Rencontre avec Benjamin Serre, directeur régional d'Orange Cyberdefense
«Une entreprise a plus de chance d'être victime d'une cyberattaque que d'un incendie»
Face à l'explosion des cyberattaques depuis 2020, tous les moyens sont déployés dans les entreprises pour se protéger. Si les grandes entreprises sont globalement bien préparées à d'éventuelles attaques, les TPE-PME, ETI et collectivités elles, ne font pas de la cybersécurité leur priorité. Et pourtant... La cybercriminalité ne cesse de prendre de l'ampleur. Créée en 2016 à Lesquin, Orange Cyberdefense (OCD) accompagne les entreprises pour les aider à mieux se protéger. Rencontre avec Benjamin Serre, directeur régional de l'OCD.
La Gazette : Comment est né
Orange Cyberdefense (OCD) ?
Benjamin Serre : Orange
Cyberdefense a été créée en 2016. Avant cela, la sécurité était
un sujet traité par des experts répartis un peu partout dans les
entités d'Orange en France. Mais nous avons fait le choix de
rassembler toutes ces structures au sein d'une seule et même filiale
autonome – faisant partie à 100% du groupe Orange –, avec comme
raison d'être la cybersécurité. Le site OCD de Lesquin est
précurseur sur les offres à destination des PME-ETI qu’on
développe depuis maintenant plus de trois ans pour toute la France. Au
départ, le site de Lesquin comptait 30 collaborateurs, aujourd'hui
nous sommes 80 et en forte croissance.
Quelles sont les compétences d'OCD, désormais présent dans toutes les grandes métropoles françaises ?
Nous avons commencé par
l'activité de conseil et protection, l'activité d'audit et le pentest, qui
consiste à tester avec la méthode des attaquants s'il est possible
de rentrer facilement dans une organisation ou non, et des solutions pour renforcer la sécurité (installation de pare-feu, d'anti-virus, de systèmes de filtrage...). Nous avons aujourd'hui développé de multiples compétences comme l'activité de veille, de surveillance et de gestion de crise. Aujourd'hui, nos activités de surveillance
sont celles qui se développent le plus pour les petites structures et ça
cartonne. On développe des dispositifs adaptés car on ne surveille
pas les petites structures comme on surveille les grandes entreprises, qui font l'objet de menaces plus ciblées.
La cybercriminalité ne cesse de
prendre de l'ampleur. La crise a t-elle accéléré les
cyberattaques ?
Les attaques ont été
multipliées par cinq ; 2020 a été une année extrêmement compliquée avec deux attaques de type ransomware par semaine contre deux par
trimestre en temps normal. Il existe bel et bien un lien avec le Covid. Il y a eu énormément de phishing pendant le Covid lié à
une forte actualité. Les gens ont eu davantage tendance à cliquer
sur des liens en étant moins vigilants. On a constaté également de nombreux noms de domaines malveillants se créer pendant la crise
sanitaire. Puis les salariés se sont retrouvés dans des situations
de télétravail du jour au lendemain. Les ordinateurs n'étaient pas
du tout prêts à être installés à domicile et toutes les
protections d'un point de vue sécurité n'ont pas été prises, la priorité était la continuité d'activité pour s'adapter à un confinement imprévu. Les
systèmes qui permettent de se connecter à distance étaient déjà très vulnérables, et les attaques ont explosé. Depuis le Covid, les
attaques n'ont pas diminué.
Quelles sont les différentes
attaques auxquelles sont confrontées les entreprises ?
L'attaque la plus violente est le ransomware1 qui met en péril toute une organisation. Ces attaques ont démarré fin 2019. Avant cela, elles s'exécutaient sur les postes de travail, aujourd'hui elles s'exécutent sur les serveurs, sur le cœur du système d'information. Il y a eu une explosion de ce type d'attaques avec la crise sanitaire et cela ne freine pas. C'est lié à une cybercriminalité qui s'est adaptée et qui prend de plus en plus conscience qu'il est facile d'accéder à des serveurs. De grands réseaux cybercriminels se sont développés.
La deuxième grande attaque concerne la compromission des comptes notamment sur les environnements de messagerie2. Celle-ci est moins violente, moins médiatisée, car plus furtive, mais bien plus fréquente. La compromission de boîtes aux lettres consiste à prendre le contrôle de plusieurs boîtes jusqu'à parvenir à effectuer des virements frauduleux. L'absence de double facteur d'authentification et de surveillance facilite ce type d'attaques. La plupart des organisations de taille intermédiaires publiques ou privées n'en ont pas et facilitent ainsi la vie des attaquants.
Enfin, il y a eu énormément
d'entreprises qui ont fait le choix d'utiliser Microsoft Office 365
car c'est pratique en télétravail et c'est sécurisé. Mais étant
donné que c'est en cloud, l'attaquant peut y accéder facilement depuis partout dans le monde sans avoir à entrer dans le système d'information et ça, ça
monte en flèche. Les hackers sont partout dans le monde, la
cybercriminalité n'a pas de frontières.
Combien d'entreprises sont
accompagnées ?
A l'échelle nationale annuellement, OCD accompagne plus de 1 000 ETI, PME, TPE et collectivités en France, ce qui représente pas loin d’un million de machines sous surveillance quotidienne 24 heures sur 24. Nous accompagnons également plus de 100 entreprises et collectivités victimes de ransonware en France sur des activités de réponse à incident (gestion de crise, investigation numérique, surveillance de circonstance).
Plus de 5 000 professionnels (auto-entrepreneurs, artisans, etc.)
sont également suivis dans le cadre d'une offre de surveillance spécifiquement
dédiée aux pros et lancée en février 2022. OCD est aujourd'hui déployée dans toutes les
grandes métropoles françaises, mais aussi à l'international dans plus de 15 pays (Angleterre, Allemagne, Benelux, Canada, Chine, Maroc, Afrique du
Sud).
Comment réagit OCD en cas
d'attaque chez une entreprise victime ?
L'entreprise, cliente ou pas, contacte OCD : nous essayons d'assurer un premier rendez-vous téléphonique dans l'heure même pour les organisations non-clientes. Un premier niveau de qualification est réalisé avec le gestionnaire de crise afin de savoir à quoi on a affaire, à quelle typologie d'attaque et ce qu'on va devoir déployer en termes de dispositif pour accompagner notre client. Dans le pire des cas, lorsqu'il s'agit d'une ransomware, nous engageons différentes équipes avec un gestionnaire de crise qui va piloter ces équipes.
Nous collectons les traces de l'attaque – sur les machines encore vivantes – pour essayer d'identifier par où l'attaquant est arrivé dans l'organisation. L'enquête peut durer quelques jours, voire quelques semaines. On déploie en parallèle de la surveillance sur toutes les machines qu'on va redémarrer post-incident. L'enjeu est de redémarrer le plus vite possible et de façon sécurisée des activités stratégiques tout en continuant à surveiller car nous ne sommes pas à l'abri que cela revienne.
Enfin, nous aidons le client à
faire les modifications nécessaires pour se reconstruire. En 2020,
il y avait peu d'entreprises qui ne se relevaient pas car les
attaquants n'étaient pas assez compétents sur les systèmes de
sauvegarde et ne se préoccupaient pas de les détruire mais actuellement c'est plus le cas, les attaquants sont de plus en plus efficaces dans la destruction des systèmes de sauvegarde qui sont souvent très vulnérables : c'est comme si un pyromane détruisait les extincteurs avant de démarrer le feu.
Y a-t-il eu une vraie prise de
conscience des entreprises sur l'importance d'être protégé ?
Pour les grands groupes, la cybersécurité est en effet un sujet stratégique et celles-ci se préparent aux attaques. La cybersécurité a intégré le débat politique : il est question de la création de dispositifs de gendarmerie adapté, de centres de réponses à incident, de la création de campus cyber, etc., ce qui contribue à une prise de conscience globale. Mais du côté des TPE-PME-ETI et des collectivités, même si on constate une prise de conscience, c'est très minoritaire et tout reste à faire.
Beaucoup d'entreprises, privées comme publiques, pensent encore que
parce qu'elles ne sont pas très connues, elles n'attirent pas les
cybercriminels. Et pourtant aujourd'hui, absolument toutes les
entreprises issues de tous les secteurs d'activité sont concernées,
pas uniquement la santé même si la donnée santé a plus de valeur
qu'une autre donnée. Actuellement, il est indispensable d'être protégé et surveillé.
Il faut prendre conscience que le contexte dans lequel l'entreprise
évolue a changé. Aujourd'hui, il y a plus de chance d'être victime
d'une cyberattaque que d'un incendie.
1. +95% de hausse pour le ransonware en 2021.
2. +139% de piratage de comptes de messageries en 2021.
Chiffres clés OCD
- Plus de 2500 collaborateurs OCD dans le monde
- 838 millions d'euros de CA
- Plus de 1 000 PME/ETI/collectivités en France accompagnées
- Pas loin de 1 million de machines sous surveillance quotidienne 24 heures sur 24
- Plus de 5 000 pros (artisans, auto-entrepreneurs, etc.) accompagnés.