Les entreprises ont-elles conscience des enjeux de cybersécurité ?
Hugues Foulon. Depuis l’attaque informatique NotPetya de 2017, qui a frappé Saint-Gobain, il y a eu une prise de conscience progressive que la menace est permanente, en progression et concerne tout le monde. Dès lors que la donnée se met à avoir de la valeur, que le numérique est de plus en plus important dans nos vies, les menaces associées sont croissantes. Il y a encore beaucoup de travail à faire pour que cette prise de conscience touche non seulement les grands groupes mais les petites et moyennes entreprises. Il y a de l’évangélisation à faire.
Comment faite-vous pour garantir un niveau de protection suffisant ?
En tant qu’opérateur télécoms avec des réseaux dans une trentaine de pays, opérant des câbles sous-marins partout sur la planète, il faut déjà qu’on se protège nous-mêmes, salariés et clients. On transporte et on stocke des données qui intéressent les attaquants. Cela nous a donné un savoir-faire qui a amené à développer Orange Cyberdefense dès 2014 pour mettre cette activité au service du plus grand nombre. On le fait auprès de grands et moyens clients en France, en Europe mais également un peu en Amérique du Nord et en Asie.
L’attaque dite par déni de service (DDOS) est-elle toujours l’attaque la plus répandue pour faire tomber un site via une surcharge de requêtes ?
Oui, on l’a vu récemment sur les cours du Cned. C’est toujours très présent. Les attaques peuvent venir de divers endroits. Les attaquants vont se coordonner pour infecter plein de machines qui vont elles-mêmes attaquer une machine. C’est coordonné et automatisé, ce qui fait que vous avez des effets de masse qui vont saturer le site attaqué. L’autre sujet, dont l’Anssi considère qu’il a été multiplié par trois ou quatre en 2020, ce sont les rançongiciels utilisés à travers le crytptage ou un chantage pour obtenir une rançon.
C’est le principe du cheval de Troie ?
Oui, les attaquants vont trouver le moyen d’entrer dans la cible, à travers le fishing par exemple. Vous avez des e-mails de plus en plus sophistiqués. Vous pensez qu’il s’agit d’un mail de votre banque ou de quelqu’un de confiance. Il suffit de cliquer sur un lien pour que le logiciel malveillant s’installe dans votre système.
Une entreprise de trois ou quatre salariés peut-elle être victime d’un rançongiciel ?
Bien sûr. Le coût de la rançon est fait pour être inférieur au coût de la remédiation. Si vous avez un cabinet d’architecture qui est attaqué, ce sera calculé pour que cela coûte moins cher que de réparer le problème causé. L’autre dimension est médiatique. En pleine crise Covid, les attaquants se disent par exemple que les hôpitaux seront plus à même de payer rapidement compte tenu de leur criticité.
Orange a-t-il déjà vu ses systèmes pénétrés et a-t-il reçu une demande de rançon ?
Non, nous n’avons pas eu de demande de rançon. Tout le monde est victime d’attaques toutes les minutes. Nous estimons qu’il y a par jour 50 milliards d’événements de ce type, doutes et faux positifs inclus. Compte tenu de l’énormité des données à traiter, l’IA nous aide. L’homme vient sur ce qui le plus sophistiqué ou le plus nouveau car on n’a pas encore automatisé les réponses.
Certains systèmes d’exploitation et messageries sont-ils plus inviolables que d’autres ?
Oui, mais à un instant T. On peut avoir les dernières informations sur les virus les plus dangereux et, quinze jours plus tard, que ces infos soient périmées. D’où l’importance des mises à jour. À Orange, nous sommes très fort sur l’évolution de la menace (« threat intelligence »). On est capable de voir à travers la taille ou le nombre de nos clients, et surtout nos réseaux, quels types de virus ou de malwares circulent. On peut adapter nos systèmes de défense. Nous avions ainsi vu en avance NotPetya sur nos réseaux, donc pu prévenir nos clients et mettre à jour notre protection.
Comment attirer et former les talents en matière de cyberdéfense ?
Il faut un projet, un cadre de travail, une localisation et une gestion du télétravail qui soient les plus favorables pour les attirer et les garder. On a aussi développé des modules de formation pour devenir des spécialistes en cybersécurité. L’essentiel des recrutements sont externes, mais nous avons plus de 60 collaborateurs formés à l’Orange Cyberdefense Academy.
TV5 Monde a vu son antenne affectée en 2015. Quels sont les différents types d’attaques ?
Les attaquants réfléchissent en termes de retour sur investissement : il s’agit de minimiser le temps et la complexité de l’attaque pour optimiser l’impact. Ce peut être un impact d’image comme pour TV5 ou un vol de données pour le revendre à des tiers. Il y a trois types d’attaquants : les hackers, et on est alors dans une logique d’exploit et de reconnaissance (c’est pourquoi nous employons à Orange 150 bons hackers), les entreprises malveillantes ou criminelles qui s’apparentent à des mafias ; et enfin les États et les entités paraétatiques qui peuvent avoir des objectifs de déstabilisation ou de prises de pouvoir. Sans tomber dans la paranoïa, on a coutume de dire dans le monde de la cyber qu’on n’a pas d’alliés. Tout le monde peut écouter tout le monde.
Peut-on faire confiance à un acteur américain comme Microsoft pour conserver nos données en Europe ?
Ce type d’acteurs proposent des solutions extrêmement performantes, fluides et très utiles pour les entreprises avec par exemple Teams ou Office 365. Mais il ne faut pas être naïf sur ce qu’ils font de la data. Dès lors qu’il y a, avec le cloud act, la notion d’extraterritorialité pour les entreprises américaines, vous savez ce que vous faites. Les données déposées sur ces systèmes sont alors évidemment lues par la NSA. Vous le faites en conscience.é
Mais Microsoft dit qu’il respectera les directives européennes et qu’il ne transférera pas outre-Atlantique les données des clients européens de leur cloud.
C’est en effet possible. Pour l’instant, ça n’existe pas encore, mais c’est possible… Ils y travaillent et peut-être avec des partenaires… On a besoin de trouver une solution qui soit fonctionnelle, ergonomique et respecte les notions de souveraineté européenne. Pour l’instant, il n’y en a pas. Le problème n’est pas l’infrastructure – on a bien OVH ou Dassault Systèmes – mais les couches qu’il faut mettre au-dessus pour avoir les moteurs et les services qui permettent de développer les solutions pour Office 365 par exemple. Sinon, vos données sont sur les serveurs américains. C’est un enjeu extrêmement important où l’Europe doit trouver une solution.
Que faut-il faire pour créer un grand bouclier européen ?
C’est notre projet. Orange Cyberdefense croît de 10 à 15 % par an, avec 2 300 salariés dans 160 pays et 768 millions d’euros de CA en 2020 (+9 %). On cherche à croître vite de façon organique mais également à faire des acquisitions ou à passer des partenariats pour créer le leader européen de la cybersécurité. On a triplé de taille en trois ans. On souhaite faire pareil dans les trois années à venir.
Orange Cyberdefense accompagne plus de 3 700 entreprises dans la sécurisation de leurs activités et de leurs données. Son patron, Hugues Foulon, directeur exécutif de la stratégie et des activités de cybersécurité d’Orange, explique comment il appréhende les menaces d’aujourd’hui.