"À Vannes, ils investissent pour parer les cyberattaques"
Dernière mise à jour : 30 mai 2022
« À partir du moment où on peut se faire de l’argent avec vos données, vous devenez une cible », Pierre Lorcy, spécialiste en cybersécurité. (Le Télégramme/ Nolwenn Autret)
Fin février, le laboratoire Océalab à Vannes se faisait pirater des données sanitaires. Comment les entreprises vannetaises se protègent-elles face aux risques accrus de cyberattaques ? Tous des victimes potentielles ! Spécialiste en cybersécurité à Vannes, Pierre Lorcy l’assure : le risque zéro n’existe pas sur le front de la sécurité numérique. « À partir du moment où on peut se faire de l’argent avec vos données, vous devenez une cible », résume le patron de Lorcyber. Fin février, le laboratoire de biologie médicale vannetais Océalab a confirmé le propos : il a été hameçonné par un rançongiciel. Des données privées (n° de sécurité sociale, de téléphone, etc.) appartenant à près de 130 000 clients vannetais ont été hackées. Le genre de mésaventure pouvant virer à la catastrophe. Ce que rappellent les acteurs locaux du 2.0 qui livrent leurs tuyaux.
1 Protéger son entreprise et ses clients
« La cybersécurité nous préoccupe sur deux niveaux », résume Franck Mosser, dirigeant de MGDIS, éditeur de logiciels à Vannes. L’entreprise doit protéger son savoir-faire (ses codes sources, ses applications, etc.). Mais aussi sécuriser les logiciels qu’elle vend et qui sont parfois hébergés sur les sites de ses clients. Exemple avec un de ses clients parisiens. MGDIS s’occupe de l’attribution des vélos électriques dans la région Ile-de-France. « Pour Valérie Pécresse (présidente de la collectivité, NDLR), il s’agit d’un enjeu important. Si ce site devient hors d’usage, cela peut nuire à son image », explique Franck Mosser, soulignant que les cyberattaques peuvent avoir des enjeux financiers, mais aussi politiques. Son credo ? Il tient en trois mots : security by design. « On pense nos logiciels par la sécurité », résume-t-il.
2 Assurance et certification
Pour Guillaume Lesdos, président de Médaviz, entreprise spécialisée dans la téléconsultation, la cybersécurité est une préoccupation majeure. La start-up a souscrit une assurance cyber depuis longtemps et s’est engagée dans la certification ISO 27001 depuis quelques semaines. « Il s’agit d’une manière de communiquer en interne sur les risques cyber et d’être reconnu auprès du public, réceptif à ces normes », explique-t-il. Cette certification montre que l’entreprise a conscience des données sensibles qu’elle possède. Elle montre aussi qu’elle se protège des risques de cyberattaques.
3 Renforcer la sensibilisation
La cybersécurité, ce n’est pas que de la technique. « 80 % des éléments déclencheurs des cyberattaques sont humains », explique Muriel Raimbault, directrice de la Direction des systèmes d’information (DSI) de la Ville de Vannes. « C’est comme si vous aviez un cadenas massif pour votre vélo mais que vous oubliez de le mettre quand vous vous garez », ajoute Éric Martin, directeur de l’école d’ingénieurs ENSIBS. Sensibiliser le personnel semble donc primordial. À la municipalité de Vannes, après la cyberattaque subie en 2016, 80 % des 1 200 les agents de la ville ont donc suivi une formation pour repérer les mails frauduleux présentant une adresse louche, par exemple. Au centre hospitalier de Vannes, l’attaque subie par Océalab en février n’a pas modifié les dispositifs de sécurité informatique mais accentue la vigilance. « On rappelle les règles de bons usages des systèmes d’information comme la prudence dans l’ouverture d’une pièce jointe », souligne Rolland Barel, directeur des systèmes d’information au Groupement Hospitalier Brocéliande Atlantique (GHBA).
4 Consolider les équipes techniques
4 à 5 % du chiffre d’affaires de MGDIS étaient consacrés à la sécurité en 2020. Cette année, il va augmenter de 0,8 %. Les clients sont de plus en plus sensibilisés aux risques de cyberattaques, les grandes collectivités locales créent des postes de responsable de la sécurité des systèmes d’information (RSSI) et embauchent des alternants en cyberdéfense. MGDIS en fait autant. « Embaucher un RSSI nous permet de mieux expliquer ce que l’on fait et de pouvoir dialoguer avec les RSSI de nos clients », expose Franck Mosser. « Les attaques en cyber vont s’accroître dans les années à venir. Investir dans la cybersécurité, ce n’est pas de l’argent jeté par les fenêtres », explique Thierry Maison, directeur de ByStamp, fournisseur de solutions en cybersécurité à Vannes. « C’est de l’investissement : il n’y a pas de valeur ajoutée pour le client mais si on ne fait rien, ça va nous coûter très cher », analyse Franck Mosser.