Skip to content

📰 Vu dans la presse : “On peut chiffrer le coĂ»t de maniĂšre assez simple” : comment le groupe Essor a dĂ©cidĂ© d’investir dans la sĂ©curitĂ© informatique

STRATÉGIE
MARDI 30 JANVIER 2024
Par LĂ©o Vidal-Giraud

Le groupe Essor est la cible de « 50.000 Ă  60.000 tentatives d’intrusion par mois »

SpĂ©cialisĂ© dans l’immobilier tertiaire, le groupe palois Essor a rĂ©cemment pris la dĂ©cision d’investir dans la sĂ©curitĂ© informatique. À l’origine de ce choix, la croissance de l’entreprise, mais aussi une cyberattaque dĂ©jouĂ©e. Comment estimer le coĂ»t du risque de sĂ©curitĂ©, quel format donner Ă  son investissement dans la sĂ©curitĂ©, comment Ă©duquer ses Ă©quipes Ă  ces enjeux…

Retour sur ces questions avec Elodie Lalanne-Larrieu, directrice générale déléguée en charge des fonctions support, et Maxime Chardin, responsable de la sécurité informatique.

Qu’est-ce qui a motivĂ© le groupe Essor Ă  investir dans la sĂ©curitĂ© informatique ?
Elodie Lalanne-Larrieu, directrice gĂ©nĂ©rale dĂ©lĂ©guĂ©e : En toute logique, ça ne devrait ĂȘtre ni le fait d’atteindre une certaine taille, ni celui d’ĂȘtre ciblĂ© par une tentative d’intrusion – rĂ©ussie ou Ă©chouĂ©e -, qui devrait faire s’intĂ©resser
l’entreprise Ă  la sĂ©curitĂ© de la donnĂ©e. Malheureusement, dans la vraie vie, c’est souvent le cas
 Pour nous, ç’a Ă©tĂ© les deux : il y a quatre mois, nous avons subi une attaque partielle, que nous avons pu maĂźtriser. Et la direction
gĂ©nĂ©rale avait pris la dĂ©cision de poser une politique de gestion des risques. Or, en gestion des risques, une cyberattaque rĂ©ussie, c’est un cygne noir : elle a peu de chances de rĂ©ussir, mais si elle rĂ©ussit c’est une catastrophe, et pour
certaines entreprises, c’est potentiellement mortel.

Comment estimer le coĂ»t potentiel d’une cyber-attaque ?
ELL : En fait, on peut chiffrer le coĂ»t de maniĂšre assez simple. Vous simulez une attaque, vous imaginez 100 personnes Ă  l’arrĂȘt pendant dix jours : c’est une perte de temps et d’argent monstrueuse : le coĂ»t temps-homme, plus le coĂ»t de la perte de la donnĂ©e, le coĂ»t de la remise en route
 et enfin, le coĂ»t en termes de confiance. Celui-lĂ , c’est du temps long. On peut avoir des clients qui ont des donnĂ©es sensibles, des industriels par exemple, c’est une obligation pour nous d’assurer la sĂ©curitĂ©. Nous avons aussi des engagements vis-Ă -vis de l’ensemble de nos parties prenantes, nos partenaires bancaires et financiers, les actionnaires du groupe, les salariĂ©s
 C’est aussi pourquoi ceux qui ont subi une attaque massive ont intĂ©rĂȘt Ă  rĂ©flĂ©chir sur leur communication de crise : il faut gĂ©rer en Ă©quipe, crĂ©er une cellule de crise Ă©tanche, travailler Ă  ce que l’on va faire heure par heure. C’est une situation trĂšs anxiogĂšne.

100.000 euros sur trois ans
Comment Essor a-t-il choisi de gérer ce risque ?
Maxime Chardin, responsable des systĂšmes d’information : Le choix que nous avons fait Ă©tait dans une optique de protĂ©ger nos donnĂ©es. On a fait des audits en interne : pour une entreprise de notre taille, il aurait fallu embaucher trois ou quatre personnes de plus, dont un analyste et une personne spĂ©cialisĂ©e dans la sĂ©curitĂ©. Mais en plus de ce coĂ»t, il y avait celui de la mise Ă  jour de leurs connaissances, ce sont des postes qui doivent toujours ĂȘtre en formation pour pouvoir rester dans la course technologique. Nous avons donc dĂ©cidĂ© d’externaliser cette surveillance chez un fournisseur tiers, qui se charge d’analyser toutes nos transactions de sĂ©curitĂ©.
ELL : C’est ce choix que l’on a fait de prendre une sociĂ©tĂ© tierce, qui nous garantit d’avoir des ingĂ©nieurs toujours formĂ©s up-to-date. Nous avons aussi dĂ©bloquĂ© une ligne budgĂ©taire pour renforcer la surveillance des outils de travail, des serveurs et de notre cloud, avec des antivirus de troisiĂšme gĂ©nĂ©ration [embarquant une intelligence artificielle et capables de dĂ©connecter immĂ©diatement du rĂ©seau un ordinateur infectĂ©, ndlr]. En rĂ©sumĂ©, c’est un investissement que nous avons dĂ©cidĂ© de faire au vu de notre structure, notre environnement, notre niveau de maturité  Il faut aussi prendre en compte le fait que la sĂ©curitĂ©, c’est plus facile si l’on n’a qu’un seul site. Nous sommes prĂ©sents sur plusieurs sites en France, un peu en Espagne Ă©galement
 Si nous Ă©tions une entreprise monde, ça serait encore diffĂ©rent.

À combien s’élĂšve cet investissement ?
Maxime Chardin : Le dispositif de surveillance externalisĂ©, c’est 100.000 euros sur trois ans. C’est beaucoup moins que d’internaliser trois ingĂ©nieurs sĂ©curitĂ©, qui aujourd’hui sont chassĂ©s par les entreprises pour des montants mirobolants. Ensuite, il faut ĂȘtre constamment proactif : tous les ans, il faut en remettre une couche, s’amĂ©liorer en continu. On ne peut pas se permettre de ne plus investir, on ne peut pas s’arrĂȘter quand on est bien protĂ©gĂ© Ă  un instant T. À cela s’ajoute le coĂ»t humain pour dĂ©ployer le systĂšme et le temps pour la gestion de projet, ainsi que le coĂ»t matĂ©riel. Tout le monde n’était pas Ă©quipĂ© de smartphones, on a dĂ» en fournir Ă  tous nos employĂ©s pour permettre de mettre en place un systĂšme de double authentification. Et il y a d’ailleurs toute la question de l’acceptation


L’enjeu de l’acceptabilitĂ©

Justement, l’acceptation est-elle un enjeu ? Comment les Ă©quipes rĂ©agissent-elles ?
ELL : Nos collaborateurs Ă©taient dĂ©jĂ  un peu sensibilisĂ©s, la question de la sĂ©curitĂ© est ancrĂ©e dans l’ADN d’Essor. C’est aussi liĂ© avec le profil de notre fondateur David Pouyanne, qui est banquier et connaĂźt donc ces enjeux. AprĂšs, on s’y est pris en communiquant, en expliquant. On informe, on sensibilise, on prĂ©vient : attention, en ce moment il y a une vague de spams, ne cliquez pas sur les liens suspects
 Et une fois par mois en codir, on informe sur le nombre de tentatives d’attaque subies le mois prĂ©cĂ©dent.
MC : Et elles ne vont pas en diminuant ! On prend entre 50 et 60.000 tentatives d’intrusion par mois, que ce soit sur les boĂźtes mail ou les liaisons internet des sites. Et l’émergence des IA rend les attaques plus dangereuses et
imprévisibles.
ELL : C’est beaucoup de pĂ©dagogie et de rappel des rĂšgles de bon sens, en particulier sur le matĂ©riel : faire attention Ă  son ordinateur, ne pas le laisser sur le siĂšge de sa voiture, le verrouiller dans le train. La double authentification crĂ©e aussi des routines : si vous ne dĂ©verrouillez pas, vous ne pouvez pas bosser !

Autres actualités :