L’actualité récente, marquée par les cyberattaques visant Bouygues Telecom et Air France, illustre l’ampleur du risque pour les grandes entreprises. Dans ce contexte, nous avons interrogé Sergio Loureiro, expert cybersécurité d’Outpost24, qui revient sur les méthodes des cybercriminels et livre ses recommandations pour renforcer la résilience des entreprises, au-delà des seules obligations réglementaires.
SNC : Plusieurs millions de clients ont été concernés par des attaques chez Bouygues Telecom et Air France. Comment expliquer que même de grandes entreprises puissent rester vulnérables ?
Sergio Loureiro : Il y a un vrai marché des données clients, c’est devenu un business. Les hackers testent en permanence des failles et les possibilités d’entrée. Ça peut être des mots de passe, des vulnérabilités connues mais non corrigées, ou encore des attaques d’ingénierie sociale.
Par exemple, Microsoft publie chaque mois ses correctifs de sécurité, ce qu’on appelle le Patch Tuesday. Une fois ces failles rendues publiques, il y a une fenêtre de tir pour les attaquants. Même des entreprises très connues, comme Air France ou Bouygues, sont sous attaques constantes. Malgré des équipes importantes et des tests continus, il suffit d’une faille inconnue, d’un partenaire négligent sur la sécurité ou d’une attaque ciblée bien menée pour qu’un attaquant trouve un passage.
Il est important de tester en permanence toutes les portes d’entrée du système d’information et de suivre les campagnes actives sur le dark web, les groupes en action et leurs modes opératoires.
Quelles techniques les cybercriminels utilisent-ils le plus souvent ?
S.L. : La plus répandue et la plus automatisée, ce sont les scans de vulnérabilités. Des programmes tournent en continu pour détecter des ports ouverts ou des applications mal sécurisées. Quand une porte attire l’attention, les attaquants creusent plus en profondeur. Ensuite viennent les campagnes ciblées : appeler le service client, contacter un administrateur système, ou exploiter des listes de mots de passe achetées sur le dark web. Les hackers testent ces identifiants sur des millions de comptes. Même si la plupart ne fonctionnent plus, il y a toujours un ou deux mots de passe valides, ce qui suffit pour obtenir une première entrée et rebondir ensuite vers des accès plus critiques.
Dans ces cas précis, les données bancaires n’ont pas été compromises, mais seulement des coordonnées ou des numéros de fidélité. Pourquoi ces données restent-elles précieuses ?
S.L. : Parce qu’elles permettent d’usurper l’identité d’un client, de contacter une banque, de gagner la confiance d’un service client, voire de modifier un mot de passe. Avec de simples coordonnées, un attaquant peut lancer des tentatives de prélèvements frauduleux ou préparer des attaques plus sophistiquées.
Quelles sont les meilleures pratiques pour prévenir ce type de compromission ?
S.L. : Il faut tester en continu toutes les portes d’entrée, de façon très approfondie, avec l’aide de sociétés spécialisées externes. Le monitoring est essentiel pour détecter rapidement des anomalies, comme des tentatives inhabituelles de connexion. Il faut aussi suivre les campagnes en cours et les groupes actifs pour anticiper leurs cibles. Enfin, il faut se méfier des partenaires : un prestataire négligent peut devenir la source d’une fuite de données.
Les réglementations jouent-elles un rôle moteur dans cette préparation ?
S.L. : Oui, elles poussent à mettre en place des mesures de base. Mais elles ne suffisent pas face à des attaquants expérimentés. Pour les OIV par exemple, les réglementations sont plus strictes, mais nous conseillons toujours d’aller au-delà : tester plus souvent, plus en profondeur, et même changer régulièrement de prestataires pour améliorer la résilience.
Tester, tester tout le temps. Évaluer tous les vecteurs d’attaque : mots de passe, vulnérabilités, web… pour fermer un maximum de portes et réduire la surface d’attaque.
Vous recommandez huit réflexes simples à adopter après une fuite de données. Quels sont les plus urgents ?
S.L. : D’abord appliquer rapidement les patchs de sécurité et changer immédiatement les mots de passe compromis. Pour les particuliers, il faut surveiller de très près les comptes bancaires : au moindre mouvement suspect, changer les identifiants et contacter la banque. Si une fraude ou une usurpation d’identité survient, il faut aussi modifier tous les comptes importants, prévenir les prestataires et déposer plainte, notamment via cybermalveillance.gouv.fr. C’est indispensable pour que les autorités puissent mesurer l’ampleur de la campagne et tenter d’identifier les responsables.
Que révèlent ces attaques sur l’état actuel de la menace cyber en France ?
S.L. : Elles montrent que tout le monde est attaqué en permanence. Ce n’est pas une question de niveau, mais d’opportunité. Les systèmes d’information sont immenses, avec des millions de portes d’entrée, et il y a un vrai business derrière. Les données circulent sur le dark web et alimentent de nouvelles attaques.
Peut-on dire que la cyber-résilience est désormais aussi cruciale que la performance pour les entreprises ?
S.L. : Clairement. Une cyberattaque a un impact direct sur la confiance, la réputation et même les ventes. Parfois, les conséquences se font sentir longtemps après. J’ai en tête une entreprise de logistique aux Pays-Bas qui a fait faillite deux ans après une cyberattaque. On voit aussi des effets immédiats sur la bourse. La cyber-résilience est devenue un facteur clé de performance.
