Journaliste : Bonjour, bonjour à toutes et à tous et bienvenue dans cette conférence digitale, nouvelle conférence digitale organisée par le Droit Pour Moi cette fois-ci en partenariat avec le cabinet d’avocats Derriennic et Associés spécialisé notamment dans le droit des nouvelles technologies. Cette conférence en effet a pour thème la cybersécurité : quelles sont les nouvelles obligations, les nouvelles réglementations, quelles en sont les nouvelles pratiques, les bonnes pratiques à recommander et globalement quels enjeux pour les entreprises et pour les organisations de tout cela. Je précise que vous avez été plusieurs centaines à vous inscrire pour cette conférence digitale notamment mais pas seulement au sein de direction juridique. Bien évidemment, vous allez pouvoir poser vos questions via le petit onglet qui est juste à côté de la fenêtre de visionnage. Posez vos questions, vous en avez déjà posé un certain nombre, continuez à le faire, elles me seront relayées via le téléphone portable et je les poserai évidemment à mes invités, nos invités précisément. Je commence à ma droite, bonjour François-Pierre Lani.
François-Pierre Lani : Bonjour.
Journaliste : Vous êtes avocat associé au sein du cabinet Derriennic qui, je le disais, est partenaire de cette conférence digitale. Avec vous, nous évoquerons notamment mais pas seulement les aspects juridique et réglementaire en matière de cybersécurité, aspect qui bien évidemment sont en perpétuelle évolution. Face à vous, bonjour Valéria Faure-Muntian.
Valéria Faure-Muntian : Bonjour.
Journaliste : Vous êtes une ancienne députée française donc sur la mandature 2017-2022 et dans cette période, il y a 2 ans, en octobre 2021, vous avez rédigé un rapport sur la cyber assurance dont vous nous parlerez parce que depuis évidemment les choses ont évolué, pas forcément dans le sens que vous souhaitiez. De tout cela, on reparlera. Vous êtes évidemment à la pointe des aspects réglementaires mais autour des demandes de rançon, votre avis sera plus qu’important. Merci beaucoup d’être avec nous. À vos côté, Fortunato Guarino, vous êtes manager des services de sécurité, bonjour, chez Capgemini, un des plus grands groupes évidemment de services numériques, côté au CAC 40, présent je crois dans une cinquantaine de pays. Beaucoup de clients qui attendent aussi beaucoup de solutions. Vous nous parlerez de ces clients et des solutions que vous apportez dans ce monde très cyberattaqué. Et enfin, en visio avec nous, normalement de Lyon, on a fait les tests il y a quelques instants, donc tout devrait fonctionner. Bonjour Laurent Gérardin, est-ce que vous m’entendez?
Laurent Gérardin : Bonjour, parfaitement bien.
Journaliste : Et bien nous vous entendons également. Vous êtes directeur de la cybersécurité donc au sein du groupe April spécialisé dans le courtage grossiste en assurance. Vous êtes dans ce domaine leader en France avec un réseau de 15 000 courtiers partenaires. Le groupe April, si je me trompe pas, opère dans 18 pays et 2400 collaborateurs rien qu’en France. Vous êtes basé à Lyon, d’où la d’où la vision de ce matin. Votre groupe a été victime d’une attaque massive il y a environ 2 ans. Vous nous parlerez évidemment de la réaction à l’instantané mais aussi des mesures qui ont été prises depuis. Vous êtes vraiment au cœur d’un témoignage de ces cyberattaques, merci d’être avec nous. Je commence avec vous, François-Pierre Lani, sur on parle beaucoup de cyberattaque dans l’actualité dans l’actualité des entreprises mais dans l’actualité tout court. Est-ce qu’on peut faire un point sur les cyberattaques en France? Est-ce que c’est en vraiment en forte progression, en explosion et quel type? Vous connaissez bien le sujet, faisons un point pour commencer cette conférence digitale.
François-Pierre Lani : Alors, a priori une légère baisse des cyberattaques en France sur l’année 2022 et l’année 2023. Alors, propos qui doit être modéré puisque il y a les cyberattaques connues et reconnues par l’ANSSI, l’Agence Nationale de Sécurité en France, et toutes celles qui se déroulent sans notification aux autorités, quelle qu’elle soit, de police, l’ANSSI, voire voire voire la CNIL. Et là, effectivement, ce manque de transparence ne nous donne pas une vision objective. Ce que l’on peut dire tout de même, c’est que à ce jour une entreprise sur deux a été a fait l’objet d’une cyberattaque sous diverses formes : rançon logiciel, fraude au président, phishing, donc toute une série de de fraude qui sont organisées.
Journaliste : Donc une entreprise sur deux, c’est-à-dire que les entreprises ne vont pas échapper et quelle que soit la taille, on pense spontanément plus à des grands groupes, mais est-ce que des entreprises plus petites, des ETI, des des PME sont aussi soumises à ces cyberattaques?
François-Pierre Lani : Alors, dans le panorama aujourd’hui, ce que l’on peut dire, celles qui sont le plus susceptibles d’attaque sont les PME et les ETI. Bien sûr, on connaît les cyberattaques de certains grands groupes qui ont qui ont déclaré les cyberattaques, notifié les cyberattaques, mais le cœur des cyberattaques reste quand même les PME, les ETI, mais aussi, et cela vous a pas échappé, les administrations ou les entités publiques, notamment les services hospitaliers, les services communaux et autres départements ou régions.
Journaliste : Et quand vous dites les PME et et les ETI sont plus ciblées, c’est par manque de moyens, parce qu’elles sont peut-être elles ont peut-être moins elles mettent moins de moyens financiers donc technologiques derrière ça, ou est-ce que ce n’est pas forcément la seule raison?
François-Pierre Lani : Alors, il y a un ensemble de facteurs que je définirais comme aggravant. Immanquablement le télétravail joue beaucoup dans l’accélération des cyberattaques, mais pas que. La digitalisation des entreprises et ce qu’on appelle le move to cloud notamment lorsque ces entreprises travaillent avec leur propre informatique et vont s’appuyer aujourd’hui sur sur des prestataires dans des services Cloud qui sont pas obligatoirement sécurisés. Et donc on a vu notamment sur l’année 2023 au sein du cabinet et bien des attaques ou des failles décelées au sein de ces prestataires cloud, donc voilà, donc une exigence là en matière de de de sécurisation de ces de ces services. On y reviendra notamment portée par la réglementation européenne. Et puis effectivement, la dette technologique, on peut appeler ça la dette technologique, c’est-à-dire la non-application des patchs correctifs ou autres mesures de sécurité mise en œuvre par les éditeurs ou par les prestataires de services qui ne sont pas mis à jour au sein des des informatiques des entreprises.
Journaliste : Je reste un instant encore sur le constat. Le constat que vous faites, il porte sur les entreprises en France, donc cette légère baisse même si on a bien compris qu’il y a sans doute un phénomène de non-déclaration. Mais est-ce que cette légère baisse ou la stagnation vous la constatez si vous avez les données et les chiffres dans d’autres pays européens comparables?
François-Pierre Lani : Alors, il faut savoir que une cyberattaque même si elle vise une entité française ne va pas obligatoirement toucher le siège social de l’entité française. Et donc ce que l’on voit nous au cabinet c’est que toutes les cyberattaques, rançon logiciel, ont été faites à partir notamment de serveurs externalisés ou de systèmes d’information dans des pays étrangers.
Journaliste : Fortunato Guarino, vous, par justement, merci pour la transition, j’allais vous donner la la parole parce que évidemment chez Capgemini vos vos clients vous vous leur apportez des des solutions mais vous connaissez bien leurs leurs problèmes. Est-ce que ce constat d’une stagnation vous le faites ou est-ce que vous n’avez pas le même constat vous sur l’état des lieux actuellement des cyberattaques?
Fortunato Guarino : Alors oui et non. On peut constater effectivement selon les secteurs d’activité, effectivement certaines certaines croissance notamment, je reviens effectivement sur les collectivités territoriales, les départements, les mairies qui sont qui ont fait l’objet effectivement beaucoup d’attaques durant l’année 2023. On a eu beaucoup d’exemples de mairies qui ont été attaquées. Voilà, ça a été effectivement, depuis le début de la guerre d’Ukraine, effectivement, il y a eu une espèce d’effectivement d’offensive en fait sur les collectivités territoriales qui étaient très en retard, donc c’est pas un hasard non plus. On peut constater aussi qu’effectivement les grands groupes en fait vont être effectivement moins sujets aux attaques de par effectivement une maturité au niveau de la sécurité de leur système d’information. Pour les petites et moyennes entreprises, et je reviens effectivement sur la position de François-Pierre, en fait le tissu en fait industriel français pour les PMI PME, ce sont des sociétés qui n’ont pas forcément de responsable de sécurité voire de directeur informatique. Donc ce sont souvent en fait des techniciens qui sont un peu bidouilleurs qui vont mettre en fait en place effectivement un système d’information. La société va croître et puis en fait on commence à perdre effectivement le contrôle de la technologie et notamment avec le move to cloud. Ce tissu-là effectivement qui est très bien connu d’ailleurs par la gendarmerie puisque ce sont eux qui vont recevoir les plaintes laisse en fait effectivement un constat qui, oui, aujourd’hui les petites sociétés en fait en province se font énormément attaquer. Par contre effectivement, il y a pas le relais de la presse à ce niveau-là et souvent les conséquences sont d’autant plus fortes puisque lorsque le système de sauvegarde n’est pas effectivement efficace, ce genre de société peut très rapidement se trouver en situation très difficile et il y a beaucoup de sociétés qui vont fermer dans les 6 mois après une première attaque.
Fortunato Guarino : Pour revenir effectivement sur la dimension internationale de la chose, puisque nous traitons effectivement essentiellement les grandes grandes firmes nationales françaises présentes à l’étranger, il est vrai que dans les zones effectivement Europe, Europe du Nord, États-Unis, on a effectivement une variation qui est continue en fait en matière d’attaque. Et ce sont des attaques qui sont à la fois beaucoup plus techniques, opérées par des professionnels avec effectivement des bandes criminelles qui ont des moyens, des supports, parfois effectivement des connaissances et des relais effectivement internes à l’entreprise. Il y a de la corruption effectivement, il y a du partage de données, cette donnée effectivement est revendue dans le Dark Web et réutilisée par les groupes criminels et cette activité-là effectivement est de plus en plus présente, donc on la constate. Ce que je veux effectivement rajouter c’est que pour Capgemini, il n’y a pas de petite, moyennes ou grandes entreprise, il n’y a que des victimes.
Journaliste : Est-ce qu’il y a de plus en plus de demandes de rançon? Je me tourne vers vers vous, Valéria Faure-Muntian, sur le côté est-ce que c’est c’est ça, c’est vraiment maintenant de plus en plus il y a une attaque et une demande de rançon?
Valéria Faure-Muntian : Moi, je pars du postulat que la cyberattaque elle est inévitable. Une entreprise sur deux, demain, ce sera peut-être toutes les entreprises. C’est un monde criminel qui s’est développé, c’est des criminels qui étaient hier braqueurs de banque ou trafiquants de drogue qui migrent vers le numérique parce que du coup ils se font attraper beaucoup moins souvent et c’est beaucoup plus rentable en terme d’investissement. Cette criminalité ne va pas disparaître du jour au lendemain et il y aura pas de police internationale de la cyber demain. On sait où sont concentrés ces groupes de criminel, bah ils sont beaucoup à l’Est pas mal au Sud.
Valéria Faure-Muntian : La problématique, c’est pas quand on va se faire attaquer ou si on va se faire attaquer, on va se faire attaquer, ça c’est quasi une certitude. Par contre, qu’est-ce qu’on met en œuvre pour la remédiation? Se protéger c’est bien, ça permet d’éviter une grosse partie des attaques, mais à un moment donné, il y en a une ou une autre qui va réussir. Comment on met en œuvre, comment on se donne les moyens de faire en sorte de d’éviter le maximum d’attaques possible et surtout comment on revient à une activité normale? Il est là le vrai sujet. On prend pas la chose du bon côté, en fait. Le bon bout de l’opération, c’est dire comment j’organise mes sauvegardes, comment je sécurise mes données, comment je peux les reconstituer demain pour reprendre mon activité de manière la plus rapide possible, la plus efficace possible et avec le moins de perte économique possible. Et c’est là-dessus que on doit mettre les moyens aujourd’hui. Et effectivement, les rançons logiciels sont devenues de plus en plus performants à tel point que certains criminels n’arrivent même pas à faire marche arrière, c’est-à-dire qu’ils vous promettent contre la rançon de déchiffrer vos données, mais soit cette promesse c’est du vent au départ, soit techniquement ils sont pas capables de le faire.
Journaliste : On va passer à un autre témoignage là pour le coup d’une entreprise qui l’a vécu. Donc on retrouve à Lyon Laurent Gérardin, le directeur de la sécurité du groupe April. Je le disais pendant le sommaire, le groupe April a été victime il y a 2 ans d’une attaque massive. Racontez-nous ce qui s’est passé et on viendra ensuite aux mesures que vous avez prises.
Laurent Gérardin : Oui, bonjour à tous. Oui, en effet April a subi une attaque en novembre 2021. Alors, massive oui, dans le sens que on sentait vraiment que les pirates, voilà, clairement, avait pour objectif de voler nos données et de chiffrer nos serveurs afin de pouvoir ensuite probablement nous extorquer une rançon. Bon, malgré tout, grâce à des mesures qui avaient été prises depuis un an suite à mon arrivée, l’attaque n’est pas n’est pas allée jusqu’au bout, on a réussi à l’arrêter juste avant que justement il n’exfiltrent les données et ne chiffrent notre système d’information. Mais ça a secoué le groupe parce que bah voilà, c’était la première fois que on subissait une telle attaque. Nous avons dû mettre en place une gestion de crise pour adresser ce souci, fermer les portes, voir par où ils sont rentrés, avec quelle technique, créer les remèdes, enfin analyser l’ADN du virus qui était rentré et puis trouver les remèdes à placer sur l’ensemble des des serveurs et des des postes de travail.
Journaliste : Et les premières heures, qu’est-ce qui s’est passé pour les collaborateurs? Vraiment, il y avait plus d’accès à leur ordi, à leur messagerie, mail et cetera. Comment ça ça s’est vécu les premières heures au sein du groupe April pour les collaborateurs?
Laurent Gérardin : Alors, forcément, il y a eu deux groupes. Il y a eu l’IT évidemment qui a été l’informatique qui a été mobilisé tout de suite et là ils ont bien compris, on leur a bien clairement expliqué que c’était une attaque, ce n’était pas un exercice. Nous avons dû mobiliser toutes les ressources dans l’IT pour pouvoir travailler sur sur le problème et eux bon, voilà, ils étaient à fond sur les objectifs de correction. Et puis il y avait un autre groupe de collaborateurs, ceux qui ne ne vivaient pas directement la crise ou parce qu’ils étaient dans un service informatique qui n’était pas concerné ou parce qu’ils étaient des collaborateurs plutôt du métier et qui eux bah ont vu très rapidement puisqu’on avait coupé la connexion internet, ça fait partie des des premières choses que que l’on a fait. Donc ils se sont aperçus qu’il y avait plus de réseau, plus de plus d’informatique qui marchait et là, ça a été oui, il y a eu quelques quelques petites paniques ici et là. Il a fallu énormément communiquer dans et rapidement au sein du groupe pour informer les collaborateurs et faire en sorte voilà de leur expliquer ce qui se passe plutôt qu’il l’apprennent par la presse ou d’autres moyens.
Journaliste : Fortunato Guarino, il y a un mot on s’est on s’est regardé à ce moment-là, vous nous dites on sous-estime souvent l’aspect psychologique, l’aspect violent d’une cyberattaque pour les collaborateurs.
Fortunato Guarino : Oui, tout à fait. Aussitôt qu’effectivement une société est sujette à une attaque, on va dire massive, on se retrouve en fait dans dans un effet de sidération des collaborateurs, comme effectivement lors d’un accident ou effectivement d’un cambriolage chez soi. Et cela à tout niveau de des échelons d’entreprise. Il y a un moment où effectivement, sous le stress, sous la colère, sous effectivement l’interrogation par rapport pourquoi moi, pourquoi pourquoi effectivement tout ce que j’ai investi en sécurité ou en informatique aujourd’hui m’amène dans cette situation. Cet effet de sidération effectivement est ce qui caractérise la victime. Et du coup, il est très important effectivement dans la gestion et dans le support à la gestion de crise en fait que le coordinateur de crise prenne en compte cette démarche psychologique d’assistance à la victime. Afin de faire rebaisser la pression, répondre aux interrogations, retrouver une espèce de quiétude. On doit retrouver effectivement cette cette cette situation où les gens vont pouvoir réfléchir de manière raisonnée et non réfléchir sous sous le coup de l’émotion.
Journaliste : François-Pierre Lani, une fois l’émotion passée, celle dont on vient de parler, qu’est-ce qu’il faut faire? Est-ce que le rôle de l’avocat, quand il y en a un, est-ce que c’est d’accompagner, comment? Quelles sont les mesures à prendre une fois encore le coup de l’émotion passée?
François-Pierre Lani : Premièrement, nécessité de mettre en place une cellule de crise, donc une cellule entraînée et dans laquelle on y intègre les personnes clés. Nous l’avons vu, c’est-à-dire les directeurs des services informatiques, la direction générale de l’entreprise, les patrons de l’entreprise, et puis effectivement la DSI, le service de communication assisté souvent par un prestataire de communication de crise. Les équipes effectivement juridiques, elles ont une mission essentielle, au-delà de compréhension et de rendre intelligible l’attaque. Elles ont une obligation essentielle, c’est comment j’organise la préservation de la preuve. L’autre sujet, et bien, c’est les actions que je dois lancer moi en tant que juriste ou en tant qu’avocat : les notifications que je dois faire aux personnes concernées, aux autorités compétentes et éventuellement le dépôt de plainte.
Journaliste : Laurent Gérardin, de ce que l’on vient de dire, est-ce que tout cela vous l’avez mis en place au sein du groupe April après l’attaque dont vous parliez de novembre 2021 ou vous avez eu vos propres spécificités de de réaction?
Laurent Gérardin : Non, non, c’est du classique en effet, je rejoins tout à fait ce qui a été dit. Peut-être ce que je rajouterais, c’est qu’il est important d’avoir deux cellules de crise en fait qui soient bien distinctes : une cellule de crise plutôt management Comex, ce qu’on appelle une cellule de crise décisionnelle. Et puis une cellule de crise plutôt orientée IT, informatique, qui elle gère la technicité de de de la crise. Je pense aussi un élément que je voulais rajouter, il est important dans une crise comme ça de ne garder que les personnes qui sont vraiment importantes, utiles et clés dans la gestion de la crise, parce que bah plus on rajoute de personnes et plus on rajoute d’entropie en fait à la à la gestion de la crise.
Journaliste : Approuvé par Fortunato Guarino à qui je donne la parole.
Fortunato Guarino : Il est important de savoir effectivement qu’il n’y a pas de mauvais choix. Pourquoi? Parce que les décisions qui vont être prises sous la pression et sous effectivement la course du temps vont être faites en eu égard en fait une connaissance de l’état de cause et de l’état réel de la situation, ce qui n’est pas forcément une chose facile et une chose aisée très rapidement. Ensuite effectivement ce qui est hyper important sur cet état réel de la situation, c’est le plan d’action qui va être pris, sachant qu’en fait, on n’est pas sur une stratégie de retour immédiat, un maintien de conditions opérationnelles et un maintien de conditions de sécurité efficace, mais bien sur un mode dégradé qui va aller s’accélérer, qui va effectivement s’améliorer heure après heure. Toutes les décisions qui sont prises effectivement par cette cellule de crise vont être faites au mieux au vu de la connaissance de l’état. On va faire de l’abandon de services, on va effectivement prioriser ce qui doit être établi en premier. Et c’est souvent justement l’intérêt d’avoir en fait un conseil extérieur. Cette personnel n’est pas sujette à pression, elle va effectivement être extrêmement rationnelle dans l’intérêt de l’entreprise.
Journaliste : Et on verra peut-être les responsabilités, est-ce que c’est votre c’est votre point de vue?
Fortunato Guarino : J’ai été effectivement plusieurs reprises témoins de réactions qui vont être très sanguines, on va chercher tout de suite un responsable. Or, cette personne-là, avant tout, c’est une source de connaissance, elle connaît très bien son environnement, même si elle a commis une faute. C’est la chaîne de décision qui est responsable, donc c’est toute l’entreprise qui est responsable. Et en cellule de crise, on ne peut pas se permettre effectivement cet écart, on a besoin de toutes les ressources.
Journaliste : J’aimerais qu’on parle, Valéria et et François-Pierre, pardon, sur les réglementations.
François-Pierre Lani : Il y a une certaine profusion, voire une certaine incompréhension, et les opérationnels ne savent pas obligatoirement gérer les priorités. Ces textes sont souvent des règlements européens, c’est-à-dire qu’ils ont vocation à s’appliquer directement en France. Les délais paradoxalement paraissent très éloignés, notamment quand on parle de cybersécurité, puisqu’on a des applications de ces textes qui vont aller même jusqu’en 2027. Cette profusion peut être déstabilisante pour pour les opérationnels et notamment pour pour les juristes qui doivent traduire ces textes pour les comprendre et deuxièmement sensibiliser à l’intérieur de l’entreprise ce qu’ils exigent pour une mise en application.
François-Pierre Lani (NIS 2) : L’idée, c’est que Nice a été un premier un premier test plutôt plutôt convaincant et donc on a aujourd’hui élargi les entreprises visées par Nice 2. Elle vise un certain nombre d’entreprises, on évalue à près de 700 entreprises en France qui vont être concernées, 35 secteurs clés. La démarche, elle est la suivante : la mise en œuvre de la sécurité informatique au sein de l’entreprise pour permettre d’ailleurs la continuité de de de service, puisque ce sont les secteurs de l’eau, les secteurs financiers, les secteurs de l’électricité, donc tous ces secteurs qu’on va considérer comme vitaux ou importants. L’obligation de notification : on n’était pas notifié, déclaré, et donc là l’obligation de notification à l’autorité nationale de sécurité, donc l’ANSSI. Et puis derrière, ce qu’on appelle l’obligation d’accountability, c’est-à-dire un peu comme dans le RGPD. Sanctions pour celles et ceux qui ne seront pas mis en conformité. En octobre 2024, les contrôles vont être lancés et les mises en conformité devront être faites. L’idée pour le législateur européen, c’est d’harmoniser la mise en sécurité de ces entreprises-là et puis de généraliser au sein des entreprises.
François-Pierre Lani (DORA et CRA) : Nous avons Dora, qui est un règlement sur ce qu’on appelle la résilience opérationnelle, qui s’applique au secteur plutôt secteur financier, banque, assurance. L’application est plus tardive, on parle de 2025. Le focus est fait sur les prestataires informatiques tiers. Le Cyber Resilience Act vise plutôt ce qu’on appelle les IOT, donc les objets connectés. Un principe de prohibition de mettre sur le marché européen des outils digitaux qui présentent des failles.
Valéria Faure-Muntian (Philosophie de la Réglementation) : Tout d’abord, il faut comprendre la philosophie. Nice 1 visait à la base les entreprises systémiques qui allaient poser des problématiques vitales ou essentielles. Aujourd’hui, on a laissé faire le marché et le marché ne s’est pas saisi de la chose aussi rapidement que le législateur européen aurait voulu le faire. Donc aujourd’hui, on a une série de textes qui vont venir donner des obligations à un certain nombre d’entreprises qui sont de plus en plus importantes dans la vie de nos concitoyens. C’est encore une fois, dans le cadre des directives Nice, les prestataires, les fournisseurs, les clients sont concernés, donc en fait, ça va rejaillir sur énormément d’entreprises, au-delà de son écosystème. Et donc ça ne peut être que bénéfique. Les délais sont assez larges pour permettre la mise en conformité et surtout des investissements, parce que la sécurité est un investissement, contrairement à ce que peuvent vous dire certains dirigeants d’entreprise, ce n’est pas une dépense. On a une vraie difficulté, on a une pénurie de main-d’œuvre et donc c’est quand on a un texte européen qui a 5 ans, 3 ou 5 ans pour s’appliquer, c’est aussi pour répondre à ces problématiques-là.
Journaliste : On a parlé de Dora, on a parlé de Nice 1, Nice 2, on n’a pas parlé de l’OMPI et ça vous concerne un peu. Rappelez-nous ce qu’est ce qu’OMPI et pourquoi ça vous ça vous concerne dans dans ce que vous avez fait sur la cyber assurance.
François-Pierre Lani (LMPI) : Le dispositif LMPI, qui a été mis en œuvre par le législateur français, c’est d’abord un constat. De façon opérationnelle, on a le retrait des garanties des assurances face au risques cyber. Des polices d’assurance qui ont été résiliées. Face à ce constat là, le législateur français a considéré qu’il fallait réagir pour que d’une part les entreprises puissent être assurées face au risque cyber. La problématique, c’était la rançon. Est-ce que ce cette rançon est est assurable? Et donc le dispositif LMPI l’a conditionné l’intervention de l’assureur dans le cadre de la rançon à un ensemble de contraintes et notamment la fameuse contrainte du dépôt de plainte dans des délais extrêmement serrés.
Journaliste : Valéria Faure-Muntian, parlez-nous un peu de votre histoire avec la cyber assurance.
Valéria Faure-Muntian (Critique de l’Assurance et LMPI) : On avait d’une part un certain nombre de couvertures assuranelles dit classiques qui pouvaient couvrir le risque cyber malgré eux. Le régulateur, la CPR, l’Autorité de Contrôle Prudentiel et de Résolution, l’a formellement interdit et a demandé de réviser l’ensemble des contrats pour enlever les garanties silencieuses cyber. Ensuite, on s’est penché sur la question de la typologie de couverture en cyberassurance. Les assureurs qui avaient offert des garanties se sont vus arriver les ratios sinistre à prime tellement tellement conséquent qu’ils ne pouvaient plus continuer à assurer. On a eu un reflux qui n’a pas permis aux entreprises de se couvrir. L’absence de mutualisation du risque pose un réel problème de coût. Si je subis une cyberattaque et qu’elle provient d’un fournisseur ou d’un client, mon assureur, s’il me couvre, il n’y a personne contre qui se retourner parce que la plupart du temps, tous ces gens-là ne sont pas couverts.
Valéria Faure-Muntian : Il faut assurer massivement l’ensemble des agents économiques et des collectivités territoriales en France. Il faut mutualiser le risque, réduire les coûts par ce billet-là. Je suis toujours définitivement opposée au payement des rançons. Si on mettait tous les moyens qu’on met en œuvre pour la remédiation au moment du sinistre, si on les mettait en œuvre pour la prévention, on aurait peut-être moins de problématique du paiement des rançons. Plus vous donnez l’idée aux criminels qu’il y aura du paiement, plus il y a de chances que vous soyez attaqués. En ce qui concerne l’OMPI, ce n’est pas une loi maline. C’est complètement inutile. Le but de l’opération était de collecter le maximum d’information. Au lieu de rendre le dépôt de plainte obligatoire pour l’ensemble des entreprises attaquées, on le rend obligatoire uniquement pour mettre en œuvre l’assurance. Vu la petitesse du pourcentage d’entreprise française assurée, ça ne va pas nous apporter grand-chose en terme de connaissance. On demande de faire le dépôt de plainte a posteriori et longtemps après l’attaque. Quand vous vous faites cambrioler, vous appelez dans les minutes. C’est exactement la même chose pour la cyberattaque, il n’y a pas de raison qu’on attende une semaine, 15 jours pour déposer plainte.
Journaliste : On va d’abord repasser par Lyon, retrouver Laurent Gérardin. Est-ce que vous depuis l’attaque dont vous avez été victime il y a 2 ans, et de manière liée ou non à cette à cette attaque, est-ce que vous êtes inscrit dans ces directives? Est-ce que vous êtes entre guillemets dans les bons process?
Laurent Gérardin : Alors, je vais parler de de cyber assurance pour pour rester sur cette thématique. Il faut savoir que nous nous étions cyber assurés au moment de l’attaque. Il y a quelque chose qu’on oublie souvent en fait dans une cyberattaque, c’est la main courante. Il faut absolument c’est absolument vital, ne serait-ce que pour la cyber assurance mais mais même au-delà de ça, de garder une trace très très très précise de tout ce qui a été fait. L’assurance va vous le demander. Un autre élément peut-être qui n’a pas été évoqué, il me semble, dans la discussion, et que nous on voit chez April, il y a entre guillemets un effet collatéral de la de la cyber assurance, c’est comment dire, tous nos partenaires, tous nos clients bah du coup exigent d’une certaine manière de notre part d’avoir une cyber assurance. La première c’est celle qui a été évoquée tout à l’heure, bah voilà, on a un choc entre deux voitures, bah c’est bien d’avoir en face quelqu’un qui a aussi une une cyber assurance. Un point qu’on n’a pas mentionné sur la cyber assurance, c’est qu’il y a souvent un audit qui est fait par la cyber assurance de votre niveau de sécurité. Cela assure d’un bon niveau de sécurité pour pouvoir souscrire l’assurance.
Journaliste : Est-ce qu’à l’époque, donc il y a 2 ans, lors de l’attaque dont vous avez été victime, est-ce que vous avez été, est-ce qu’on vous a fait une demande de rançon?
Laurent Gérardin : Non, on n’a pas eu de demande de rançon. L’attaque n’est pas allée jusqu’au bout, on a réussi à détecter et à stopper les attaquants juste avant qu’il ne mette en place bah tout ce qui est chiffrement, exfiltration de de données. Nous étions vraiment à quelques heures de la sortie de données massives et de l’activation du chiffrement.
Journaliste : On donne la parole à Fortunato Guarino.
Fortunato Guarino : Je rappelle effectivement qu’avec le RGPD, en fait, le dépôt de plainte en 72 heures est obligatoire. Souvent, on nous dit oui, mais les entreprises ne portent pas plainte parce que quand elle dépose plainte, la plainte est classée sans suite. C’est parce qu’au départ du dépôt de la plainte préliminaire, la victime ne donne pas d’éléments suffisamment étayés pour pouvoir faire en fait très rapidement l’authentification de l’auteur. Il est super important que la première chose, lorsque vous avez effectivement une compromission du système d’information, une compromission simplement de vos données, vous devez effectivement préserver la preuve. C’est très très très important en matière de coopération, il y a une convention de Budapest qui a été signée par tous les pays européens. Il faut vraiment pousser les les entreprises en fait à déposer plainte et faire appel à des gens qui effectivement vont faire le relais avec les services de police qui sont à l’écoute.
Valéria Faure-Muntian : La coopération internationale fonctionne de mieux en mieux. Mais pour ça, il faut avoir des éléments. Il faut pouvoir le présenter devant le juge.
Journaliste : Une question Valéria qui vous concerne : la cyber assurance vaut-elle le coût pour les petites entreprises?
Valéria Faure-Muntian : Elle vaut le coup pour tout type d’entreprise, tout type de collectivité et tout type d’établissement public. Il est indispensable de se trouver un assureur pour couvrir ne serait-ce que l’audit. L’assureur va vous proposer une forme d’audit, un questionnaire qui va obliger vous obliger à vous remettre en question. Les PME et les ETI sont l’essentiel de notre économie et c’est celle-là qu’il faut aussi préserver de manière définitive.
Journaliste : On va beaucoup parler maintenant de la prévention. Laurent Gérardin, vous, qu’est-ce que vous avez actuellement en place et quels sont surtout vos conseils de bonnes pratiques pour lutter contre les cyberattaques?
Laurent Gérardin : Je commencerai forcément avec un sujet sur l’ANSSI. Il y a quelque chose qui est très bien fait notamment pour les PME ETI, c’est le guide d’hygiène de l’ANSSI. Pour moi, il me paraît absolument clé et indispensable de s’y pencher pour toute entreprise et d’essayer d’arriver à implémenter toutes les bonnes idées, les bonnes mesures qui sont données dans le guide d’hygiène ANSSI. C’est la base de la base, c’est les fondations. Avoir une personne voire une équipe qui est dédiée à la sécurité. On met tout l’argent, tout le budget sur la défense, ce qui est bien, mais on oublie souvent la détection. La détection est clé en fait parce que c’est la détection qui va vous permettre justement de voir si un attaquant est rentré chez vous. Vous entendrez souvent parler de ce qu’on appelle le SOC (Security Operation Center), c’est en gros l’équipe qui va détecter si vous êtes attaqué. Et puis on l’a évoqué tout à l’heure, un CERT qui lui, bah s’il y a une attaque révélée, va réagir et va contrer l’attaque. Concrètement, nous ce qu’on ce qu’on voit qui est très efficace dans une entreprise, c’est un bon EDR. C’est un sorte d’antivirus plus plus, un antivirus un peu moderne qui est capable de détecter des comportements sur vos systèmes. Ce qu’on a vu qui était très efficace aussi, c’est ce qu’on appelle des anti-spam ou du moins de la sécurité au niveau de la messagerie, parce que c’est souvent par là que l’attaque passe. Et puis enfin, je dirais un bon système de ce qu’on appelle de filtrage de sortie Internet. Ça va bloquer la connexion de sortie et va faire en sorte que l’attaque n’aille pas plus loin.
Journaliste : Laurent Gérardin, faites des exercices de cybersécurité un peu comme on a tous dans les entreprises des exercices incendie?
Laurent Gérardin : Oui, oui, tout à fait. C’est important, c’est absolument clé aussi pour une entreprise de faire des exercices réguliers. On dit souvent que gérer une cybercrise, c’est gérer l’inconnu. Et de passer par des entreprises qui sont spécialisées dans la sécurité et qui vous aident à faire en sorte de mettre en place des exercices de crise cybersécurité, c’est que du positif pour le pour le futur.
Journaliste : La force de la prévention, Fortunato Guarino, pareil, les bons conseils, les bonnes pratiques de Capgemini?
Fortunato Guarino : Il faut pas se tromper de de combat, ce qui est hyper important au départ, effectivement, c’est de se réapproprier son système d’information et de se réapproprier en fait ses données. Il faut à tout prix être capable de dire quelles sont les données qui sont critiques à ma survie. On va partir du postulat que toute infrastructure est faillible. Des données qui sont détruites qui sont compromises, c’est perdu. S’il y a bien un mot à donner, c’est réappropriez-vous la technologie. Et deuxièmement, effectivement, être toujours préparé. Rappeler en fait les messages de sensibilisation à tout le personnel sur les bonnes pratiques, les bonnes postures de sécurité.
Journaliste : François-Pierre Lani, sur un peu une synthèse de ces bonnes pratiques et plus généralement le rôle de juriste et de l’avocat pour accompagner ces bonnes pratiques.
François-Pierre Lani : Les juristes ou avocats ne doivent pas être hermétiques à la problématique cyber et à la problématique de sécurité. Ces juristes, ils doivent savoir parler, communiquer avec les opérationnels informaticiens, techniciens, spécialistes de la sécurité, et notamment ces fameux CERT. On a un volet important qui est la sensibilisation. J’insiste, l’idée c’est dans l’entreprise, sensibiliser avec des techniques de sensibilisation effectivement récurrentes, courtes, à partir de cas précis. 90 % des cas sont d’origine humaine. La deuxième, c’est une vision beaucoup plus globale. Une cellule de crise entraînée. Et puis ce volet avec beaucoup plus de recul qu’on essaie de mettre en œuvre dans les entreprises, qui est la vision globale et partagée de la réglementation pour se mettre en conformité. On développe avec cela une véritable culture de la résilience. Les PME peuvent aller chercher l’expertise mutualisée à l’extérieur et via notamment l’assurance.
Journaliste : Valéria Faure-Muntian, vous les bonnes pratiques, de ce qui n’a pas été dit, quels sont les compléments que vous souhaiteriez dire?
Valéria Faure-Muntian : Pour les entreprises qui cherchent à mettre en œuvre de la prévention, elles peuvent déjà se renseigner auprès effectivement du Medef, de la CPME, de la Chambre de Commerce et de l’Industrie, de la chambre de l’artisanat ou auprès de la cellule ANSSI régionale. Ensuite, faire la cartographie de ces ressources. Qui c’est que je mets dans la cellule de crise? C’est qui qui les remplace? Quelles sont les décisions que je prends dans la première demi-heure? Mon téléphone fixe, il est aussi normalement sur le réseau numérique. Quels sont mes moyens de communication si je suis cyberattaqué? Quand c’est écrit quelque part, ça permet de ne pas paniquer. Le tout est écrit, tout est très clair, tout le monde sait où ça se trouve et on sait comment réagir et on évite de paniquer.