« Que les yeux pour pleurer… » Les entreprises souvent démunies face aux cyberattaques

TEMOIGNAGES Phishing, faux virement… Une entreprise sur deux aurait déjà été la cible d’une arnaque en ligne

Julie Urbach
Illustration cyberattaque
Illustration cyberattaque — Fred Tanneau
  • La cybermalveillance peut toucher toutes les entreprises, de la grosse structure à la petite PME, alerte la gendarmerie qui organisait une table-ronde à Nantes.
  • Faux virement, données dérobées… Difficile pour les professionnels de les anticiper, à moins d’améliorer sa sécurité informatique et surtout la vigilance autour de ce phénomène.

Hôpital de Corbeil-Essonnes, institut national polytechnique de Toulouse, ou même le géant Uber. Pas une semaine ne se passe sans que plusieurs affaires de cyberattaques de grande ampleur ne fassent la une de l’actualité. Mais ce phénomène serait en fait encore plus répandu qu’on ne l’imagine. « Une entreprise sur deux a été la cible d’une attaque en 2020, indique la gendarmerie, qui organisait mercredi à Nantes une table ronde à destination du monde économique. Cela peut toucher tout le monde, de la grosse structure à la petite PME. Il faut libérer la parole, ne pas laisser cette question comme un tabou. »

A la tête de la petite entreprise Plasti pêche, Marie-Agnès Mandin raconte « la honte » que peuvent ressentir certains chefs d’entreprise qui n’ont pourtant « pas une seconde flairé l’arnaque ». Il faut dire que la facture reçue en début d’année par cette dirigeante vendéenne, qui pensait acheter un conteneur d’occasion, semblait parfaitement authentique ! « Après avoir repéré l’annonce sur Le Bon coin, nous avons eu des échanges de mails avec cette entreprise, qui nous a demandé de payer en avance, une pratique classique, raconte-t-elle. Après avoir fait le virement de 1.700 euros sur le RIB fourni, nous n’avons plus eu de nouvelles. Nous n’avions plus que les yeux pour pleurer ! » En appelant le siège de la société, Marie-Agnès Mandin comprend que les pirates avaient en fait usurpé l’identité de l’entreprise… qui ne vend par ailleurs que du matériel neuf. Vexée de s’être fait avoir mais aujourd’hui « beaucoup plus vigilante », la dirigeante confie ne pas avoir porté plainte, « ne pouvant s’en prendre qu’à elle-même ».

Faux virement, fraude au président…

Le faux virement, voilà pourtant le deuxième type d’arnaque le plus répandu. « Cela peut être une facture pipeau qui se fond dans le flux, ou bien une facture détournée, c’est-à-dire un vrai paiement mais versé à une mauvaise personne, qui a réussi à modifier l’IBAN, détaille le capitaine Dominique Bogé, chef du département prévention et protection du commandement de la gendarmerie dans le cyberespace. On a aussi la fraude au président : le pirate se renseigne sur l’entreprise, ses salariés, et s’attaque au maillon faible, comme une secrétaire ou un comptable, en se faisant passer pour le président qui demande un virement. C’est une technique très élaborée. »

Arnaque numéro un auprès des particuliers, le phishing peut lui aussi faire des ravages puisqu’il permet parfois aux escrocs d’introduire un logiciel malveillant (ou ransomware) dans le système d’information d’une société et récupérer des données, parfois sensibles. C’est d’ailleurs peut-être comme ceci, le clic d’un salarié sur un simple lien, que le groupe vendéen Atlantic a connu une importante cyberattaque en 2020. « En quelques heures, c’était fait. Le groupe d’attaquants a réussi à chiffrer l’ensemble de notre réseau, se rappelle Lucie Poiraud, responsable de la sécurité des systèmes d’information de l’entreprise de 12.000 salariés. On a reçu un message avec un compte à rebours avant lequel nous devions nous signaler pour connaître le montant de la rançon. »



Reconstruire et sensibiliser

Comme recommandé par la gendarmerie, l’entreprise, qui fabrique des produits de confort thermique, a décliné la négociation, préférant « une stratégie de reconstruction ». Avec comme prix à payer celui d’un arrêt partiel de la production pendant plusieurs mois. « Nous n’étions pas bien préparés donc ce fut un travail très long et compliqué, rapporte Lucie Poiraud. Il a fallu réinstaller 5.000 PC, mais aussi améliorer la sécurisation. Depuis je sensibilise régulièrement : mettre un filtre sur son ordinateur quand on prend le train, faire attention aux clés USB, tester les collaborateurs avec du phishing organisé… »

Une prise de conscience indispensable, selon les forces de l’ordre, qui s’attendent encore à une montée en puissance du phénomène. « En matière de délinquance, c’est un moyen moins risqué de se faire de l’argent qu’avec un braquage, observe Laurent Verdier, officier de police et expert en cybercriminalité. On a plus de chance de rester anonyme, sans le danger de blesser ou de tuer quelqu’un. »