Abonnez-vous Identifiez-vous

Identifiez-vous

Vos codes d'accès sont erronés, Veuillez les saisir à nouveau. Mot de passe oublié ?

Cyber entreprise

Comment la Cyber-sécurité transforme l'Entreprise

Le blog de Guy-Philippe Goldstein

Les masques tombent: qu’est-ce que cela veut dire pour les entreprises ? (Partie 2/2)

Publié le

Les masques tombent: qu’est-ce que cela veut dire pour les entreprises ? (Partie 2/2)
© Digit/Youtube

On l’a vu dans le précédent billet : la capacité à identifier très précisément l’origine d’une cyber-attaque qui viendrait d’un Etat-Nation, à faire tomber les masques des fonctionnaires du renseignement derrière l’anonymat du cyberespace, peut parfois réduire le risque d’espionnage d’industriel en faveur des entreprises.

Mais dans certains cas particuliers, la riposte peut être encore plus forte : ce ne sont pas certains fonctionnaires du renseignement, mais les Etats eux-mêmes qui sont visés. Le premier pays à avoir été ainsi désigné, ce fut la Corée du Nord, après la cyber-attaque contre Sony Picture Entertainment en novembre 2014. Le Président Obama en personne finit par accuser la Corée du Nord de l’attaque. La deuxième fois, ce fut dans la foulée de #NotPetya, un faux rançongiciel et vrai destructeur de données qui aurait fait (au moins) 10 milliards de dollars de dommages à travers le monde. Des sociétés comme Saint-Gobain, Auchan, la SNCF ou bien encore à l’étranger le transporteur maritime danois Maersk ont été touchées, parfois perdant plusieurs centaines de millions de dollars.  Le 15 février dernier, une date qui restera dans les annales de la cyber-diplomatie, les gouvernements des Etats-Unis, du Royaume-Uni, de l’Australie, de la Nouvelle Zélande, du Canada et le ministre de la défense du Danemark ont accusé de manière synchronisée le gouvernement Russe d’être à l’origine de l’attaque.

Donc, l’origine de l’attaque peut être identifiée – qu’il s’agisse du gouvernement de la Russie, ou bien de fonctionnaires hackers agissant pour le compte des gouvernements iraniens, chinois ou nord-coréens comme M. Park Jin Hyok, un hacker agissant pour le compte du régime de Pyongyang dont les activités sont détaillées dans un rapport de plus de 179 pages. Nous ne sommes plus dans le cadre de la cybercriminalité "privée" mais face à des adversaires étatiques, avec des objectifs le plus souvent politiques ou militaires – et où les entreprises privées occidentales, qu’elles soient françaises ou mondiales, peuvent être soient des cibles en tant que telles, soient des dommages collatéraux. Elles deviennent parties d’un conflit international qui les dépasse.

Si c’est le cas, à partir de quand les entreprises pourraient-elles invoquer la "force majeure" et demander l’aide de l’Etat ?

En Ukraine, à la suite de #NotPetya, la Chambre de Commerce et d’Industrie en Ukraine a autorisé les entreprises victimes à invoquer la "force majeure" afin entre autres de ne pas payer les pénalités de retard de déclaration fiscale auprès des autorités. En France, dans d’autres circonstances, l’Etat est intervenu pour aider économiquement les entreprises affectées par des chocs de sécurité nationale, comme cela a été le cas à la suite par exemple des attentats du 13 novembre 2015, qui a donné lieu à l’activation d’une cellule de continuité économique (CCE), présidée par le ministre de l’Economie de l’époque, Emmanuel Macron. La CCE est activée à date essentiellement pour des sujets de terrorisme ou de catastrophe naturelle. Néanmoins, le Conseil Général de l’Economie, une autre structure de Bercy, s’est saisi du sujet de la cyber résilience en 2017 et a remis un rapport en ce sens en 2018. Les esprits évoluent peut-être.

Au niveau du droit, en France, la possibilité d’invoquer la "Force Majeure" dans le cadre de difficultés client-fournisseur est par contre moins claire et plus contrainte pour les entreprises. Traditionnellement, la "force majeure" doit présenter des caractères d’extériorité (facteur extérieur à l’entreprise) et surtout d’imprévisibilité et d’irrésistibilité dans ses effets. Or, dans le cas de NotPetya, le maliciel a utilisé des "exploits" venant d’outils (Mimikatz, Eternal Blue) d’origines différentes mais déjà connu depuis au moins plusieurs mois. Il n’y avait pas de surprises de type "zero-days" - des vulnérabilités informatiques découvertes au moment même de l’attaque. Une entreprise dont la sécurité informatique aurait été parfaitement à jour aurait grandement minimisé ses risques d’infection. Evidemment, la perfection n’est pas de ce monde. Mais à quel moment les manquements à une parfaite mise à jour sont-ils excusables, compréhensibles et peuvent enclencher le caractère d’irrésistibilité – et à quel moment ces manquements deviennent inexcusables ?

L’enjeu de cette question pour la résilience des entreprises victimes de cyber-attaque pourrait être important. Tout autant d’ailleurs que l’aide de l’Etat en cas d’attaque externe catastrophique, imprévisible et irrésistible. Un choc comme NotPetya peut causer aujourd’hui plusieurs milliards d’euros de dommage économique – soit autant qu’un ouragan.

Il est temps qu’il soit pris au sérieux à tous les niveaux de l’appareil d’Etat.  

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte
Suivez-nous Suivre Usine Nouvelle sur Facebook Suivre Usine Nouvelle sur Twitter RSS Usine Nouvelle