L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a identifié plus de 200 entreprises françaises à protéger en priorité, car elles travaillent dans des domaines aussi sensibles que l’eau, les télécommunications, l’alimentation ou les transports. De leur côté, les cybercriminels ciblent plus précisément, depuis un certain temps, les petites et moyennes entreprises, qui sont beaucoup plus vulnérables. A l’occasion du 6e Forum international de cybersécurité de Lille, Véronique Moreau a rencontré Laurent Heslault, directeur des stratégies de cybersécurité du cabinet américain Symantec. Entretien.

En ce qui les concerne les cyberattaques, diriez-vous qu’elles ont considérablement évolué ces dernières années ? Sont-elles plus nombreuses, plus sophistiquées, ou bien restent-elles plus ou moins les mêmes, tout en étant quelque peu « améliorées » ?

Laurent Heslault : Il y a une réelle évolution, dans le sens où elles sont beaucoup plus nombreuses. D’après nos calculs, les cyberattaques ont augmenté de 42% d’une année sur l’autre, tout particulièrement les « attaques ciblées ». On a connu ces dernières années des attaques de masse avec les spams, par exemple, qui partaient à des milliards d’exemplaires chaque jour. Aujourd’hui, on en a moins, beaucoup moins.

En revanche, on voit se développer les « attaques ciblées », qui visent spécifiquement un secteur d’activité, une entreprise en particulier, et au sein des entreprises en général, les PME en priorité. Les attaques contre ces sociétés de moins de 250 salariés ont triplé depuis 2011… Les techniques employées par les cybercriminels pour attaquer leurs cibles évoluent aussi. On a beaucoup parlé du « phishing », qui est la manière de récupérer des identifiants, des loggings, des mots de passe en abusant de la crédulité du destinataire d’un mail par un message trompeur. Maintenant, on a plutôt tendance à parler de « spearfishing », qu’on pourrait traduire par « harponnage ». En gros, on ne cherche plus des petits poissons, mais une baleine !

Autrement dit, dans ce type de campagne, on ne va pas envoyer des milliards de mails, mais un, deux, ou trois, qui sont des messages très ciblés. On sait donc très précisément à qui on les envoie. Ce sont des messages  « forgés », c’est-à-dire que la personne qui les reçoit a vraiment l’impression que cela vient de quelqu’un qu’elle connaît. Le thème correspond à son quotidien, et il y a potentiellement à l’intérieur de ce message une pièce jointe ou un lien internet qui correspond à ce qu’elle vient de faire. Les cybercriminels vont donc « profiler » leurs cibles pour savoir ce qu’elles vont faire dans les semaines qui viennent et leur envoyer des informations afférentes, en amont ou en aval, par rapport à des événements particuliers comme des foires, des salons, des réunions…

Cela signifie-t-il que les cybercriminels procèdent à un véritable travail d’enquête, qu’ils se servent des réseaux sociaux, de Facebook, de tout un réseau d’informations connexes ?

Exactement ! C’est toute la partie que nous appelons la « reconnaissance », qui est en fait la première étape de leur travail, un travail de recherches. Se renseigner sur l’entreprise, sur son secteur d’activité, ses concurrents… C’est la raison pour laquelle je conseille aux entreprises de s’intéresser à l’intelligence économique, au minimum en termes défensifs. La bonne question à se poser est la suivante : « Qu’ai-je envie de laisser voir de ma société sur internet ? »

Pourquoi cibler autant les PME ?

D’abord parce que très souvent elles sont moins bien protégées que les grandes entreprises pour des raisons de sensibilisation, de moyens, de personnel. Dans une PME, il est déjà difficile d’avoir quelqu’un qui s’occupe de l’informatique… Alors, s’il faut rajouter quelqu’un qui s’occupe de la sécurité, c’est encore plus compliqué ! Les PME sont donc des cibles plus faciles. Ensuite, elles sont souvent partenaires de grands groupes. Elles peuvent être des fournisseurs, des sous-traitants. De ce fait, en attaquant le « Petit Poucet », vous allez pouvoir attaquer par ricochet la grande entreprise aussi. C’est ce qu’on voit de manière assez systématique ces derniers temps.

rfi