Ce que les récentes failles informatiques françaises nous apprennent sur la sécurité des données en entreprise en France

La sécurité des données en entreprise est un sujet délicat et largement sous-estimé en France – l’un des pays au monde les plus touchés par les pirates informatiques. Pourtant, il s’agit bien d’un sujet d’actualité alors que les gendarmes français du Centre de lutte contre les criminalités numériques (C3N) viennent de démanteler un énorme réseau mondial et de désinfecter à distance 850.000 postes informatiques d’un virus. Les études sur le sujet sont légion et sont toutes plus alarmantes les unes que les autres. Ainsi 67 % des entreprises en France ont été victimes de cyber-attaques en 2019. Les exemples concrets de ces attaques informatiques se multiplient dans les pages des journaux. Les sociétés doivent chercher à agir pour mieux protéger leurs données des cyber-criminels.

Cas pratiques : Quels sont les impacts des crises informatiques ?

Pour illustrer cette problématique complexe de la sécurité des données en entreprise, il est intéressant de zoomer sur quelques cas concrets.

1/ Eurofins : Baisse du bénéfice net au premier semestre 2019 de 35 % suite à l’attaque d’un logiciel « ransomware » en juin 2019

Spécialisé dans les services d’analyses en pharmacie, agroalimentaire et environnement, le groupe français Eurofins a subi une attaque cyber en juin 2019 qui a largement amputé les résultats financiers de la société. Dans un communiqué de presse, le PDG de l’entreprise, Gilles Martin, a annoncé que le bénéfice net au premier semestre de l’année a diminué de 35 % pour atteindre 58,9 millions d’euros. Les perturbations et les frais occasionnés par la cyber-attaque en sont les raisons évoquées.

Les 1^er et 2 juin 2019, la sécurité des données en entreprise d’Eurofins a été touchée par un rançongiciel (ou ransomware). Plusieurs laboratoires implantés dans différents pays ont été impactés dérangeant significativement leurs activités jusqu’aux environs du 17 juin. C’est ainsi que leurs rentabilités financières a été amoindries, impactant l’ensemble de la société.

Le groupe français a sollicité des compensations financières auprès de ses assureurs. En matière de chiffre d’affaires, il a calculé sa perte à hauteur de 62 millions d’euros. Il a déclaré penser recevoir des premiers acomptes avant la fin de l’année limitant de ce fait l’impact financier de cette cyber-attaque.

Eurofins a précisé dans son communiqué de presse que l’attaque utilisait un ransomware, c’est-à-dire un logiciel d’extorsion de fonds. Les hackers bloquent l’activité de la société ou la ralentisse, ou bien vollent des données afin d’exiger une rançon. Néanmoins, il n’a pas spécifié s’il avait payé ou non les sommes demandées puisqu’une enquête judiciaire est en cours.

Les attaques par rançongiciel sont de plus en plus fréquentes et ciblent de plus en plus des sociétés d’importance ayant des moyens financiers conséquents. En 2017, plusieurs grandes organisations (Renault, Saint-Gobain, …) ont subi des chutes financières à cause des virus NotPetya et WannaCry.

2/ Fleury Michon : Arrêt de la production pendant 5 jours après qu’un virus ait perturbé la sécurité des données en entreprise

Le groupe agroalimentaire Fleury Michon a vécu une attaque cyber en avril 2019 dans ses usines et son espace de logistique en Vendée. L’impact a été tel que la production a été arrêtée pendant 5 jours. C’est un virus informatique qui a touché la sécurité des données en entreprise.

Dans un communiqué de presse, la société française a annoncé que les coûts afférents (en cours de chiffrage) à cette cyber-attaque seront compensés par son assurance souscrite spécifiquement à cet effet.

L’attaque informatique s’est produite dans la nuit du 10 au 11 avril 2019. Pour éviter toute propagation du virus, le groupe charcutier-traiteur a rapidement déconnecté l’ensemble des systèmes. Les activités des usines vendéennes et de la zone logistique ont été stoppées dès le jeudi 11 avril après-midi.

Le cyber-accident a ensuite était traité par les services informatiques du groupe. Après la mise en place d’actions de sécurisation, la production a redémarré progressivement sur les différents sites impactés à partir du lundi 15 suivant.

3/ Sephora : Vol de données clients et revente sur le Dark Web touchant 3,7millions de clients depuis le début 2019

La sécurité des données en entreprise du groupe Sephora a été mise à mal puisque les informations de 3,7 millions de clients se sont retrouvées en vente sur le Dark Web. Deux fichiers de données volés à la société de parfumeries ont été découverts en juillet 2019 par la compagnie de cybersécurité Group-IB.

Les bases en vente intègrent des informations personnelles de clients de l’enseigne qui auraient été dérobées en février et mars 2019. Elles sont en vente à seulement 1.900 dollars (1.700 euros). Elles mentionneraient les noms d’utilisateurs et les mots de passe concernant les sites web de Sephora en Thaïlande et en Indonésie.

Les informations contenues dans ces data-bases concerneraient aussi les activités et connexions effectuées par le client sur le site web de l’enseigne. Enfin, elles pourraient contenir des informations sur les clients eux-mêmes, telles que leur nom, leur ethnie, leur couleur des yeux, de la peau, des cheveux, leurs habitudes en matière de maquillage et de soins de la peau…

Ce cyber-accident découvert par Group-IB a contraint le groupe Sephora à communiquer. Il a annoncé que les informations personnelles des clients web de ses branches en Asie et en Océanie ont subi une fuite de données, tout en précisant que la fuite ne concerne pas les données de paiement liées aux cartes bancaires. Il a également ajouté avoir mandaté des experts informatiques externes qui n’ont constaté aucune faille de sécurité majeure au niveau des sites internet asiatiques de l’entreprise.

Les premières constatations concernant cet accident de sécurité des données en entreprise dans l’enseigne Sephora ne font pas état d’une cyberattaque. Le vol de ces informations pourrait être le fait d’un salarié de la société. Une enquête de la Personal Data Protection Commission of Singapore (PDPC) doit le déterminer.

Comment renforcer la sécurité des données en entreprise ?

Pour limiter les risques et les dégâts au sein des entreprises, celles-ci doivent développer des pratiques et des connaissances spécifiques à la sécurité des données en entreprise. Les cyber-risques sont catalysés par les comportements à risque des individus qui ne sont pas nécessairement volontaires : utilisation d’emails personnels, emploi de clés USB, travail sur ordinateur personnel…

Pour se prémunir au mieux de tous les risques cyber, chaque entreprise doit œuvrer dans deux directions principales :

1/ Assurer la formation du personnel : Souvent par méconnaissance ou par mégarde, les salariés (comme les administrateurs ou dirigeants de société) mettent en danger la cybersécurité de leur entreprise. Il importe que le responsable de la sécurité informatique initie des formations à ce domaine très spécifique afin de renforcer les bonnes pratiques.

2/ Mettre en place les outils sécurisés comme le Governance Cloud de Diligent : Pour une utilisation professionnelle, il est important d’offrir à tous les collaborateurs d’une société les outils digitaux hautement sécurisés qui leur sont nécessaires. Il faut éviter qu’ils ne se replient sur des solutions faiblement sécurisées, telles que les messageries instantanées, les clouds publiques ou génériques…

Alors que les sociétés tentent depuis peu de s’organiser pour garantir la sécurité des données en entreprise, les hackers développent toujours leurs techniques. S’adapter à ce bouleversement dans les pratiques professionnelles devient extrêmement urgent tant les exemples de cybermenaces se répandent, les pirates informatiques prolifèrent et les outils logiciels malveillants se perfectionnent.