Payer ou ne pas payer, telle est la question à laquelle je répondais il y a quelques mois dans ces colonnes, mais qui nécessite une petite révision dans notre monde qui accélère toujours plus vers le numérique, ses joies, ses solutions, mais aussi ses risques.

Par Mathieu Flecher, DSI d’une entreprise industrielle française

Bon nombre d’entreprises se sont retrouvées ces derniers mois devant l’écran fatal d’un ransomware et le choix cornélien de savoir s’il fallait ou non payer cette rançon demandée. La maladresse d’un salarié ayant cliqué sur un lien apparemment anodin peut alors se révéler très coûteuse pour l’entreprise. De la simple gêne occasionnelle (eh oui, cela peut se reproduire…) à la fermeture de la boutique, le panel est large mais réaliste.

Si l’on reprend l’historique du « comment en est-on arrivé là ? », notons que la sécurité informatique des entreprises n’existe et ne se développe que par la présence et les actions des hackers, amateurs à leurs débuts (revoir le film Wargames sorti en 1983…), et de moins en moins amateurs depuis quelques années. Cette sécurité a tout d’abord été vendue comme indéfectible, sûre, certaine, fiable à 100 %, avant de finalement révéler son vrai visage : plus on se protège, plus cela encourage les hackers à développer de nouveaux talents ou de nouvelles méthodes qui viendront contrecarrer les meilleures sécurités du monde.

Seules les institutions les « plus fiables » du monde telles que le FBI, la CIA, la NSA ‒ quoique… et si nous regardions cette fois le film Snowden sorti en 2016 ? ‒ peuvent se targuer d’être « suffisamment » protégées. Mais, pour quel budget ?

Nous, dans nos entreprises, ne sommes pas à la NASA ! Et quand bien même notre budget sécurité atteindrait 2 % du budget IT, qui lui-même représente peut-être 2 % du CA de l’entreprise, on se dit que nous sommes très très loin d’être protégés… C’est une histoire de moyens. D’un autre côté, les hackers sont bien plus attirés par l’idée de pirater 20 entreprises du midmarket, capables de payer quelques millions chacune pour être « dé-cryptolockées », plutôt que de s’attaquer au FBI juste pour la beauté du geste. Cette période est révolue. Le hacking c’est un business ! Les hackers vont là où est l’argent.

Alors, payer ou pas, il faut s’y préparer, c’est une philosophie de vie. Qu’il s’agisse de provisionner le risque ou d’alternatives de tous poils, la discussion s’impose au sein du Comex.
Là, c’est un message clair que vous, DSI, devez livrer, pour que, comme dans le cas d’une gestion de crise, vous soyez en capacité d’être lucide le jour où cela arrive. 1 M€, 5 M€, 10 M€ ? Jusqu’où êtes-vous prêt à aller ? Vous avez pensé à une assurance contre la cyber-criminalité ?

On voit dans ces réflexions que la sécurité n’est pas qu’une affaire technique, pour le coup, mais bien un enjeu majeur d’entreprise, tout comme pourrait l’être la sécurité industrielle sur un site classé Seveso. On a vu dans le passé avec AZF, et plus récemment à Beyrouth, ce que des négligences sur la sécurité industrielle peuvent provoquer. Désolé, mais la sécurité informatique c’est un peu pareil. On ne doit pas faire n’importe quoi, et si jamais « la faute à pas de chance » se manifeste, il faut avoir prévu le pire, anticipé et, surtout, avoir un plan concret d’action face à une attaque. On peut aussi faire le parallèle avec la prise d’otage, la rançon et la négligence ou l’absence de lucidité de se rendre dans des zones propices aux enlèvements d’Occidentaux…

MA PHILOSOPHIE, ET CELA RESTE UN BEAU DISCOURS, EST ÉVIDEMMENT DE NE PAS PAYER

J’ai lu dans la presse, désolé pour l’absence de références plus précises, que la France était sujette à plus d’attaques que les autres pays, car plus encline à payer en cas de demande de rançon d’un cryptolocker. Soit. Ma philosophie, disais-je, est de ne pas payer, car je pense qu’il est possible de se rendre compte rapidement d’un cryptolockage sur les structures de notre système informatique, à moins d’une bombe à retardement qui se déclenche sur tous les PC au même moment.

Évidemment, en cas d’incident de sécurité majeur, il est important de TOUT COUPER et de TOUT ISOLER ! Les sites, les bâtiments, les étages, les zones… Votre réseau doit être capable de détecter ce genre de chose, ou bien votre remontée d’alertes à travers les tickets ouverts par les utilisateurs. Un Security Operation Center (SOC) est également plus que vital.

Donc, isoler est la règle première, et évidemment ne pas hésiter, si le mal est fait, à littéralement jeter à la poubelle vos PC ou une partie de votre patrimoine informationnel. Soit vous vous coupez un doigt, soit plus tard vous devrez vous couper la main, ou le bras…
Autre solution, vous pouvez payer et, au pire, vous n’aurez qu’à vous couper un ongle. Mais vous aurez dépensé des millions à côté de cela.

J’invite donc chacun de mes homologues à procéder avec froid, méthode et discernement : mettez-vous dans les conditions comme si vous y étiez, et levez avec vos dirigeants tous les points dont vous aurez à parler le jour où cela se produira. Car évidemment, cela arrivera un jour ou l’autre, de la petite PME au grand groupe. Payer ou ne pas payer, là sera la question.


(*) Mathieu Flecher est le pseudonyme d’un DSI bien réel…