Cybersécurité : comment protéger son entreprise ?

Intrusion dans les systèmes d’information, piratage de comptes, usurpation d’identité, rançongiciel… la cyberdélinquance prend des formes très variées et se développe à grande vitesse. Contrairement aux idées reçues, toutes les entreprises du bâtiment, quelle que soit leur taille, sont exposées, comme le montrent les témoignages de ce dossier. La mise en œuvre de bonnes pratiques, peu coûteuses, est un bon début pour se protéger d’une grande partie de ces nouveaux risques qui peuvent mettre à mal l’activité – voire menacer la pérennité – de l’entreprise.
8:2323/06/2022
Rédigé par FFB Nationale

Le contenu est réservé à nos adhérents. Pour le consulter

se connecter
revue
Retrouvez ce dossier dans notre revue Bâtimétiers
Bâtimétiers Numéro 67 | Juin 2022
Voir ce numéro >

Pour les entreprises du bâtiment, la dématérialisation des échanges et la digitalisation des processus sont un indéniable progrès qui permet des gains de temps et d’efficacité en termes de gestion et contribue à l’amélioration de la qualité des ouvrages. Mais, pour paraphraser un célèbre adage, « il n’y a pas de changement sans risque ». C’est ainsi que la numérisation a donné naissance à un nouveau risque : la cybermalveillance, qui regroupe tous les types d’attaques informatiques – les « cyberattaques » – dont les entreprises sont aujourd’hui la cible. Ce phénomène est en forte augmentation, au point qu’il ne faut plus se demander si on sera victime d’une cyberattaque, mais quand ! Selon une étude de l’assureur spécialisé Hiscox, la proportion des entreprises françaises ciblées par une cyber­attaque est passée, durant l’année écoulée, de 34 à 49 %. Parmi celles-ci, les TPE et PME constituent des cibles particulièrement exposées, puisque l’on estime qu’une sur deux ne sécurise pas ses postes de travail et qu’une sur trois n’utilise même pas d’antivirus. Un contexte préoccupant qui a amené les pouvoirs publics à élaborer à leur attention un Guide de cybersécurité à destination des dirigeants de TPE, PME et ETI : bonnes pratiques et réflexes à adopter en cas de cyberattaques, disponible en ligne (1). « Le problème est que, aujourd’hui, un très grand nombre d’artisans et de PME n’ont pas conscience que leurs données ont de la valeur. Tout le monde sans exception peut être victime, parce que les pirates informatiques attaquent de façon indiscriminée, déclare Yoann Kassianides, délégué général de l’Alliance pour la Confiance numérique (2). De la même façon qu’on ne laisse pas un billet de 100 euros traîner sur la table à la vue de tous, les entreprises doivent trier leurs documents sensibles, et prendre des mesures pour les protéger. »

Tout le monde sans exception peut être victime, parce que les pirates informatiques attaquent de façon indiscriminée. 

Yoann Kassianides, délégué général de l’Alliance pourla Confiance numérique.
Il existe différents types d’attaques, décrits en détail dans le guide cité plus haut. Parmi celles-ci, les plus fréquentes (22 % des cyberattaques) sont les rançongiciels (ou ransomware), consistant à introduire dans le système de l’entreprise un logiciel malveillant qui chiffre les données, c’est-à-dire les rend inexploitables, assorti d’une demande de rançon contre la promesse de restaurer l’accès aux données. Dans 20 % des cas, l’attaque prend la forme d’une intrusion dans les systèmes d’information, provoquant une altération de leur fonctionnement et/ou un vol de données. L’intrusion peut se faire par l’ouverture d’une pièce jointe douteuse ou d’un lien hypertexte, par le branchement d’une clé USB contenant un logiciel malveillant, ou encore via le système d’information d’un client ou d’un fournisseur lui-même vérolé. Autre cas de figure, l’entreprise peut être victime d’un piratage (14 % des cas) par lequel un individu prend le contrôle d’un compte – messagerie, compte administrateur, etc. – au détriment de son détenteur légitime, en découvrant un mot de passe trop simple, en utilisant un logiciel espion qui copie un mot de passe au moment où il est tapé sur le clavier, ou en attaquant un autre site sur lequel le même mot de passe est utilisé. L’imagination des cyberdélinquants semble sans limite. Ils peuvent aussi pratiquer l’usurpation d’identité – 10 % des cyberattaques – pour commander des biens ou des services en se faisant passer pour quelqu’un d’autre, en ouvrant de fausses lignes téléphoniques, en copiant l’adresse électronique de l’entreprise ciblée, en falsifiant des bons de commande… Enfin, il faut aussi mentionner l’hameçonnage (8 %) qui consiste à fournir à quelqu’un des codes malveillants, qui, une fois activés, serviront de base pour un piratage de données ; le déni de service, où un serveur est saturé par des milliers et des milliers de demandes simultanées (5 %) ; la fraude au virement par changement de RIB (4 %) ; la fraude au président (4 %) ; la défiguration de site Internet (2 %), etc.

Petit lexique de la cybersécurité

Malware

Logiciel malveillant destiné à nuire à un système informatique.

 

Ransomware

« Rançongiciel » en français : programme malveillant qui prend en otage les données afin de forcer les victimes à payer une rançon pour que leurs fichiers soient débloqués.

 

Phishing

« Hameçonnage » en français : technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité.

 

Pare-feu

Logiciel qui limite le trafic réseau pour en empêcher l’accès aux personnes non autorisées.

 

Cloud

Technologie de stockage d’importants volumes de données sur des serveurs à distance.

 

Test d’intrusion

Méthode d’évaluation de la sécurité d’un système d’information.

 

Darknet

Réseau superposé à Internet où les adresses IP sont dissimulées, ce qui permet des échanges anonymes.

Hameçonnage : des mesures simples pour réduire le risque

 

Pour sensibiliser les entreprises et les aider en cas de cyberattaque, les pouvoirs publics ont créé la plateforme cybermalveillance.gouv.fr, qui apporte des réponses à un grand nombre de leurs questions. Cette plateforme a reçu en 2020 plus de dix mille demandes d’assistance de la part d’entreprises victimes d’une attaque. Dirigeant d’EGPR, une entreprise de peinture, ravalement de façades et revêtements de sols, qui emploie dix salariés à Provins (Seine-et-Marne), Alain Legrand a connu une telle mésaventure. En juin 2021, il relance un client suite à une facture non payée, mais ce dernier lui explique que la facture en question a bien été acquittée dans les temps… En cherchant à comprendre, le chef d’entreprise s’aperçoit que le règlement a bien été effectué, mais sur un RIB falsifié, conservant sa raison sociale mais avec un autre numéro de compte. « Appelé en urgence, notre informaticien a découvert la présence d’un logiciel espion, qui a intercepté le mail comportant notre RIB, raconte-t-il. Les délinquants ont ensuite appelé notre client, en lui disant que nous avions changé de RIB et en lui envoyant celui où il fallait régler la facture : le tour était joué. » À la suite de son dépôt de plainte, Alain Legrand découvre qu’il s’agit d’un piratage de données à grande échelle, sur lequel la gendarmerie a travaillé un an pour retrouver les auteurs. Depuis, le dirigeant est devenu très vigilant à l’égard des pièces jointes douteuses, le moyen qui a sans doute été utilisé pour introduire le logiciel espion dans son système informatique, mais il a renoncé à l’idée de recouvrer sa créance.

 

© NicoElNino/ Adobe Stock

 

Dirigeant de La Lourousienne d’électricité, une TPE de deux salariés à Louroux-de-Bouble (Allier), Nicolas Thévenin a subi exactement la même attaque : après une deuxième facture non payée par un client, pourtant de confiance, il fait analyser son système d’information et se rend compte qu’il a été victime d’une fraude au virement par changement de RIB, et appelle aussitôt son banquier pour bloquer toute transaction. Mais l’histoire ne s’arrête pas là. « Quelque temps après, un jeudi soir, je constate un blocage de ma boîte mail et, le vendredi matin, mon banquier m’appelle, alerté par une opération inhabituelle de ma part : l’achat d’un véhicule dans une concession située à l’autre bout de la France… que les pirates ont essayé de faire en mon nom ! » explique-t-il. Grâce à un banquier qui connaît ses habitudes, cette transaction a pu être bloquée à temps, mais Nicolas Thévenin apprend des enquêteurs que le montant des deux factures détournées, environ cinq mille euros, a été viré dans le Pacifique sud, sans aucun espoir de recouvrer cette somme. À la suite de cette cyberattaque, il a pris un ensemble de mesures pour protéger son entreprise, comme l’utilisation d’un générateur de mot de passe, qui complique considérablement ce moyen de pirater un compte ou de pénétrer dans un système, et le recours à une messagerie protégée – chorus.fr – créée par l’administration pour l’envoi et le suivi des facturations à l’attention des collectivités et des architectes, deux services qui ne coûtent rien à l’entreprise mais renforcent sa cybersécurité.

 

Pour Yoann Kassianides, ces deux exemples illustrent parfaitement la vulnérabilité d’un grand nombre de TPE et PME, tout en montrant qu’il est facile d’augmenter son niveau de protection par des mesures de bon sens. « Il ne faut jamais ouvrir une pièce jointe ou cliquer sur un lien qui semble douteux ; il faut utiliser des mots de passe complexes et les changer régulièrement, en ayant recours à un gestionnaire de mots de passe ; il ne faut jamais brancher une clé USB venant de l’extérieur avant de l’avoir testée, et il faut faire tous les jours une sauvegarde de ses données, pour pouvoir redémarrer rapidement l’activité en cas de cyberattaque, résume le délégué général de l’Alliance pour la Confiance numérique. Si toutes ces recommandations dites “d’hygiène informatique” (voir encadré) étaient appliquées dans toutes les PME, on éliminerait au moins la moitié du risque, étant précisé que ces règles ne coûtent rien. » De façon générale, l’expert invite à s’interroger à chaque fois qu’un événement imprévu se produit – changement de RIB, demande pour un règlement en express, coup de fil inhabituel de la direction, etc. – et à procéder à une double vérification avant d’effectuer l’opération en question.

 

3 questions à Anne Souvira, commissaire divisionnaire, chef de mission Cyber à la préfecture de Police de Paris

 

Pourriez-vous indiquer quelques chiffres qui donnent une idée de l’ampleur de la cyberdélinquance contre les entreprises dans votre périmètre ?

La préfecture de Paris, qui couvre aussi la petite couronne, a enregistré en 2021 un total de 25 000 infractions qui relèvent de la cybercriminalité envers les entreprises, et sont notamment qualifiées d’escroquerie, d’abus de confiance et de tentative d’extorsion de fonds. Ce total est bien en dessous de la réalité, car beaucoup d’entreprises victimes préfèrent ne pas en parler et ne déposent pas plainte alors qu’elles devraient le faire.

 

Quelles sont les attaques les plus fréquentes que vous observez, et les principales motivations des cyberdélinquants ?

45 % de ces cyberattaques relèvent du phishing, avec utilisation de malwares pour suppression ou extraction de données, chiffrement de données de serveurs et sauvegardes, ou encore déni de service – une attaque massive avec un très grand nombre de requêtes qui a pour but de bloquer un site. Elles sont souvent accompagnées d’un ransomware, 650 plaintes étant en cours à ce jour pour ce type d’affaires. Les motivations des cyberdélinquants sont de trois ordres : le sabotage, l’espionnage et l’appât du gain, dans lequel il faut inclure la volonté d’éliminer un concurrent.

 

Que faire en cas de cyberattaque et que conseillez-vous aux entreprises pour se protéger ?

Je leur dis tout d’abord, lorsqu’elles ont pris la mesure de l’attaque et les mesures de remédiation immédiate, qu’elles doivent porter plainte, pour que l’administration ait une connaissance fidèle du phénomène, et parce que c’est indispensable pour que le procureur de la République puisse poursuivre les auteurs, et que les victimes obtiennent réparation du préjudice. Ensuite, il est indispensable de conserver des traces de l’attaque et de les transmettre aux autorités, faute de quoi il est impossible de remonter jusqu’aux auteurs. Enfin, il revient aux entreprises de prendre en main leur cybersécurité. L’État a créé notamment pour elles l’ANSSI (4) et la plateforme cybermalveillance.gouv.fr, où elles trouveront toutes les informations nécessaires. À Paris et sa petite couronne, elles peuvent aussi envoyer un mail à [email protected], la préfecture de Police faisant partie du réseau des référents cybermenaces, le RCM, un réseau d’experts bénévoles non policiers, qui se déplacent sur rendez-vous dans les entreprises pour des actions de sensibilisation et formation.

 

Attaques ciblées : la crainte de l’écran noir

 

Précision importante, la quasi-totalité des attaques contre les TPE et PME se produisent au moyen d’un malware – un logiciel malveillant – envoyé par mail, à partir d’un fichier volé par exemple, à un très grand nombre d’entreprises, dont une minorité « se fait avoir », à la manière d’un filet de pêche qui prend toujours quelques poissons sans les discriminer. Dans ce cas de figure, les informaticiens connaissent déjà le logiciel incriminé, déjà répertorié, et peuvent le rendre hors d’état de nuire. Mais, en dehors de ces attaques low cost, une entreprise peut aussi être victime d’une cyberattaque ciblée, aux conséquences plus graves, née d’une volonté délibérée de lui faire du tort, voire de la détruire. C’est ce qui est arrivé en 2020 à une entreprise du bâtiment d’une centaine de salariés, qui se croyait à l’abri. « Du jour au lendemain, nous nous sommes retrouvés face à vingt écrans noirs, un système d’information complètement bloqué, avec une perte totale des données et de trente ans d’historique, se rappelle le chef d’entreprise. Et on reçoit un message indiquant qu’on est victime d’une cyberattaque, demandant de payer cent mille dollars en passant par le Darknet, avec un numéro de téléphone à composer pour obtenir les codes de décryptage. C’est une attaque d’une violence inouïe, on reste tétanisé. » Les conséquences sont désastreuses : ne pouvant plus éditer de fiches de paie, l’entreprise fera des avances sur salaires pendant trois mois, mettra six mois pour revenir à un état de fonctionnement à peu près normal, et quatorze mois pour retrouver une totale liberté de travail, après avoir rappelé chaque client pour reconstituer des fichiers comportant les situations financières actualisées. Le préjudice financier est estimé à trois cent mille euros au moins, dû aux appels d’offres manqués et à la perte d’activité. « Ayant délégué la gestion de toute la partie digitale à notre prestataire informatique, je me suis aperçu qu’il ne faisait aucune sauvegarde de nos données, déplore le chef d’entreprise. Nous les avons récupérées en partie seulement, au fil des semaines. Heureusement, deux de nos managers travaillaient beaucoup avec leurs portables, sur lesquels nous en avons récupéré une partie, sinon, on ne s’en serait pas relevés. »

 

En constatant la recrudescence de cyberattaques dans notre secteur, nous avons mis en place un plan de protection de notre entreprise.

Jérémy Amorella,dirigeant de Caldya, à Herblay (Val-d’Oise).

 

Cet électrochoc a provoqué une véritable prise de conscience au sein de cette entreprise, dont le dirigeant est devenu malgré lui un expert en informatique : ordinateurs et serveurs ont été jetés, de peur qu’ils contiennent un malware dormant, laissant place à une infrastructure informatique complètement neuve, pour un investissement de cent mille euros. Des mesures drastiques ont été mises en place par son prestataire informatique : les codes d’accès ont été doublés voire triplés, afin que l’un d’entre eux au moins soit toujours actif et que le système ne soit jamais sans protection ; une double sauvegarde est effectuée chaque jour sur un disque dur coupé du réseau, tandis qu’un système de surveillance détecte tout transfert suspect de données en amont, pour pouvoir réagir au plus vite à toute tentative d’attaque. « Les salariés suivent une formation de remise à niveau chaque année et ne vont plus se promener sur des sites où ils n’ont rien à faire pendant le travail, ajoute le dirigeant. Nos données sont hiérarchisées et classées, ce traumatisme nous a fait progresser en rigueur d’organisation. » Confronté à ce type de cas extrême, il est recommandé de ne jamais payer la rançon demandée car, d’une part, rien ne garantit que les pirates vont fournir les clés de déblocage – ils peuvent au contraire formuler des demandes supplémentaires – et, d’autre part, il ne faut pas alimenter les réseaux mafieux du Darknet. « En définitive, la maîtrise du risque cyber peut être comparée à la sécurité incendie, reprend Yoann Kassianides. On sait qu’une attaque peut arriver, et il faut donc prévoir ses développements possibles, en cloisonnant le réseau informatique comme peuvent le faire les portes coupe-feu et la conception des façades, pour contenir le sinistre et protéger le bâtiment. Il faut faire régulièrement des exercices, comme changer ses codes d’accès, pour tester les procédures de sécurité, et connaître son niveau de protection(3). En dernier recours, si le système est détruit, il faut conserver une sauvegarde sécurisée, comparable à un abri anti-incendie, pour pouvoir reprendre l’activité. »

 

Protection et prévention

 

Tout invite aujourd’hui les entreprises du bâtiment à prendre de façon préventive des mesures de protection contre la cybermalveillance, d’autant plus indispensables que la digitalisation des processus est en marche. « Le développement de notre activité s’accompagne de celui de notre système d’information, qui a intégré la signature électronique des marchés de sous-traitance, la dématérialisation de 90 % de nos factures avec les artisans, qui seront bientôt validées de façon automatique, ou encore la gestion informatisée de nos dossiers administratifs, des demandes de permis de construire aux attestations des bureaux d’études thermiques par exemple, explique le DSI (directeur des systèmes d’information) d’un important constructeur de maisons individuelles. De ce fait, les données traitées par notre système sont en croissance continue en volume et en criticité, ce qui permet de comprendre la valeur et les enjeux liés à ce système d’information, et ce que nous devons aujourd’hui protéger. » En aval de l’activité, la relation client est, elle aussi, de plus en plus digitalisée, avec le lancement d’une application qui offre aux acquéreurs d’une maison individuelle de nombreuses fonctionnalités, comme la fourniture de plans, le suivi du chantier, la facturation des différentes étapes, sans oublier le showroom qui leur permet de choisir leurs options de portes, cuisine, sanitaires, etc.

 

Autant de raisons pour lesquelles cette entreprise prend aujourd’hui la cybersécurité de son système très au sérieux : « Nous avons mis en place une stratégie de protection des données à tous les niveaux, en collaboration avec un prestataire expert, qui prend en compte tous les points de vulnérabilité de nos différentes agences commerciales », ajoute le DSI. C’est ainsi que, en plus de systèmes antivirus classiques, qui ne peuvent détecter que les virus déjà connus, le système d’information est protégé par un dispositif d’EDR (Endpoint Detection & Response) : un logiciel auto‑apprenant plus sophistiqué, qui détecte tout événement anormal par rapport aux flux quotidiens de données, isole l’élément suspect et envoie automatiquement une alerte. L’entreprise a également supprimé les serveurs et mis en place un plan de déploiement et d’hébergement de ses données et applicatifs dans le cloud.

 

Face à la multiplication des cyberattaques, les entreprises du bâtiment commencent aussi à organiser la riposte de façon collective. Touché à titre personnel par une attaque rapportée ci-dessus, Alain Legrand a pris l’initiative, en tant que vice-président de la Fédération BTP77, d’organiser en mai dernier une réunion d’information à l’attention des entreprises adhérentes dans le périmètre de Provins, en invitant des sociétés de sécurité informatique mais aussi la gendarmerie et des professionnels de la banque. Une démarche plus opérationnelle est en train de se structurer, sous la houlette de Jérémy Amorella, dirigeant de Caldya, une entreprise de trente-cinq salariés positionnée sur la maintenance, le génie climatique et la rénovation globale de l’habitat, implantée à Herblay (Val-d’Oise). Président de la Commission juridique et fiscale de la FFB Île-de-France 78-91-95, le climaticien a pris en charge un projet de cybersécurité concernant les trois départements inclus dans son périmètre, Yvelines, Essonne et Val-d’Oise. « En constatant la recrudescence de cyberattaques dans notre secteur, nous avons mis en place un plan de protection de notre entreprise, en désignant un référent cybersécurité et en faisant réaliser un audit par une société certifiée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la plateforme Cybermalveillance(4). Ce plan a généré une formation de nos salariés aux bonnes pratiques, et des investissements dans des outils qui rehaussent notre niveau de protection, explique-t-il. Mais nous voulons maintenant sensibiliser toutes les entreprises et les inciter à agir. » Dans cet objectif, des contacts ont été pris avec toutes les parties prenantes – l’ANSSI, la gendarmerie, la Direction générale de la sécurité intérieure, la CNIL, le Comité Liaison Défense et le pôle numérique du MEDEF – en vue d’organiser un cycle de conférences et de réunions. Le projet de la FFB Île-de-France 78-91-95 entend ainsi mettre en relation les adhérents avec des entreprises de sécurité informatique agréées par les pouvoirs publics, leur proposer des actions personnalisées en fonction de leur degré d’avancement, ainsi qu’un accompagnement de leur cybersécurité dans le temps long.

 

Dans les TPE et PME du bâtiment aussi, la lutte contre la cybercriminalité s’organise.

 

La cybersécurité en 12 recommandations

  1. Choisir avec soin ses mots de passe.
  2. Mettre à jour régulièrement ses logiciels.
  3. Bien connaître ses utilisateurs et ses prestataires.
  4. Effectuer des sauvegardes régulières.
  5. Télécharger ses programmes sur les sites officiels des éditeurs.
  6. Sécuriser l’accès wi-fi de l’entreprise.
  7. Être aussi prudent avec son smartphone ou sa tablette qu’avec son ordinateur.
  8. Protéger ses données lors de déplacements.
  9. Être prudent lors de l’utilisation de sa messagerie.
  10. Être vigilant lors d’un paiement sur Internet.
  11. Séparer les usages personnels et professionnels.
  12. Prendre soin de ses informations et de son identité numérique.

Ces recommandations sont issues du "Guide des bonnes pratiques de l’informatique : 12 règles essentielles pour sécuriser vos équipements numériques", réalisé par la Confédération des petites et moyennes entreprises (CPME, www.cpme.fr) et l’Agence nationale de sécurité des systèmes d’information (ANSSI, www.ssi.gouv.fr.).

(1) Guide de cybersécurité à destination des dirigeants de TPE, PME et ETI
(2) www.confiance-numerique.fr. Cette alliance réunit des entreprises qui fournissent des solutions pour la cybersécurité.
(3) www.francenum.gouv.fr/comprendre-le-numerique/testez-votre-sante-digitale-en-cybersecurite
(4) Agence nationale de la sécurité des systèmes d’information, www.ssi.gouv.fr

Contenu réservé aux adhérents FFB

  • Profitez aussi de conseils et de soutien

    Des services de qualité, de proximité, avec des experts du Bâtiment qui connaissent vos enjeux métier et vous accompagnent dans votre quotidien d'entrepreneur.

  • Intégrez un réseau de 50 000 entreprises

    La FFB est fière de représenter toutes les entreprises du bâtiment, les 2/3 de nos adhérent(e)s sont des entreprises artisanales.

  • Bénéficiez des dernières informations

    Recevez Bâtiment actualité 2 fois par mois pour anticiper et formez-vous aux évolutions des métiers ou de la législation.

Pour contacter facilement votre fédération et accéder aux prochaines réunions
Se connecter
Vous n'êtes pas adhérent et vous cherchez une information ?
Nous contacter