LE DIRECT
Ordinateurs inaccessibles, tableaux de services faits à la main : le 16 février, l'hôpital de Villefranche-sur-Saône lors de la cyberattaque avec le rançongiciel "Ryuk"

Cyberattaques : les entreprises victimes ET coupables ?

8 min
À retrouver dans l'émission

Les cyberattaques contre les entreprises sont dans le viseur des autorités : aux Etats-Unis comme en France, l’heure est à la mobilisation. Les acteurs économiques sont pris entre deux feux.

Ordinateurs inaccessibles, tableaux de services faits à la main : le 16 février, l'hôpital de Villefranche-sur-Saône lors de la cyberattaque avec le rançongiciel "Ryuk"
Ordinateurs inaccessibles, tableaux de services faits à la main : le 16 février, l'hôpital de Villefranche-sur-Saône lors de la cyberattaque avec le rançongiciel "Ryuk" Crédits : Philippe Desmazes - AFP

Près de quatre millions et demi de dollars payés en rançon par Colonial Pipeline à des hackers russes contre la remise en marche des oléoducs de la côte Est-américaine le mois dernier, la moitié récupéré hier par le Département de la Justice : les entreprises sont sous le tir croisé des hackers et des régulateurs et « le monde entre dans une zone de turbulence » écrit Ingrid Vergara du Figaro.

Maigre victoire mais fort symbole : car le piratage de Colonial Pipeline s’inscrit dans une longue série d’attaques au logiciel de « rançon » qui frappent des opérateurs majeurs aux Etats-Unis ces derniers mois ; et c’est aussi un message de plus envoyé aux entreprises : la semaine dernière la Maison Blanche elle-même se fendait d’une lettre ouverte leur enjoignant de se prémunir, pointant « un tournant très inquiétant du vol de données vers la perturbation de services critiques ».

Un problème de sécurité nationale ?

Les cyberattaques des derniers mois ciblent des géants industriels (celui de la viande JBS) ou numériques (Microsoft),  mais aussi des entreprises  directement impliquées dans gestion des réseaux pour les collectivités et le gouvernement fédéral, comme le texan Solarwinds dont le logiciel piégé à son insu a contaminé et pillé 150 entreprises privées et 9 agences fédérales en décembre dernier. 

Le risque est lourd, détaille Basile Dekonink des Echos : blocage informatique de plusieurs hôpitaux en septembre dernier, ou prise de contrôle d’une station d’eau potable et de ses mélanges chimiques en Floride en février, pour les plus récents. Les autorités américaines multiplient les propos alarmistes : en avril sur CBS, le président de la FED Jerome Powell qualifiait les cyberattaques de plus grand risque pour l’économie américaine, dans le Wall Street Journal il y a quelques jours, le directeur du FBI Christopher Wray fait le parallèle avec le 11 septembre : « c’est une responsabilité partagée, pas seulement par les gouvernements, mais aussi le secteur privé et même les américains moyens. »

La France particulièrement vulnérable ?

En France, elles sont quatre fois plus d’entreprises touchées en 2020 qu’en 2019. Imaginez ce qui se passerait « si on avait à faire à des attaquants beaucoup plus pervers, qui commencent à modifier des données d’analyses médicales, des dosages », prévenait déjà en 2019 le Dr de l’Anssi Guillaume Poupard sur France Culture.

C’est arrivé : pour ne parler que des 15 derniers mois, c’étaient 3 hôpitaux privés de système informatique en février-mars, mais aussi des attaques contre Ouest France, des Ministères ou Bouygues Construction, victime d’un double chantage aux fichiers cryptés et à la publication de documents confidentiels, « emblématique d’une nouvelle forme de chantage au rançongiciel » estime Le Monde. 

Globalement d’après l’Anssi (Agence nationale de la sécurité des systèmes d'information), 11 % des cyberattaques ont touché des hôpitaux, 20 % des collectivités territoriales ; et le reste frappe des entreprises plus ou moins critiques. 

Coût du risque et dilemme pour les entreprises

Ces prises d’otage de données sensibles ou de services entiers sont d’abord un fléau financier : selon les différents cabinets, le coût mondial pour les entreprises est estimé de 350 à 1000 milliard de dollars par an, 10 000 milliards en 2025, 1 % du PIB mondial précise Les Echos. 

Mais To pay or not to pay, that is bien sûr the question dit CNN, le dilemme de la prise d’otage : la bourse ou la vie mais sans garantie. Car les autorités américaines et françaises déconseillent de plus en plus vivement le paiement des rançons ; des élus veulent l’interdire accusant les entreprises payeuses d’atteinte à la sécurité nationale, voire de « financement du terrorisme » dit une députée LREM aux Echos. 

Le débat est tendu, en février devant le Sénat, l’Anssi et le Parquet de Paris dénoncent un « jeu trouble » des assureurs lorsqu’ils couvrent les rançons ; et la Vice procureure Johanna Brousse s’indignait : « la France est l'un des pays les attaqués en matière de ransomware. Pourquoi ? Parce que nous payons trop facilement les rançons ! » 

Sécuriser les entreprises : question de murs ou de comportement ?

Pour Le Monde, les autorités sont prises de court et « tentent de contenir la déferlante » ; pour Le Figaro, « la France en pointe » depuis une loi de programmation militaire de 2013. L’Elysée a annoncé en février un plan d’un milliards d'euros pour renforcer la filière de la cyber-sécurité, doubler son CA à 25 Mrd € et tripler ses effectifs d’ici 2025.

Mais les moyens juridiques restent faibles : seulement dix enquêteurs et trois magistrats pour 600 affaires ; et le gouvernement est déjà pressé d’aller plus loin par l’Assemblée nationale qui propose entre autres la création d’un Parquet National Cyber : c’est « le droit pénal à l’épreuve des cyberattaques », écrit le Club des Juristes dans Les Echos. 

Mais c’est surtout le fonctionnement des entreprises qu’il faut changer, plaident plusieurs tribunes du quotidien économique. Le professionnel de la cybersécurité Jean-Marc Guignier se désole d'une prévention « prise à la légère puisqu’environ 80 % des PME et ETI en France n’ont pas de plan de sécurité » ; quand le juriste Olivier Belondrade veut tenir les deux bouts : appelant à la fois à faire sauter les « freins juridiques » (comme la protection des données personnelles) pour mieux surveiller les réseaux, et à renforcer la formation des salariés qui ouvrent à qui mieux mieux mails et pièces jointes piégées : « en terme de cybersécurité la plus grande menace, c’est nous ».

XM     

Ce contenu fait partie de la sélection
Le Fil CultureUne sélection de l'actualité culturelle et des idées  Voir toute la sélection  
L'équipe
Production

France Culture

est dans l'appli Radio France
Direct, podcasts, fictions

INSTALLER OBTENIR

Newsletter

Découvrez le meilleur de France Culture

S'abonner
À venir dans ... secondes ...par......