Les JAFTE 2021 ont eu lieu les mardi 16 et mercredi 17 novembre 2021. De nombreuses plénières et conférences ont eu lieu pour donner la parole à plusieurs professionnels et experts autour des sujets qui encadrent la fonction de Trésoriers.
Trustpair vous propose de revenir sur certaines conférences de cette journée dans une série de 5 articles. Dans ce compte-rendu, nous nous intéressons aux rôles du trésorier face à la cyber sécurité.
Cybersécurité : et si c’était votre tour ?
Étaient présents lors de cette conférence :
- Coralie Chapelain, responsable de projets IT de trésorerie, Air Liquide (modérateur)
- Mickaël Djafarpour Latreille, directeur du financement, de la trésorerie et du crédit management, Andros (modérateur)
- Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
- Rémi Martin de Abia, Pentester, Advens
- Frédéric Tailler, responsable trésorerie et comptabilité fournisseurs, Fleury Michon
Le cyber-attaques en pleine explosion
Suite à la crise COVID-19, on constate une forte adoption des méthodes de travail et des solutions digitales dans les habitudes des entreprises. De manière alignée, on observe aussi des cyberattaques plus perfectionnées et fréquentes, avec cette année une augmentation de 255% selon l’ANSI, et 192 attaques enregistrées en 2021.
“Les chiffres sont alarmants, mais il faut savoir que certaines attaques n’ont pas été déclarées par peur de représailles. 2022 promet d’atteindre des records.” – Mickaël Djafarpour Latreille, directeur du financement, de la trésorerie et du crédit management, Andros
Les nouvelles pratiques et “tendances” en termes de cyberattaques
“Les médias relaient de plus en plus les cyberattaques. On assiste à un mouvement de fonds et de transformation numérique chez les entreprises, qui arrivent aussi chez les cybercriminels.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Il y a un passage d’un écosystème d’experts, prenant le temps pour cibler et identifier ces victimes, à un écosystème de masse où les techniques d’attaque et de ciblage sont automatisées, rapides et redoutables.
“Le marché de la cybercriminalité évolue vers un réseau d’attaques, comme les rançongiciels, où les criminels s’introduisent dans les systèmes, vol des données sensibles, et demandent une rançon pour les restituer.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Les groupes de rançongiciels développent des outils pour les proposer à un groupe d’affiliés. Ces plateformes ultras organisées partagent ensuite les profits :
- 70% pour le criminel
- 30% pour la plateforme d’hébergement
La plateforme recrute des pirates pour qu’ils aillent faire des attaques. Ces systèmes qui marchent bien, et permettent l’économie d’échelle, assurent un business rentable. Le coût de l’attaque – temps humain, construction des outils – ramené à la rançon obtenue indique une rentabilité de 200 à 800%.
“Cette activité est certes rentable, mais avant tout illégale ! Certains finissent en prison, et cette menace a attiré la vigilance des autorités.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Victime de cyber-attaque : faut-il payer ou non la rançon ?
En cas d’attaque, il ne faut payer la rançon car ça finance l’écosystème cybercriminel, indique Gérôme Billois, Wavestone. Mais dans certains cas, lorsque la vie de l’entreprise est en jeu, payer n’est malheureusement plus une option. Quoi qu’il en soit, ça ne doit pas devenir un réflexe.
Quand on paye la rançon, on reçoit un mail avec en pièce-jointe un déchiffreur. Cela ne signe tout de même pas la fin de la crise, car il faut quand même passer sur tous les ordinateurs, revoir l’ensemble des systèmes.
“Que l’on paye ou non, les délais restent les mêmes : en moyenne 2 à 3 semaines d’inactivité et de perte d’exploitation sont observées.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Déroulé d’une cyberattaque : l’exemple de Fleury Michon
Structure et organisation de l’entreprise avant l’attaque
- Full virements : 80% de virements commercial et 20 Sepa Credit Transfer
- 2 sessions de paiements réalisées par semaine
- Pas de chèque utilisé
- Pas de LCR fournisseurs
Attaque de l’entreprise
- 10 avril, dans la journée : envoi des virements en banque
- 10 avril, dans la nuit : réalisation de la cyberattaque
- 11 avril, le matin : les systèmes ne fonctionnaient plus, et les outils de communication étaient coupés
Etant donné que la communication était coupée, nous avons appris l’attaque via des réunions inter-service, nous explique Frédéric Tailler.
Au départ, on pensait à un problème technique, mais on a compris que c’était une suspicion d’attaque. Un expert est venu analyser l’ensemble des systèmes de l’entreprise, et après restitution de l’audit, la DSI a décidé de tout couper. En début d’après-midi, la Direction a mis en place un plan d’action main dans la main avec la DSI. En attendant, notre activité était à l’arrêt.
En tant que trésorier, comment avez-vous continué votre travail ?
La Direction Générale et le contrôle interne ont prévenu via leurs téléphones portables les Directions bancaires, en leur indiquant qu’il fallait mettre en contrôle les comptes de Fleury Michon.
“Je suis rentré chez moi, et j’ai fait l’équilibrage bancaire de chez moi. On devait re-checker chaque débit en compte qui passait. Tous les virements devaient être vérifiés auprès de la Direction financière pour être envoyés aux fournisseurs.” – Frédéric Tailler, responsable trésorerie et comptabilité fournisseurs, Fleury Michon
Une salle blanche a été mise en place avec des ordinateurs et des systèmes de trésorerie reconstruits. Les services sont restés inactifs ou ont fonctionné en mode dégradé pendant 5 jours, ce qui était très frustrant et compliqué à gérer. Le service Trésorerie faisait les 2/8 pour rattraper le retard et équilibrer les comptes en continu.
“La cyber-attaque n’est heureusement pas arrivée pendant une période de salaires. Seules les charges sociales devaient être payées, nous avons donc contacté l’URSSAF pour déclarer un retard de paiement.” – Frédéric Tailler, responsable trésorerie et comptabilité fournisseurs, Fleury Michon
Est-ce que les entreprises sont prêtes en termes de Plan de Continuité d’Activité ?
“42% des entreprises qu’on a aidé en 2021 avaient un plan de résilience. Ce qui signifie qu’encore trop peu d’entre elles en ont défini un.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Quand la cyberattaque arrive, il y a un arrêt total pendant au moins 2 jours. On sait plus travailler ni gérer la situation, et la DSI s’empare alors du sujet. Les deux jours suivants, la DSI est épuisée, et c’est à la Direction Générale de se mobiliser pour gérer la situation de crise.
“Même si l’entreprise ne fait que 20% de son activité, c’est déjà bien. Ce genre de crise mobilise entre 200 à 400 personnes chez les grands groupes.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Par exemple, indique Gérôme Billois, une entreprise du CAC40 victime de cyberattaque avait loué deux étages d’un hôtel à la Défense pour permettre aux équipes mobilisées de dormir et manger correctement lors de la gestion de la crise.
Quel est l’avantage d’un Plan de Continuité ?
« La problématique d’un PCA est de définir le bon scénario. Par exemple, ça peut sembler une bonne pratique d’avoir deux sites, pour que l’un prenne le relais sur l’autre en cas de cyberattaque. Mais dans la réalité, les deux sites seront affectés. Dès qu’il y a une suspicion, il faut basculer sur des réseaux différents du site principal, dédié à la résolution de la situation de crise.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Comment travailler 2 à 3 semaines sans systèmes informatiques ?
“Il faut avoir conscience que la DSI ne pourra plus travailler lors de l’attaque. Il faut trouver des moyens, certes dégradés, pour passer outre l’informatique et éviter la perte totale d’activité.” – Gérôme Billois, associé cybersécurité et confiance numérique, Wavestone
Cybersécurité : quelles sont les failles des entreprises et comment les combler ?
Rémi Martin de Abia, Pentester chez Advens, indique qu’il existe trois niveaux de failles :
- Défaut de mise à jour : si un criminel a découvert une faille dans un système obsolète, il peut potentiellement l’exploiter
- Mot de passe faible, utilisé fréquemment ou basé sur un pattern simple (entreprise1234 par exemple)
- Mauvaises pratiques : partage des mots de passe via des réseaux de communication interne, enregistrement du mot de passe sur Google, connexion à un réseau publique, branchement d’un téléphone sur un port USB
Selon Frédéric Tailler, Fleury Michon, plusieurs bonnes pratiques sont à mettre en place :
- Sécurisation des systèmes de trésorerie
- Mise à disposition de PC portables et non fixes
- Téléphone fixe avec une ligne dédiés et sécurisé
- Réouverture de sites bancaires pour transmettre des fichiers en cas de problème
- Carnet de contacts des fournisseurs et partenaires
- Mise en place d’outils de lutte contre la fraude sur les virements
Il faut aussi s’entraîner à reconstruire les systèmes, pour réduire l’impact sur la perte d’exploitation et le chiffre d’affaires.
Construire un PCA prend plus ou moins de temps chez un grand groupe ou une ETI, en moyenne 3 mois au plus court jusqu’à 1 an et demi maximum.
Pour conclure :
“Penser, prioriser, prévoir sont les maîtres mots de cet atelier. La cybersécurité ne concerne pas que le trésorier, mais bien l’ensemble du groupe. Personne n’est laissé de côté.” – Coralie Chapelain, responsable de projets IT de trésorerie, Air Liquide
Outre la perte d’activité, il y a aussi des attaques par la fraude au virement, comme le Deepfake. Ce type de fraude doit s’intégrer dans les scénarios et doit être testé à travers des exercices de crises. Le PCA permet d’anticiper ces situations.
Cet article vous a intéressé ? Découvrez d’autres comptes rendus des conférences de l’AFTE 2021 sur notre blog :
