sont des tâches besogneuses mais pas compliquées. La complexité réside dans leur accumulation. Aucune n’est impossible en elle-même mais il faut en faire de grandes quantités chaque jour. Il y a des gens qui passent leur temps à mettre à jour des systèmes.
LPA : Quel est le risque si ces précautions ne sont pas prises ?
M.B. : Entrepreneur, si votre activité s’arrête, vous fermez. Les entreprises ne jouent donc rien de moins que leur survie. Elles sont toutes exposées. Les petites sont souvent plus exposées car elles ont moins de moyens. Paradoxalement elles se sentent à l’abri, car moins intéressantes que les grosses. Là encore, repensons à la vraie vie. Un braqueur de banque avec un fourgon n’a pas peur de s’attaquer à de gros sujets avec de gros gains. Mais le petit délinquant qui voit un sac dans la rue le ramasse. C’est pareil en informatique. L’opportunisme en cybersécurité est aussi répandu que dans la vie. Les grosses entreprises résistent mieux car elles ont davantage de moyens.
On a mis de l’informatique partout, on ne maîtrise pas tout ce qui a été fait. Prenez la médecine : quand vous allez faire une IRM, elle est pilotée par un ordinateur. Ce dernier est très rarement mis à jour. S’il l’est, l’équipementier doit également mettre à jour le système car il y a un risque que les équipements ne marchent plus une fois les mises à jour effectuées. Cela peut engendrer des jours d’interruption. Les hôpitaux travaillent avec de vieilles machines qu’ils n’osent pas mettre à jour en raison de ces risques de plantage. Mais comme tout est connecté, si un virus arrive dans un appareil, il se balade partout. Les hôpitaux souffrent. Ce sont les endroits où vous avez le plus de liens avec le monde réel mais où les interactions entre monde réel et informatique ne sont pas optimales.
LPA : Les efforts faits en matière de cybersécurité sont-ils suffisants ?
M.B. : On part de tellement loin que cela va prendre du temps pour être à la hauteur. Ce qui pêche, c’est le volume d’opérations à faire. Comparons avec la surveillance des lieux physiques. Quand vous avez un immeuble, c’est assez simple : il suffit de surveiller la porte d’entrée et le premier étage. Un logiciel a, en revanche, des points d’entrée multiples. C’est instable. Vous pouvez le penser sécurisé et découvrir une vulnérabilité. Votre porte blindée devient un papier transparent. Du jour au lendemain vous pouvez perdre tout ce qui a été fait. Une partie de notre activité consiste à surveiller toutes les vulnérabilités. Cela fait un nombre de tâches dantesques. Autre danger : si vous êtes ultra-sécurisé mais que vous avez un utilisateur qui donne son mot de passe à qui veut l’entendre, votre sécurité tombe à l’eau. La micro-informatique a 30 ans. C’est une discipline récente. Il faudrait multiplier par dix les moyens qui lui sont alloués. Et par 1 000 le sérieux et la rigueur des pratiques des utilisateurs.
LPA : Il faut donc sensibiliser tous les utilisateurs ?
M.B. : Il faut changer les habitudes des usagers. Prenez l’exemple des mots de passe. Beaucoup de gens, par commodité, en utilisent un seul pour tous les sites. C’est comme si vous utilisiez une seule clé pour tout ce que vous possédez, généralement en plus très simple. Il faut un mot de passe par site. J’en ai 400 différents. Il est bien sûr impossible de tous les retenir. Il faut les ranger dans un coffre-fort numérique protégé par un mot de passe solide. Ce coffre-fort est synchronisé entre ordinateur, smartphone et tablette. Si votre compte Amazon est piraté, vous changez de mot de passe. Vos autres comptes sont protégés. Pour constituer ce mot de passe solide, je conseille d’écrire une phrase sur un post-it. Si elle correspond à votre émotion du moment, vous la retiendrez facilement. Vous prenez les premières lettres de chaque mot. Cela fait un certain nombre de caractères, auxquels vous pouvez ajouter quelques caractères spéciaux, comme un point d’exclamation, un smiley… Vous pourrez retrouver votre mot de passe car vous connaissez la manière dont il a été créé. Quand ce n’est pas votre métier, vous ne pouvez pas consacrer un temps important à expérimenter. Il faut pouvoir donner une méthode, et pas seulement des règles.
LPA : Au-delà des entreprises, le sujet concerne la société tout entière…
M.B. : Il faut que tout le monde prenne conscience que l’informatique n’est pas un monde virtuel. Les conséquences des attaques sont réelles et parfois très douloureuses. La cybersécurité n’est plus un sujet de grosses entreprises, de banques, d’espionnage. Il nous concerne tous. On ne peut pas continuer à utiliser un outil à ce point puissant, capable de faire des choses fabuleuses, sans le maîtriser. Depuis que nous sommes petits, nous avons entre les mains des outils de grande puissance. Ce ne sont pas des machines faites pour le loisir. Les bons réflexes devraient être enseignés à l’école. Ce qui permet de passer très vite une commande sur Amazon, permet également de trouver très vite une information qui peut vous nuire. Actuellement, c’est comme si on était sur une autoroute et que tout le monde roulait en Formule 1. Ce n’est pas étonnant qu’il y ait des accidents !