Sensibiliser aux enjeux de la cybersécurité

Pendant longtemps, le secteur agricole et agroalimentaire a pensé être à l’abri des cyberattaques. Plusieurs entreprises, dont des organismes stockeurs, en ont pourtant fait les frais ces dernières années. Des bonnes pratiques, parfois simples, permettent de limiter le risque.

«Les entreprises du secteur agricole et agroalimentaire croyaient que les cyberattaques visaient seulement les secteurs sensibles (santé, administrations publiques…) », souligne Yves Duchesne, expert en cybersécurité chez Acceis, qui accompagne notamment des organismes stockeurs. « Cela a eu pour conséquence un manque de vigilance et des incidents coûteux. »

Plusieurs OS ont en effet subi des cyberattaques ces dernières années. Parallèlement, les grandes et moyennes structures du secteur agricole et agroalimentaire sont concernées par la directive NIS-2 depuis le 17 octobre 2024. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d’entités trop souvent mal protégées, cette directive élargit les objectifs et le périmètre d’application de la directive NIS-1 pour mieux protéger. « Aujourd’hui, on constate une réelle prise de conscience de cet enjeu cybersécurité, avec notamment l’intégration de compétences adéquates dans les grands groupes. »

1 Gérer les risques

Pour se protéger au mieux, il est primordial d’établir une stratégie coordonnée et organisée en matière de cybersécurité, avec en premier lieu une gestion des risques. Cela implique une analyse des risques, c’est-à-dire identifier les processus et activités internes critiques de l’entreprise et évaluer les scénarios potentiels (piratage, intrusion…) qui pourraient interrompre l’activité. Une fois ces risques identifiés, un plan de traitement de ceux-ci doit être élaboré avec les mesures de sécurité appropriées. Cette stratégie globale doit être déclinée à tous les niveaux de l’entreprise.

2 Sécuriser le système d’information

Des mesures techniques doivent être prises sur le système d’information dans son ensemble, sur le plan structurel, au niveau de sa conception et de son organisation, mais également en déployant des configurations sécurisées et des outils de sécurité, comme des pare-feux ou des outils anti-hameçonnage tels que Mailinblack. Les mises à jour des logiciels et environnements de travail sont également indispensables, car elles permettent de déployer des correctifs de sécurité pour combler des failles connues.

3 Sensibiliser les salariés

La sensibilisation des collaborateurs est un aspect crucial puisque de nombreux risques découlent d’un manque de vigilance de leur part. Leur poste de travail est un bien sensible de l’entreprise. Par conséquent, il ne faut pas y installer de logiciels non autorisés ; cela pourrait permettre à des attaquants de prendre le contrôle à distance. Autre point sensible : les mots de passe. « Même s’ils incluent des majuscules, des chiffres ou des symboles, les méthodes pour les craquer sont extrêmement efficaces. Nous recommandons de déployer des solutions de coffres-forts de mots de passe certifiées par l’Anssi (1) au sein de l’entreprise (Bitwarden, Passbolt, KeePass…) pour permettre aux salariés de créer et gérer des mots de passe robustes, stockés de manière chiffrée. »

Il faut apprendre aux salariés à identifier les escroqueries et l’hameçonnage (phishing), les signes d’un site malveillant (passer la souris sur les liens de redirection par exemple) et leur expliquer les risques liés à l’utilisation des e-mails, des clés USB (vecteurs potentiels de virus) et des smartphones.

4 Savoir identifier les arnaques

Les arnaques aux faux supports techniques, faux conseillers bancaires, faux RIB, « faux président » sont des menaces courantes : un individu se fait passer pour un dirigeant de l’entreprise (et ordonne un virement pour une prétendue opération) ou pour un fournisseur (et envoie un nouveau RIB prétextant un changement pour détourner des paiements). Pour déjouer ces arnaques, la méfiance doit être systématique. « Il faut toujours se faire confirmer l’information en rappelant son interlocuteur habituel sur son numéro habituel. Pour les RIB, vérifier l’expéditeur du mail et le nom de domaine de l’adresse. Souvent, l’en-tête du mail révèle une adresse qui ne correspond pas au fournisseur de l’entreprise. »

Le rançongiciel (ransomware) est une méthode d’extorsion où, après une intrusion réussie, l’attaquant crypte toutes les données de l’entreprise, les rendant inaccessibles. Une rançon est ensuite demandée pour obtenir la clé de déchiffrement et restaurer le système. Cela s’accompagne souvent d’une double extorsion : après le paiement initial, les attaquants menacent de publier les données exfiltrées (comptables, confidentielles, RH) sur internet si une seconde rançon n’est pas versée. Certains attaquants vont même jusqu’à une troisième extorsion, menaçant de publier les échanges de négociation si un nouveau paiement n’est pas effectué.

(1) Agence nationale de la sécurité des systèmes d’information.

Yves Duchesne, expert en cybersécurité chez Acceis

Savoir réagir en cas de cyberattaque

« Le premier réflexe est de contacter sans délai un centre de réponse à incident (CERT ou CSIRT) ou une entreprise spécialisée dans la gestion de crise, conseille Yves Duchesne, expert en cybersécurité chez Acceis. Pour réagir vite, mieux vaut toujours avoir le numéro d’un expert sous la main. Côté technique, il est crucial d’isoler les ordinateurs infectés du reste du réseau, sans les éteindre afin de ne pas perdre d’informations vitales pour l’analyse de la cyberattaque. Cependant, sans autre option, mieux vaut éteindre plutôt que de laisser la cyberattaque se propager dans toute l’entreprise. En cas de demande de rançon, nous déconseillons de payer car cela alimente la cybercriminalité. Si l’entreprise dispose de sauvegardes récentes ou a pu circonscrire l’attaque à des serveurs non critiques, elle est en position de force pour refuser. En revanche, si elle est totalement bloquée, le refus est plus compliqué. Enfin, il est important de porter plainte auprès de la gendarmerie ; cela servira de preuve pour contacter son assurance cybersécurité. »

« Un danger souvent entre la chaise et le clavier »

« La campagne de sensibilisation aux risques numériques s'est déroulée par l'envoi de neuf mails thématiques d’information avec une fiche réflexe à conserver », présente Yvan Bombarde, directeur des systèmes d'information. (© Cal)

De février à juillet 2024, le Groupe Cal a déclenché une campagne de sensibilisation aux risques numériques auprès de ses 400 salariés pour plusieurs raisons. « Une politique de cybersécurité a été mise en place au sein du groupe et la sensibilisation des utilisateurs est le premier chapitre des bonnes pratiques, précise Yvan Bombarde, directeur des systèmes d’information. Par ailleurs, nous bloquons de nombreuses attaques quotidiennes, donc le danger est bien réel et se situe souvent entre le clavier et le fauteuil. » La campagne s’est déroulée par l’envoi de neuf mails thématiques d’information (un toutes les deux semaines) expliquant les différentes menaces informatiques (hameçonnage, rançongiciels, arnaque au faux support technique ou au faux conseiller bancaire, virus, chantage, piratage de comptes) et les moyens de les identifier, les bonnes pratiques (mots de passe, mises à jour) et les gestes à avoir en cas de doute ou d’attaque confirmée.

« Une fiche réflexe à conserver accompagnait chaque envoi. L’idée était de fournir des conseils applicables à la fois dans le cadre professionnel et privé, car les salariés sont également la cible de cyberattaques dans leur vie personnelle. » En septembre 2024, un quiz a été proposé aux collaborateurs pour rendre l’apprentissage plus ludique et encourager la lecture des fiches. 80 salariés y ont participé (résultat très satisfaisant) avec un bon niveau de réponses. « Depuis cette campagne, les salariés sont plus nombreux à me transférer des e-mails un peu douteux pour me demander si c’est une arnaque ou pas. L’objectif de rendre les salariés plus méfiants a donc été atteint. » Une action de phishing interne est également en préparation pour tester les réactions des collaborateurs.