« Une entreprise a plus de chance d'être victime d'une cyberattaque que d'un incendie »

 Comment est né Orange Cyberdefense (OCD) ?

Benjamin Serre : Orange Cyberdefense a été créée en 2016. Avant cela, la sécurité était un sujet traité par des experts répartis un peu partout dans les entités d'Orange en France. Mais nous avons fait le choix de rassembler toutes ces structures au sein d'une seule et même filiale autonome - faisant partie à 100% du groupe Orange -, avec comme raison d'être la cybersécurité.

Le site OCD de Lesquin est précurseur sur les offres à destination des PME-ETI qu’on développe depuis maintenant plus de trois ans pour toute la France. Au départ, le site de Lesquin comptait 30 collaborateurs, aujourd'hui nous sommes 80 et en forte croissance.

Quelles sont les compétences d'OCD, désormais présent dans toutes les grandes métropoles françaises ?

Nous avons commencé par l'activité de conseil et protection. L'activité d'audit et le pentest - qui consiste à tester avec la méthode des attaquants s'il est possible de rentrer facilement dans une organisation ou non, et des solutions pour renforcer la sécurité (installation de pare-feu, d'anti-virus, de systèmes de filtrage...).

Nous avons aujourd'hui développé de multiples compétences comme l'activité de veille, de surveillance et de gestion de crise. Aujourd'hui nos activités de surveillance sont celles qui se développent le plus pour les petites structures et ça cartonne. On développe des dispositifs adaptés car on ne surveille pas les petites structures comme on surveille les grandes entreprises, qui font l'objet de menaces plus ciblées.

La cybercriminalité ne cesse de prendre de l'ampleur. La crise a t-elle accéléré les cyberattaques ?

Les attaques ont été multipliées par cinq, 2020 a été une année extrêmement compliquée avec deux attaques de type ransomware par semaine contre deux par trimestre en temps normal. Il existe bel et bien un lien avec le Covid. Il y a eu énormément de phishing pendant le Covid lié à une forte actualité.

Les gens ont eu davantage tendance à cliquer sur des liens en étant moins vigilants. On a constaté également plein de noms de domaines malveillants se créer pendant la crise sanitaire. Puis les salariés se sont retrouvés dans des situations de télétravail du jour au lendemain.

Les ordinateurs n'étaient pas du tout prêts à être installés à domicile et toutes les protections d'un point de vue sécurité n'ont pas été prises, la priorité était la continuité d'activité pour s'adapter à un confinement imprévu. Les systèmes qui permettent de se connecter à distance étaient déjà très vulnérables, et les attaques ont explosé. Depuis le Covid, les attaques n'ont pas diminué.

Quelles sont les différentes attaques auxquelles sont confrontées les entreprises ?

L'attaque la plus violente est le ransomware1 qui met en péril toute une organisation. Ces attaques ont démarré fin 2019. Avant cela, elles s'exécutaient sur les postes de travail, aujourd'hui elles s'exécutent sur les serveurs, sur le cœur du système d'information. Il y a eu une explosion de ce type d'attaques avec la crise sanitaire et ça ne freine pas. C'est lié à une cybercriminalité qui s'est adaptée et qui prend de plus en plus conscience qu'il est facile d'accéder à des serveurs. De grands réseaux cybercriminels se sont développés.

La deuxième grande attaque concerne la compromission des comptes notamment sur les environnements de messagerie2. Celle-ci est moins violente, moins médiatisée, car plus furtive, mais bien plus fréquente. La compromission de boîtes aux lettres consiste à prendre le contrôle de plusieurs boîtes jusqu'à parvenir à effectuer des virements frauduleux. L'absence de double facteur d'authentification et de surveillance facilite ce type d'attaques. La plupart des organisations de taille intermédiaires publiques ou privées n'en ont pas et facilitent ainsi la vie des attaquants.

Enfin, il y a eu énormément d'entreprises qui ont fait le choix d'utiliser Microsoft Office 365 car c'est pratique en télétravail et c'est sécurisé. Mais étant donné que c'est en cloud, l'attaquant peut y accéder facilement depuis partout dans le monde sans avoir à entrer dans le système d'information et ça, ça monte en flèche. Les hackers sont partout dans le monde, la cybercriminalité n'a pas de frontières.

Combien d'entreprises sont accompagnées ?

À l'échelle nationale annuellement, OCD accompagne plus de 1 000 ETI, PME, TPE et collectivités en France, ce qui représente pas loin d’un million de machines sous surveillance quotidienne 24 heures sur 24. Nous accompagnons également plus de 100 entreprises et collectivités victimes de ransonware en France sur des activités de réponse à incident (gestion de crise, investigation numérique, surveillance de circonstance).

Plus de 5 000 pros (auto-entrepreneurs, artisans, etc.) sont également suivis dans le cadre d'une offre de surveillance spécifiquement dédiée aux pros et lancée en février 2022. OCD est aujourd'hui déployée dans toutes les grandes métropoles françaises, mais aussi à l'international dans plus de 15 pays (Angleterre, Allemagne, Benelux, Canada, Chine, Maroc, Afrique du Sud).

Comment réagit OCD en cas d'attaque chez une entreprise victime ?

L'entreprise, cliente ou pas, contacte OCD : nous essayons d'assurer un premier rendez-vous téléphonique dans l'heure même pour les organisations non-clientes. Un premier niveau de qualification est réalisé avec le gestionnaire de crise afin de savoir à quoi on a affaire, à quelle typologie d'attaque et ce qu'on va devoir déployer en termes de dispositif pour accompagner notre client. Dans le pire des cas, lorsqu'il s'agit d'une ransomware, nous engageons différentes équipes avec un gestionnaire de crise qui va piloter ces équipes.

Nous collectons les traces de l'attaque - sur les machines encore vivantes - pour essayer d'identifier par où l'attaquant est arrivé dans l'organisation. L'enquête peut durer quelques jours, voire quelques semaines. On déploie en parallèle de la surveillance sur toutes les machines qu'on va redémarrer post-incident. L'enjeu est de redémarrer le plus vite possible et de façon sécurisée des activités stratégiques tout en continuant à surveiller car nous ne sommes pas à l'abri que cela revienne.

Enfin, nous aidons le client à faire les modifications nécessaires pour se reconstruire. En 2020, il y avait peu d'entreprises qui ne se relevaient pas car les attaquants n'étaient pas assez compétents sur les systèmes de sauvegarde et ne se préoccupaient pas de les détruire mais actuellement c'est plus le cas, les attaquants sont de plus en plus efficaces dans la destruction des systèmes de sauvegarde qui sont souvent très vulnérables : c'est comme si un pyromane détruisait les extincteurs avant de démarrer le feu.

Y a-t-il eu une vraie prise de conscience des entreprises sur l'importance d'être protégé ?

Pour les grands groupes, la cybersécurité est en effet un sujet stratégique et celles-ci se préparent aux attaques. La cybersécurité a intégré le débat politique : il est question de la création de dispositifs de gendarmerie adapté, de centres de réponses à incident, de la création de campus cyber, etc., ce qui contribue à une prise de conscience globale. Mais du côté des TPE-PME-ETI et des collectivités, même si on constate une prise de conscience, c'est très minoritaire et tout reste à faire.

Beaucoup d'entreprises, privées comme publiques, pensent encore que parce qu'elles ne sont pas très connues, elles n'attirent pas les cybercriminels. Et pourtant aujourd'hui, absolument toutes les entreprises issues de tous les secteurs d'activité sont concernées, pas uniquement la santé même si la donnée santé a plus de valeur qu'une autre donnée. Actuellement, il est indispensable d'être protégé et surveillé. Il faut prendre conscience que le contexte dans lequel l'entreprise évolue a changé. Aujourd'hui, il y a plus de chance d'être victime d'une cyberattaque que d'un incendie.

1. +95% de hausse pour le ransonware en 2021.

2. +139% de piratage de comptes de messageries en 2021.