Skip to content

đź“° Vu dans la presse : “On peut chiffrer le coĂ»t de manière assez simple” : comment le groupe Essor a dĂ©cidĂ© d’investir dans la sĂ©curitĂ© informatique

STRATÉGIE
MARDI 30 JANVIER 2024
Par LĂ©o Vidal-Giraud

Le groupe Essor est la cible de « 50.000 Ă  60.000 tentatives d’intrusion par mois »

SpĂ©cialisĂ© dans l’immobilier tertiaire, le groupe palois Essor a rĂ©cemment pris la dĂ©cision d’investir dans la sĂ©curitĂ© informatique. Ă€ l’origine de ce choix, la croissance de l’entreprise, mais aussi une cyberattaque dĂ©jouĂ©e. Comment estimer le coĂ»t du risque de sĂ©curitĂ©, quel format donner Ă  son investissement dans la sĂ©curitĂ©, comment Ă©duquer ses Ă©quipes Ă  ces enjeux…

Retour sur ces questions avec Elodie Lalanne-Larrieu, directrice générale déléguée en charge des fonctions support, et Maxime Chardin, responsable de la sécurité informatique.

Qu’est-ce qui a motivé le groupe Essor à investir dans la sécurité informatique ?
Elodie Lalanne-Larrieu, directrice gĂ©nĂ©rale dĂ©lĂ©guĂ©e : En toute logique, ça ne devrait ĂŞtre ni le fait d’atteindre une certaine taille, ni celui d’être ciblĂ© par une tentative d’intrusion – rĂ©ussie ou Ă©chouĂ©e -, qui devrait faire s’intĂ©resser
l’entreprise Ă  la sĂ©curitĂ© de la donnĂ©e. Malheureusement, dans la vraie vie, c’est souvent le cas… Pour nous, ç’a Ă©tĂ© les deux : il y a quatre mois, nous avons subi une attaque partielle, que nous avons pu maĂ®triser. Et la direction
générale avait pris la décision de poser une politique de gestion des risques. Or, en gestion des risques, une cyberattaque réussie, c’est un cygne noir : elle a peu de chances de réussir, mais si elle réussit c’est une catastrophe, et pour
certaines entreprises, c’est potentiellement mortel.

Comment estimer le coût potentiel d’une cyber-attaque ?
ELL : En fait, on peut chiffrer le coĂ»t de manière assez simple. Vous simulez une attaque, vous imaginez 100 personnes Ă  l’arrĂŞt pendant dix jours : c’est une perte de temps et d’argent monstrueuse : le coĂ»t temps-homme, plus le coĂ»t de la perte de la donnĂ©e, le coĂ»t de la remise en route… et enfin, le coĂ»t en termes de confiance. Celui-lĂ , c’est du temps long. On peut avoir des clients qui ont des donnĂ©es sensibles, des industriels par exemple, c’est une obligation pour nous d’assurer la sĂ©curitĂ©. Nous avons aussi des engagements vis-Ă -vis de l’ensemble de nos parties prenantes, nos partenaires bancaires et financiers, les actionnaires du groupe, les salariĂ©s… C’est aussi pourquoi ceux qui ont subi une attaque massive ont intĂ©rĂŞt Ă  rĂ©flĂ©chir sur leur communication de crise : il faut gĂ©rer en Ă©quipe, crĂ©er une cellule de crise Ă©tanche, travailler Ă  ce que l’on va faire heure par heure. C’est une situation très anxiogène.

100.000 euros sur trois ans
Comment Essor a-t-il choisi de gérer ce risque ?
Maxime Chardin, responsable des systèmes d’information : Le choix que nous avons fait était dans une optique de protéger nos données. On a fait des audits en interne : pour une entreprise de notre taille, il aurait fallu embaucher trois ou quatre personnes de plus, dont un analyste et une personne spécialisée dans la sécurité. Mais en plus de ce coût, il y avait celui de la mise à jour de leurs connaissances, ce sont des postes qui doivent toujours être en formation pour pouvoir rester dans la course technologique. Nous avons donc décidé d’externaliser cette surveillance chez un fournisseur tiers, qui se charge d’analyser toutes nos transactions de sécurité.
ELL : C’est ce choix que l’on a fait de prendre une société tierce, qui nous garantit d’avoir des ingénieurs toujours formés up-to-date. Nous avons aussi débloqué une ligne budgétaire pour renforcer la surveillance des outils de travail, des serveurs et de notre cloud, avec des antivirus de troisième génération [embarquant une intelligence artificielle et capables de déconnecter immédiatement du réseau un ordinateur infecté, ndlr]. En résumé, c’est un investissement que nous avons décidé de faire au vu de notre structure, notre environnement, notre niveau de maturité… Il faut aussi prendre en compte le fait que la sécurité, c’est plus facile si l’on n’a qu’un seul site. Nous sommes présents sur plusieurs sites en France, un peu en Espagne également… Si nous étions une entreprise monde, ça serait encore différent.

À combien s’élève cet investissement ?
Maxime Chardin : Le dispositif de surveillance externalisĂ©, c’est 100.000 euros sur trois ans. C’est beaucoup moins que d’internaliser trois ingĂ©nieurs sĂ©curitĂ©, qui aujourd’hui sont chassĂ©s par les entreprises pour des montants mirobolants. Ensuite, il faut ĂŞtre constamment proactif : tous les ans, il faut en remettre une couche, s’amĂ©liorer en continu. On ne peut pas se permettre de ne plus investir, on ne peut pas s’arrĂŞter quand on est bien protĂ©gĂ© Ă  un instant T. Ă€ cela s’ajoute le coĂ»t humain pour dĂ©ployer le système et le temps pour la gestion de projet, ainsi que le coĂ»t matĂ©riel. Tout le monde n’était pas Ă©quipĂ© de smartphones, on a dĂ» en fournir Ă  tous nos employĂ©s pour permettre de mettre en place un système de double authentification. Et il y a d’ailleurs toute la question de l’acceptation…

L’enjeu de l’acceptabilitĂ©

Justement, l’acceptation est-elle un enjeu ? Comment les Ă©quipes rĂ©agissent-elles ?
ELL : Nos collaborateurs étaient déjà un peu sensibilisés, la question de la sécurité est ancrée dans l’ADN d’Essor. C’est aussi lié avec le profil de notre fondateur David Pouyanne, qui est banquier et connaît donc ces enjeux. Après, on s’y est pris en communiquant, en expliquant. On informe, on sensibilise, on prévient : attention, en ce moment il y a une vague de spams, ne cliquez pas sur les liens suspects… Et une fois par mois en codir, on informe sur le nombre de tentatives d’attaque subies le mois précédent.
MC : Et elles ne vont pas en diminuant ! On prend entre 50 et 60.000 tentatives d’intrusion par mois, que ce soit sur les boîtes mail ou les liaisons internet des sites. Et l’émergence des IA rend les attaques plus dangereuses et
imprévisibles.
ELL : C’est beaucoup de pédagogie et de rappel des règles de bon sens, en particulier sur le matériel : faire attention à son ordinateur, ne pas le laisser sur le siège de sa voiture, le verrouiller dans le train. La double authentification crée aussi des routines : si vous ne déverrouillez pas, vous ne pouvez pas bosser !

Autres actualités :