Quelles sont les actions récentes mises en place par Minalogic pour sensibiliser les entreprises à la cybersécurité ?
Nous avons entamé un grand nombre d’actions auprès des entreprises, notamment à travers de webinaires sur des thématiques et des secteurs d’activité verticaux pour que les entreprises réalisent comment la cybersécurité peut être adaptée à leur métier. En outre depuis juillet, Minalogic pilote le projet européen MinaSmart fédérant 13 partenaires (pôles, clusters et organismes de recherche) de la région pour un ensemble de 3000 adhérents. L’ambition de MinaSmart est d’accompagner les petites et moyennes entreprises traditionnelles de la région dans leur démarche de transformation numérique et leur faciliter l’accès aux solutions d’intelligence artificielle et de cybersécurité. Les entreprises pourront ainsi plus facilement sécuriser leurs systèmes d’information contre les risques d’attaques malveillantes qu’elles encourent, et de les accompagner pour trouver identifier des solutions simples, utiles et adaptées sur le marché. Notre principal travail, dans le cadre de ce projet, consiste à présenter les risques encourus par les entreprises et à les mettre en mouvement afin qu’elles adoptent une posture de cybersécurité dans le cadre d’une dynamique durable et pragmatique adaptée aux PME. Ce projet, baptisé MinaSmart financé à 50% par la Commission européenne, bénéficie d’un budget de 3,6 M€ sur une période de 3 ans. Il concerne toutes les entreprises de toutes tailles, tous les secteurs et toutes les filières métiers.
En quoi le projet européen MinaSmart est-il novateur ?
Ce projet européen entre dans le cadre de la stratégie digitale mise en place par la Commission européenne à travers les pôles européens d’innovation numérique (EDIH, « European Digital Innovation Hubs »). Ce sont des guichets qui aident les entreprises et les organisations du secteur public à relever les défis numériques et à devenir plus compétitives. Des EDIH ont été établis dans chacune des régions. Avec ce projet notre ambition est aussi de nouer des liens avec plusieurs structures en France spécialisées dans la cybersécurité. Nous avons déjà développé des collaborations étroites avec le pôle d’excellence cybersécurité de Bretagne afin de mettre en avant les compétences de nos PME régionales
Par quelles démarches les entreprises doivent-elles commencer pour assurer la cybersécurité de leur système d’information ?
Nous proposons tout un parcours de sensibilisation et de résilience aux risques liés à la cybersécurité. Les entreprises doivent commencer par comprendre leur niveau de maturité initial au travers d’un premier diagnostic. Fortes de cette analyse, l’enjeu sera de constituer une feuille de route adaptée afin d’assurer durablement la sécurité économique de leurs actifs stratégiques. Le dirigeant joue un rôle clé lors de cette première l’étape car il doit être sponsor de ce projet d’entreprise et impliquer chaque collaborateur. Nous procédons en complément à des tests de pénétration pour évaluer la capacité d’entrer dans l’entreprise et nous proposons un plan de remédiation phasé avec un responsable de sécurité du système d’information externalisé. Certaines entreprises font parfois des audits, mais la grande majorité d’entre elles s’arrêtent là. Nous insistons sur la nécessité de réaliser une action continue, pragmatique et adaptée aux PME.
Est-ce que nous assistons néanmoins à une prise de conscience de l’importance de la cybersécurité par les entreprises ?
Les entreprises sont de plus en plus conscientes des risques encourus à travers des témoignages de certaines d’entre elles qui ont subi des attaques. Elles ont conscience que les attaques sont massives, visant chaque entreprise sans distinction, les exposant toutes à devenir des victimes potentielles. La bonne nouvelle c’est qu’il y a des programmes adaptés pour chacun d’eux, et qu’il existe des aides. Cependant, cela ne bouge pas encore assez vite. Le regard porté sur la cybersécurité doit encore évoluer. Au-delà de la nécessaire protection, la sécurité économique aide les entreprises à se structurer, se différencier de la concurrence et conquérir de nouveaux marchés. Seules les entreprises impliquées dans cette démarche pourront postuler aux consultations et remporter des contrats. Deux réglementations européennes, la NIS 2 (Network and Information Systems Directive) et Dora (Digital Operational Resilience Act) imposeront de nouvelles exigences en matière de cybersécurité aux donneurs d’ordre, et par ricochet, à leurs sous-traitants, et si les PME sous-traitantes ne sont pas entrées dans cette démarche de cybersécurité, elles ne pourront plus répondre aux appels à projets. L’effort à fournir sera alors d’autant plus important qu’il n’aura pas été anticipé en amont.
Quel est le coût d’une démarche de cybersécurité et comment le diagnostic se déroule-t-il ?
Le coût dépend de l’état actuel dans lequel se trouve l’entreprise, de sa taille, des exigences de son secteur d’activité et de ses clients. Le diagnostic initial, à savoir l’établissement de la cartographie des risques, n’est pas très onéreux au regard des enjeux. Il revient entre 3000 et 5000 € et consiste en une analyse complète des procédures internes et externes ainsi qu’un examen des possibilités de pénétration. Toute PME qui a conscience du danger doit pouvoir se l’offrir. Il s’agit par exemple d’analyser l’organisation de l’entreprise concernant la gestion des données sur la base du référentiel ISO 27001, les systèmes de protection mises en place, les autorisations délivrées aux collaborateurs, les procédures de stockage des données, la facilité avec laquelle il est possible d’entrer dans l’entreprise… Les tests de pénétration utilisent les mêmes techniques que celles qui sont utilisées par les personnes malveillantes. Au total, plus de 130 points de contrôles sont vérifiés. Tous les détails de ce dispositif sont à retrouver sur le site de Minalogic(*).
Quelles sont les principaux types d’attaques ?
Les possibilités d’attaques sont nombreuses et peuvent par exemple passer aussi bien par la messagerie, les objets connectés, le site internet... En revanche 80% des attaques sont effectuées via du phishing, d’où la nécessité de sensibiliser et former le personnel. Des attaques massives se produisent également sur les sites Internet les plus vulnérables, c’est-à-dire ceux qui ont été identifiés comme étant les plus vulnérables. Avec l’essor de l’IoT et des capteurs connectés, l’entreprise industrielle multiplie les points d’entrée qui sont autant de possibilités d’attaques. La technique la plus simple pour un hacker consiste à scanner toutes « les portes d’entrée » et de s’engouffrer dans l’entreprise via l’une d’elles. Enfin, les ransomwares se développent, avec des rançons adaptées à la surface financière de l’entreprise visée. Le seul moyen de s’en sortir est alors d’utiliser les sauvegardes et de tout réinstaller afin de restaurer le système d’information et de remettre en route la chaîne de production.
L’essor de l’intelligence artificielle accroît-il les menaces ?
Un outil tel que ChatGPT peut apprendre à une personne malveillante comment rédiger un mail d’attaque. Mais il peut aussi apprendre à un dirigeant comment se protéger.
Quelles sont les bases d’une protection contre les attaques ?
Avant tout du bon sens. Il est tout essentiel de ne pas télécharger de logiciels pirates, de faire en sorte que les logiciels utilisés soient à jour, de s’équiper de logiciels antivirus et antispam et de disposer d’un gestionnaire de mots de passe. Il faut enfin ne pas rester seul face à cette complexité grandissante. Les prestataires informatiques sont des alliés au quotidien et faire appel à un tiers de confiance pour établir un diagnostic permet d’établir un état des lieux fiable et objectif.
