[Dossier] « Cybersécurité : il faut être prêt à l'attaque » - Sylvie Forero, Daf dans un groupe international

Le risque zéro n'existe pas. Ce constat, Sylvie Forero, qui a évolué comme Daf au sein de divers groupes internationaux, l'a dressé lors d'une intrusion par un logiciel tiers. Un partenaire extérieur à l'entreprise s'est connecté sur une machine qui devait être réparée, créant ainsi une brèche, une faille de sécurité dans le réseau et la supply chain du groupe international. « Cette attaque semble être arrivée de l'étranger dans une de nos filiales. Un ordinateur situé dans le service production n'étant pas suffisamment protégé, l'attaque s'est diffusée par messagerie via ce PC », indique la directrice administrative et financière. Après trois jours de travail acharné, 600 à 700 ordinateurs sont reformatés en urgence. « Les systèmes de facturation et d'expédition étaient sous deux systèmes différents, ce qui a permis de contenir l'attaque, la propagation du virus et de limiter les dégâts. Notre service informatique, aidé par des partenaires extérieurs spécialistes de la cybersécurité, a travaillé pour reconfigurer les ordinateurs et les messageries. Les fonctions vitales de facturation ont pu repartir rapidement », se souvient la Daf.

Une cartographie des risques

Il est très important d'établir un état des lieux et une cartographie de l'ensemble des risques de l'entreprise. « Il est essentiel de détecter l'ensemble des risques, des faiblesses de l'entre­prise et d'identifier les services sensibles. » Une organisation qui permet de mettre en place une stratégie, de savoir à l'instant T quels activités et services peuvent supporter un arrêt, quels sont ceux qui doivent être poursuivis si l'entre­prise est frappée. « Je n'ai, par exemple, pas mis la comptabilité sur le point du risque maximum, car on la rattrapera toujours. Il est en revanche primordial d'avoir un système de production, de facturation performant et protégé », explique Sylvie Forero, pour qui il est impératif de réagir rapidement le moment venu. Pour assurer une continuité en cas d'attaque, l'entreprise doit désigner au préalable un responsable de la gestion de crise, qui saura qui contacter - un document listant les prestataires à contacter ayant été établi -, quelles actions mettre en place, comment conserver les données au maximum. « Il faut être prêt à l'attaque, savoir comment réagir, désigner les différents responsables, savoir également quelle sera la personne chargée de reconfigurer les ordinateurs, de communiquer auprès des salariés, des clients, des fournisseurs. Ce qui a été très important lors d'une attaque, c'est aussi le soutien constant des équipes de direction. L'équipe dédiée à la crise a communiqué chaque soir afin de présenter aux salariés les différentes étapes et phases du planning. C'est important pour que les gens sachent où on en est », considère Sylvie Forero.

Des tests grandeur nature

La mise en place en parallèle d'actions de sensibilisation et de formation est également une clé, selon cette Daf. La réalisation, une à deux fois par an, de tests grandeur nature, en envoyant de faux mails à des salariés afin d'étudier leurs réactions, permet de tester les systèmes. « Les gens ne se rendent pas compte que derrière un mail anodin, il peut y avoir du phishing. Si une opération semble bizarre, nous incitons les collaborateurs à alerter immédiatement le système informatique. » Parmi les autres précautions utilisées : le changement régulier des mots de passe ou l'intégration d'une charte informatique. La connexion par l'inter­médiaire d'un ordinateur personnel peut, par exemple, être interdite. « Une personne extérieure à la société ne peut pas se brancher sur le système. L'ordinateur est automatiquement regardé par le service informatique, ajoute Sylvie Forero. Il est par ailleurs important de tester les sauvegardes externes afin de s'assurer qu'elles fonctionnent le jour J. »