Des patrons plongés dans l'enfer d'une cyberattaque

Auteur:
 
Par AFP
Publié le 23 novembre 2017 - 07:45
Image
Un ordinateur portable affiche un message après avoir été infecté par un ransomware dans le cadre d'
Crédits
© Rob Engelaar / ANP/AFP/Archives
Un ordinateur portable affiche un message après avoir été infecté par un ransomware dans le cadre d'une cyberattaque mondiale le 27 juin 2017, à Geldrop (Pays-Bas)

© Rob Engelaar / ANP/AFP/Archives

Une société informatique se retrouve dans une position très inconfortable après avoir été visée par des hackers. Une énième cyberattaque ? Non, cette fois-ci, une simulation montée par un spécialiste du secteur, mais sur fond d'actualité brûlante.

Dans un exercice réalisé pour des journalistes à Helsinki, la société finlandaise F-Secure a imaginé comment la direction de Comsec, une entreprise aux équipes éclatées entre l'Allemagne et l'Italie, apprend par un tweet qu'un blogueur a publié le code source de son produit vedette, un VPN --c'est-à-dire un programme de protection de la navigation sur internet-- commercialisé notamment par GermanTel, le principal opérateur de télécoms (évidemment fictif) allemand.

Un cauchemar... "Plusieurs hackers connus, y compris l'auteur du blog, affirment que le code source est mal écrit et contient des failles de sécurité", écrit dans la foulée une gazette en ligne spécialisée. Les serveurs de l'entreprise font aussitôt l'objet de graves attaques, apparemment lancées par des activistes.

La fuite viendrait du piratage d'un ordinateur par un ancien stagiaire, quinze jours plus tôt.

Pour la direction de Comsec, il faut réagir sans délai: tenter de comprendre ce qui se passe, bien sûr, et voir si le VPN est effectivement vulnérable, dialoguer avec les équipes techniques, mais aussi prévenir les autorités, penser aux conséquences juridiques, prévenir les employés, rassurer la presse qui s'inquiète déjà...

"Si vous dites +pas d'affolement+, ils vont s'affoler", conseille un journaliste flamand participant à l'exercice. On décide alors de rédiger un communiqué ressemblant à ceux que l'AFP reçoit dans de pareilles circonstances: "Nous savons qu'il y a eu un incident et nous le prenons au sérieux. Notre équipe informatique s'en occupe. (...) Nous vous tiendrons au courant." Histoire de temporiser.

"Tout est sous contrôle, tout le monde est satisfait", résume dans un grand sourire un confrère indien, porte-parole improvisé face au directeur général.

De fait, la panique est totale. D'autant que la direction a oublié de parler à ses principaux clients, et que le patron de GermanTel l'accuse publiquement de négligence. Tant bien que mal, elle organise pourtant la défense, et le fameux VPN devrait pouvoir être corrigé rapidement.

- Panique sous contrôle -

"Bon travail, même si je ne pense pas que la compagnie survivra", commente à l'issue de l'exercice Adam Pilkey, communicant chez F-Secure qui encadre les managers du jour.

"Il arrive que la direction reste silencieuse pendant cinq minutes, puis demande sur qui faire peser la faute et qui poursuivre en justice !", raconte son collègue Jani Kallio, le responsable de la stratégie.

Pour F-Secure, qui organise régulièrement de tels ateliers avec de vrais cadres d'entreprise, il s'agit bien sûr de vendre son expertise et ses produits.

"Avec un système de protection adéquat, vous auriez pu détecter la fuite par vous-même et réagir rapidement", au lieu d'être mis devant le fait accompli quinze jours plus tard, remarque le directeur marketing Mikko Röntynen, reconnaissant bien volontiers que la plupart de ses concurrents offrent des services similaires.

Le but de l'exercice est surtout de sensibiliser les dirigeants aux risques des attaques informatiques, en leur faisant imaginer l'inimaginable. Avec les malwares (logiciels malveillants) Wannacry et NotPetya --aussi appelé Petya-- au printemps, des entreprises entières ont été paralysées, leur communication interne désorganisée, la confiance de leurs clients érodée.

En outre, le Règlement général sur la protection des données (RGPD), un texte européen, rendra à partir du 25 mai 2018 les entreprises responsables des données personnelles qu'ils détiennent.

En cas de vol ou de compromission, elles pourront être poursuivies en justice, et s'exposeront à des amendes pouvant atteindre 4% de leur chiffre d'affaires total. Un rapide calcul donnerait 260 millions de dollars pour Uber, qui a annoncé mardi le piratage des données de 57 millions d'utilisateurs l'an dernier.

D'où l'impérieuse nécessité de se préparer --en commençant par savoir de quelles données ont dispose-- et d'établir des scénarios pour faire face, au cas où.

"Le RGPD concerne surtout les processus et la façon de penser ce que vous devez faire quand vous manipulez des données personnelles", résume Mikko Röntynen. "C'est un point de départ, mais il faut aller au-delà" pour se protéger des hackers, estime-t-il.

L'article vous a plu ? Il a mobilisé notre rédaction qui ne vit que de vos dons.
L'information a un coût, d'autant plus que la concurrence des rédactions subventionnées impose un surcroît de rigueur et de professionnalisme.

Avec votre soutien, France-Soir continuera à proposer ses articles gratuitement  car nous pensons que tout le monde doit avoir accès à une information libre et indépendante pour se forger sa propre opinion.

Vous êtes la condition sine qua non à notre existence, soutenez-nous pour que France-Soir demeure le média français qui fait s’exprimer les plus légitimes.

Si vous le pouvez, soutenez-nous mensuellement, à partir de seulement 1€. Votre impact en faveur d’une presse libre n’en sera que plus fort. Merci.

Je fais un don à France-Soir

Dessin de la semaine

Portrait craché

Image
Lula
Lula Da Silva : une barbe cache-misère politique ou masque de l’autoritarisme ?
Luiz Inácio Lula da Silva est un personnage simple en apparence mais complexe en substance. Sous sa barbe blanche, ses fossettes et son sourire aux dents refaites, le ...
27 avril 2024 - 14:36
Politique
26/04 à 18:30
Soutenez l'indépendance de FS

Faites un don

Nous n'avons pas pu confirmer votre inscription.
Votre inscription à la Newsletter hebdomadaire de France-Soir est confirmée.

La newsletter France-Soir

En vous inscrivant, vous autorisez France-Soir à vous contacter par e-mail.