Le centre de réponse aux incidents cyber, Grand Est Cybersécurité, est opérationnel depuis un an. Vous totalisez 232 sollicitations pour 53 cyber-incidents. Quelles sont les entreprises qui vous contactent ?
Celles qui ont besoin d’aide. Les entreprises qui n’ont pas besoin d’aide, tout simplement parce qu’elles ont déjà un prestataire qui fait le travail, ne nous appelleront jamais. Le centre de réponse aux incidents cyber du Grand Est existe pour soutenir ceux qui n’ont pas de structure, qui n’ont pas d’experts pour les accompagner, qui n’ont pas de prestataire, pas de maturité en cybersécurité. Concrètement, nous ne cherchons pas à voir tout le monde et à recenser tous les incidents de cybersécurité. Ce que je veux éviter, c’est qu’une entreprise victime d’une cyberattaque ne sache pas qui appeler. Pour moi, l’indicateur idéal, ce serait de mesurer l’effort fait pour réduire le nombre d’entreprises victimes de cyberattaques, et qui ne savaient pas qu’on était là.
Est-ce que la faiblesse dans un système d’information, c’est toujours le comportement du salarié ?
90 % des incidents proviennent au départ d’une faute d’un salarié. C’est factuel. Mais le risque zéro n’existe pas. Prenons un exemple parlant : vous prenez votre voiture pour partir en vacances, pour un long voyage avec toute votre famille. Vous allez entretenir votre voiture, vous allez vérifier la pression des pneus, respecter le code de la route et pourtant, vous aurez un accident. La cybersécurité c’est exactement la même chose. Vous pourrez prendre toutes les précautions que vous voulez, ça n’empêchera pas le petit couac.
52 % des sollicitations reçues au CSIRT viennent d’Alsace, comment l’expliquez-vous ?
Tout simplement parce que le centre est mieux connu en Alsace. Ensuite, il y a beaucoup plus de sociétés d’informatique et de cybersécurité qui diffusent et relaient l’information. La densité d’entreprises y est plus élevée, dans les domaines du numérique et de la cybersécurité. Mais nous continuons à sensibiliser les dirigeants d’entreprise partout dans le Grand Est et notamment les TPE. Elles ne font pas partie des bénéficiaires identifiés par le CSIRT, mais pour moi, c’est essentiel parce qu’elles représentent 93 % des établissements de notre territoire.
Avec 72 sollicitations sur un total de 232, les ETI du Grand Est ont su vous trouver. Comment l’expliquez-vous ? Elles sont très ciblées par des cyberattaques ?
Non. Les ETI nous sollicitent différemment parce qu’elles sont solidement armées. Ces grosses entreprises ont les moyens d’avoir une direction des systèmes d’information. Et parfois même des experts en cybersécurité en propre. Donc elles nous appellent pour nous faire entrer dans leur dynamique de gestion des incidents, dans leur chaîne de gestion de crise.
Dans ces sollicitations, seules 23 % concernaient vraiment des incidents liés à la cybersécurité…
Un certain nombre d’entreprises pensent qu’elles sont victimes d’une cyberattaque mais en fait, il s’agit d’un dysfonctionnement, d’une problématique liée à l’informatique. C’est comme aux urgences des services de santé : la personne pense qu’elle est malade, mais au final, elle va simplement aller faire un check-up. Ça fait partie de notre rôle, d’orienter. Notre rôle principal, c’est la réponse aux cyberattaques. C’est d’accompagner les entreprises ou les collectivités victimes de cyberattaques. Mais face à un autre problème, nous allons réorienter vers les autres dispositifs, le diagnostic mis en place par la Région, ou des conseils en stratégie de cybersécurité.
Dans vos statistiques, un chiffre est saisissant : seulement 21 plaintes. Comment convaincre les entreprises de porter plainte ?
Les gens déposent plainte quand ils voient qu’il y a une véritable nécessité de le faire, parce qu’ils ont des préjudices financiers ou techniques. C’est une procédure un peu longue, donc on essaie de simplifier. Nous sommes en train de mettre en place une simplification de la procédure au niveau étatique avec le numéro "17 cyber". L’enjeu est d’installer un numéro unique de dépôt de plainte. Pour autant, toutes les entreprises victimes sont prêtes à le faire aujourd’hui. D’abord, tout simplement parce que celles qui ont contracté une assurance cyber, si elles ne déclarent pas dans les 72 heures qui suivent une cyberattaque, elles ne pourront pas bénéficier de cette assurance. Donc c’est essentiel.
De quel budget dispose aujourd’hui Grand Est Cybersécurité ? Concrètement, est-ce qu’il va falloir renforcer votre équipe ?
Le dispositif a été mis en place avec une subvention d’État d’un million d’euros qui doit couvrir les trois premières années de fonctionnement. Dans la convention signée avec l’État, les régions candidates se sont engagées à assurer la pérennité du dispositif (NDLR : pour information Grand Est Cybersécurité dépend de l’agence d’innovation régionale Grand E-Nov + ). Donc ce sont des questions de subventions au niveau des collectivités ou de la Région. Les discussions sont en cours, plusieurs possibilités sont envisagées.
