Accueil Cyber « La cybersécurité, c’est un peu la pilule du lendemain », Bastien...

« La cybersécurité, c’est un peu la pilule du lendemain », Bastien Bobe, Commvault

Le ransomware as a service a professionnalisé l’attaque : des groupes structurés fournissent aujourd’hui des outils clé en main, avec double extorsion à la clé. Face à cette industrialisation, les entreprises restent très majoritairement tournées vers la prévention. Mais que se passe-t-il le jour où, malgré tout, l’attaque a lieu ? Entre plans de reprise jamais testés, équipes à bout de souffle et environnements de production scellés par les autorités, la phase de reconstruction révèle souvent l’angle mort de la stratégie cyber.

Cet échange s’appuie sur une interview réalisée en direct lors des Petits Déjeuners de la rédaction, un rendez-vous organisé par Solutions Numériques & Cybersécurité, en partenariat avec Euro Cyber Group, pour prolonger les analyses du magazine et confronter les retours terrain aux enjeux concrets des organisations.

Cette édition du 30 juin, consacrée à la cybersécurité, s’inscrit dans le prolongement du dossier RaaS et dépendances externes, une surface d’attaque en expansion, du numéro Sous la pression de la souveraineté.

À cette occasion, Bastien Bobe, directeur technique chez Commvault, revient sur ce qui se joue vraiment après une attaque de ransomware.

Solutions Numériques & Cybersécurité : On va parler ransomware as a service, ces groupes structurés qui fournissent des outils clé en main. Premier constat : la cybersécurité est très orientée prévention, on investit pour ne pas se faire attaquer. Mais dans les cas que vous observez, les entreprises n’étaient finalement pas si préparées que ça, puisqu’elles se sont fait attaquer quand même.

Bastien Bobe :

Je ne dis pas qu’il ne faut pas investir en prévention, bien au contraire : le budget sécurité et le budget IT doivent rester très majoritairement orientés prévention. Mais dans les bonnes pratiques de cybersécurité, il y a un framework, le NIST, qu’il ne faut pas confondre avec la directive NIS2. Ce framework a cinq briques : la prévention, l’identification, la détection, la réponse à l’incident et, surtout, le recovery.

Le recovery, c’est tout simplement la capacité à repartir après une cyberattaque. Et c’est un peu ce qu’on a oublié, parce qu’on ne veut pas que ça arrive. Mais le jour où ça arrive, il faut avoir pensé à la reconstruction, sinon on subit une interruption qui peut être très longue.

Solutions Numériques & Cybersécurité : J’imagine que quand on investit dans la défense, on se dit que ça va fonctionner, et on ne se pose pas la question d’après.

Bastien Bobe :

Exactement. On investit dans un socle, dans des EDR, on empile les couches de cybersécurité, on met de la gouvernance autour. Et malheureusement, parfois, ça ne suffit pas.

Solutions Numériques & Cybersécurité : Ça ne doit pas être simple non plus de planifier le scénario « on se fait avoir ». Est-ce que c’est encore un tabou au Comex ?

Bastien Bobe :

C’est de moins en moins un tabou, même si ça l’est encore dans certaines entreprises et certaines industries, où l’on fait confiance aux équipes de défense parce qu’on leur a donné beaucoup de moyens ces quinze à vingt dernières années. On investit massivement en prévention.

Ce qui change les choses, c’est souvent l’expérience vécue. Je fais beaucoup d’exercices de crise avec des Comex où les DG, DAF ou directeurs des opérations ont déjà vécu un incident cyber, parfois quelques mois plus tôt. J’étais dans une entreprise pharmaceutique il y a trois semaines : le DG venait d’arriver, mais il avait vécu une crise cyber dans un poste précédent. Ça l’a marqué, et il est beaucoup plus enclin à former ses équipes à la gestion de crise et à intégrer l’idée qu’on peut se faire avoir dans la stratégie globale de cybersécurité.

Je dis souvent que la cybersécurité, c’est un peu la pilule du lendemain depuis vingt ans. Il ne faut pas attendre l’incident pour avoir un problème, mais le jour où ça arrive, on est content de pouvoir compter dessus.

Solutions Numériques & Cybersécurité : Quand ça arrive, vous décriviez dans le dossier une logique de rebond, avec plusieurs environnements touchés simultanément. Les plans de reprise sont-ils vraiment conçus pour ce type de reconstruction à grande échelle ?

Bastien Bobe :

D’abord, il faut comprendre ce qu’on a réellement besoin de reconstruire, parce que tout n’est pas critique à 100 %. Beaucoup d’applications servent le métier au quotidien, mais d’autres ne sont utilisées qu’une fois par mois, par trimestre ou par an : celles-là ne sont pas prioritaires.

Il y a globalement trois questions à se poser pour définir les applications critiques : de quoi ai-je besoin pour produire ou servir mes clients, de quoi ai-je besoin pour livrer, et de quoi ai-je besoin pour prendre des commandes. Ça fonctionne bien dans le privé ; dans le public, il faut adapter la logique au contexte. Mais en répondant à ces questions, on sait ce dont on aura besoin dès le premier jour de l’incident pour avoir un plan de continuité d’activité.

Une fois qu’on l’a fait une première fois, on sait comment faire, et on peut mettre à jour le plan régulièrement. C’est justement ce qu’imposent NIS2, DORA et CER : des tests réguliers de reconstruction sur les infrastructures et applications critiques. Parce que si on ne l’a jamais fait, reconstruire un simple annuaire Active Directory, ce sont pourtant 80 étapes documentées sur le site de Microsoft, pas très compliquées en soi, peut prendre plusieurs jours, voire des semaines.

Solutions Numériques & Cybersécurité : Vous parliez aussi de double extorsion : chiffrement des données d’un côté, menace de divulgation de l’autre. Pendant toute la phase de reconstruction, il y a donc une pression maximale sur les équipes techniques. Comment tiennent-elles ?

Bastien Bobe :

C’est très lourd, et souvent elles ne tiennent pas. C’est malheureux à dire, mais les 72 premières heures d’un incident cyber sont critiques pour les équipes en place. Ensuite, il faut les relayer, les soutenir, faire appel à des experts, des intégrateurs ou des partenaires, parce qu’une équipe IT ou cyber ne peut pas gérer seule une reconstruction pendant des semaines. C’est humainement impossible.

Je fais des podcasts sur le sujet, et beaucoup de témoins ont soit changé de métier après une crise cyber, soit quitté leur société, soit se sont retrouvés en arrêt maladie pendant plusieurs semaines ou mois. On ne se rend pas assez compte de l’impact psychologique de la gestion de crise, entre pression interne et pression médiatique.

Il faut, dans les plans, penser à remplacer les équipes, à venir les soutenir, leur donner des outils d’automatisation, mais surtout éviter qu’elles soient à la fois en frontal et en train de gérer la crise.

Il faut des personnes dédiées à la war room et au Comex pour porter la pression publique et médiatique, pendant que l’IT et la sécurité restent concentrées sur la reconstruction. Et il ne faut pas oublier la pression côté salariés : en cas de double extorsion, ce ne sont pas seulement les données clients qui peuvent fuiter, mais aussi les données RH, les bulletins de salaire, tout ce qui peut être gênant pour les collaborateurs.

Solutions Numériques & Cybersécurité : En moyenne, on parle de 24 jours d’interruption ?

Bastien Bobe :

C’est ce qu’on observe sur les attaques ransomware massives : 24 jours en moyenne pour reconstruire l’informatique vitale de l’entreprise. Mais c’est une moyenne : certains repartent en un long week-end, en général des entreprises attaquées régulièrement, donc entraînées à gérer la crise. D’autres dépassent largement les 24 jours.

L’année dernière, on a plusieurs exemples marquants. Asahi, le brasseur japonais, a été attaqué en novembre : la production n’a été interrompue que trois ou quatre jours, mais le système logistique était totalement compromis. Ils ont continué à produire pour stocker, incapables de savoir où livrer, jusqu’en février. À l’inverse, Jaguar Land Rover a connu 30 à 35 jours d’interruption de service, et Marks & Spencer 46 jours.

Sur la communication, l’exemple de Jaguar Land Rover est parlant : sept communiqués de presse en trente jours, annonçant chaque fois une reprise « dans trois ou quatre jours » qui n’arrivait pas. Le gouvernement britannique a dû intervenir, tant Jaguar Land Rover est un pilier de l’industrie automobile britannique : de nombreux sous-traitants, y compris des entreprises françaises, n’avaient quasiment qu’eux comme client. Résultat, 1,2 milliard de livres de coût pour l’économie britannique, soit environ 0,15 point de PIB, pour 35 jours d’interruption.

Solutions Numériques & Cybersécurité : Vous distinguiez aussi le disaster recovery du cyber recovery.

Bastien Bobe :

Le disaster recovery, tout le monde connaît : c’est la capacité à repartir après un incendie ou un désastre physique qui touche le data center principal, comme l’incendie du data center d’OVH il y a quelques années. C’est une pratique installée depuis dix à quinze ans, avec un site de secours qui doit être testé au moins une fois par an.

Le cyber recovery, c’est le même principe, mais adapté à un incident cyber. C’est aussi une pratique demandée par NIS2, DORA et CER, avec des tests au moins annuels. La différence, c’est qu’il faut un site de reconstruction distinct du site de disaster recovery classique, parce que quand le site principal est compromis, le site secondaire l’est très souvent aussi lors des attaques importantes. Gartner appelle ça un IRE, isolated recovery environment : un environnement totalement isolé de la production, parfois même un environnement qui n’existe pas encore et qu’on crée dans le cloud pour l’occasion. C’est là qu’on va retester les sauvegardes, revalider les applications avant de les remettre à disposition.

Il y a un point qu’on oublie souvent : dans le cadre d’un cyber recovery, la production peut être scellée par les autorités, par l’ANSSI par exemple. On a eu un client, un conseil départemental, attaqué par un groupe russe non identifié par les autorités : l’ANSSI a scellé l’environnement de production pendant six semaines. Si le plan de reprise prévoit de simplement réinstaller l’environnement de production, il faut un plan B pour ces six semaines-là. Il faut tester en intégrant ce chaos potentiel : si le test se passe bien du premier coup, c’est qu’on n’a rien testé du tout, dans la réalité, ça ne se passe jamais aussi bien.

Solutions Numériques & Cybersécurité : Doit-on payer la rançon ?

Bastien Bobe :

Ça dépend si on a le choix. Les autorités françaises sont claires : une administration française ne paye pas, même si cela veut dire repartir de zéro sans aucune donnée. Dans le privé, l’ANSSI ne peut pas l’interdire, mais demande d’être informée si l’entreprise décide de payer. Ils ne disent pas de ne pas payer, parce que si c’est le seul moyen de repartir et qu’il y a de la trésorerie disponible, mieux vaut parfois payer la rançon que de mettre 100 ou 200 personnes au chômage.

Dans tous les cas, il faut inclure les autorités dès le premier jour de l’incident, l’ANSSI et les autorités locales. Et penser à la reconstruction. Si on n’a pas le choix, il faut payer, mais c’est vraiment le dernier recours.

Question du public : A-t-on une idée du nombre d’entreprises qui ne repartent jamais après une attaque ?

Bastien Bobe :

C’est difficile à mesurer précisément. Il y a eu des dépôts de bilan liés à des cyberattaques, notamment en Angleterre, une entreprise de logistique vieille de 150 ans, totalement détruite, sans aucune donnée ni moyen de livrer. Elle a déposé le bilan, entraînant 130 à 150 emplois perdus. En France, je n’ai pas d’exemple en tête aujourd’hui, et il n’existe pas de statistiques de l’INSEE qui isolent vraiment l’impact des cyberattaques sur les défaillances d’entreprises.

Ce qui est plus net, c’est que les PME sont plus exposées : elles ont beaucoup moins de trésorerie qu’un grand groupe ou une ETI, qui peuvent absorber, difficilement mais sûrement, quelques jours ou semaines d’interruption. Il y a aussi le facteur sectoriel : un hôpital peut continuer à soigner sans informatique, c’est plus lent, mais les médecins savent faire du diagnostic sans dossier patient numérique. À l’inverse, une industrie qui travaille en flux tendu, sans stock, perd son chiffre d’affaires dès la première heure de la crise.

C’est pour ça que la prévention reste essentielle : le but, ce n’est pas de savoir reconstruire son SI toutes les trois semaines, c’est d’abord de bloquer l’attaque. Mais il faut aussi anticiper, avoir des sauvegardes immuables, être certain de pouvoir repartir a minima sur ses données. L’industrie, en particulier les PME industrielles, reste encore trop peu sensibilisée au risque cyber en France, même si la communication des autorités s’est beaucoup améliorée ces cinq dernières années. Au final, c’est toujours un arbitrage budgétaire : combien coûterait une attaque, combien coûtent les 24 jours d’interruption en moyenne, face au coût des solutions de prévention. Souvent, l’attaque coûte plus cher.

Il y a aussi la cyberassurance, qui a un coût mais permet d’indemniser une perte d’activité, sans jamais payer la rançon elle-même. Dans tous les cas, la cyber ne rapporte rien, c’est un coût, pendant que les attaquants, eux, ont bien compris qu’il y avait de l’argent à faire : en termes de revenus générés, la cybercriminalité représenterait la troisième économie mondiale derrière les États-Unis et la Chine. C’est un risque à traiter au même titre que le risque incendie, avec d’autant plus d’attention qu’une cyberattaque est statistiquement plus probable qu’un incendie. Pour un dirigeant de PME, l’enjeu est aussi de trouver le bon intégrateur, quelqu’un en qui on peut avoir confiance, plutôt qu’un simple vendeur de solutions. Le but reste toujours le même : survivre et faire son métier. L’IT, et la cybersécurité en particulier, ne sont que des outils au service de ça.