«On retrouve les mêmes préoccupations quel que soit le secteur d'activité. Ce qui va les faire varier, c'est la chaîne de valeur », ouvre Mickael Maindron, fondateur du cabinet de conseil Akvize, et consultant en technologies de l'information. Tous les utilisateurs se méfient aujourd'hui des spams en anglais bourrés de fautes, mais les attaques sont devenues plus subtiles. L'an dernier, un éditeur a subi une tentative d'arnaque au virement : l'escroc prétextait des retours pour obtenir un remboursement. C'est la banque, surprise par le montant de l'opération, qui a soupçonné une fraude, bloqué le virement et prévenu l'entreprise. 

Préjudice incalculable

Le SNE s'est alors inquiété des risques de cyberattaques pour ses membres, et ses craintes se sont rapidement confirmées car les maisons d'édition ne semblaient pas du tout informées des risques de cyberattaques pesant sur les TPE / PME. Il a fait appel à Anthony Sitbon, directeur Sécurité du cabinet Lexing Technologies, pour animer en avril 2024 un webinaire de prévention. Ce spécialiste du conseil en cybersécurité, qui était déjà intervenu auprès de la Sacem, a alerté les participants sur le risque d'une double peine. « Les maisons d'édition et les distributeurs manient des flux financiers, mais aussi des données personnelles dont ils sont responsables, rappelle-t-il. Si elles fuitent, ils risquent d'être sanctionnés par la Cnil en cas de faille. »

Au-delà de la perte financière, le préjudice d'une attaque en termes d'image est incalculable : le « name and shame » pratiqué par la Cnil est plus percutant que l'amende et discrédite l'entreprise touchée.

Éditeur, imprimeur, auteur... Tout le monde peut être visé

La première précaution à prendre est de protéger les flux d'information, en formant tous les acteurs de la chaîne, notamment les éditeurs, les auteurs, les traducteurs ou les correcteurs, car tout le monde peut être visé. « On pense en premier à la fraude bancaire, explique Mickael Maindron. Or le pirate peut agir par pure malveillance, et ça fait encore plus mal. » Le piratage des livres numériques engendre une perte économique importante mais la manipulation d'un manuscrit sur les serveurs de l'éditeur ou de l'imprimeur se révélera catastrophique en termes de réputation. « Imaginez qu'une personne mal intentionnée modifie juste avant l'impression le texte d'une enquête sensible, ou le témoignage d'un ministre... poursuit le consultant. Le préjudice pour l'éditeur et l'auteur serait incalculable. » Il recommande de sauvegarder les fichiers sensibles hors ligne, sur un ordinateur non connecté, une clé USB ou un cloud sécurisé.

Le règlement général de protection des données (RGPD) préconise de sécuriser le traitement de données personnelles, par le chiffrement des données, et l'une des précautions de base est de mettre un mot de passe sur les pièces jointes Excel ou PDF. Même si un pirate le casse, il reste utile en cas d'erreur de destinataire.

Les pirates utilisent deux types de failles, les erreurs des utilisateurs et les faiblesses techniques. Le premier maillon faible, c'est le même mot de passe utilisé pour tous les accès pro et perso. Les pirates peuvent le deviner grâce aux données volées sur d'autres sites, comme lors de l'attaque sur Free qui a touché 24 millions de personnes. Ils l'utilisent ensuite pour recouper les informations sur l'utilisateur, et le piéger.

« Les attaques se sont industrialisées, c'est une mafia, détaille Mickael Maindron, qui conseille des fonds d'investissements. Des robots surveillent les cessions de sociétés, ils retrouvent les dirigeants, puis les pirates tentent des opérations de fraude bancaire au moment des échanges financiers. » Un mot de passe de huit caractères (ce qui était recommandé en 2017) est cassé en 34 secondes. On recommande aujourd'hui d'utiliser des passe-phrases incluant des minuscules, majuscules, chiffres et caractères spéciaux, du type *JeDetestem@ria28, selon l'exemple d'Anthony Sitbon.

Le phishing personnalisé, c'est-à-dire l'hameçonnage par mail ou SMS, est devenu plus retors. Les pirates envoient la pièce jointe d'un site connu de l'utilisateur, ou pire, un mail avec un lien du type « Philippe a partagé un document avec vous » et pointant soi-disant vers le cloud de l'entreprise.

« L'arnaque au président », qui consiste à se faire passer pour l'un des responsables de la société et à donner une fausse consigne au salarié, s'est perfectionnée grâce à l'IA. Le fax trafiqué est remplacé par de fausses vidéos. En février 2024, à Hong-Kong, l'employé d'une entreprise a été piégé en visio et a discuté avec trois deepfakes. Persuadé d'échanger avec son directeur financier, il a viré 25 millions de dollars sur le compte des pirates.

Prévenir coûte (beaucoup) moins cher que guérir

Du côté technique, la mise à jour régulière des pare-feu et des logiciels limite les risques d'attaques par les cryptolockers, ou ransomware, les logiciels de type cheval de Troie, qui permettent à un pirate d'entrer dans le système informatique, et d'en prendre le contrôle. La résistance des systèmes peut être testée par des techniciens externes, qui effectuent des simulations d'attaque.

L'autre point faible est l'utilisation de serveurs ou de clouds mal protégés. Anthony Sitbon cite le cas de traducteurs qui recevaient des manuscrits sur un serveur non sécurisé : les ouvrages ont été pompés par des robots et mis en ligne sur des sites de piratage.

Mickael Maindron insiste sur l'importance de prévoir des plans de crise et de continuité de l'activité en cas d'attaque. Certaines sont capables de paralyser totalement l'activité. Les pirates peuvent bloquer les serveurs, garder les données en otage, et exiger une rançon en échange de la clé de déchiffrement. Il faut isoler les équipements touchés, refuser de payer, préserver les preuves et bien sûr, déposer plainte. « Même dans le cas où l'on paye la rançon, il y a le risque de notoriété et celui de la dispersion d'informations sensibles », souligne Mickael Maindron. Le rôle de chacun, Délégué à la protection des données (DPO), Direction des systèmes d'information (DSI), soutien juridique, équipes métier, doit être formalisé et testé. Le plan de crise permet de poursuivre l'activité de l'entreprise, de préserver son image et de limiter la casse économique.

Exercices réguliers

La sécurité informatique repose sur la préparation, martèlent Anthony Sitbon et Mickael Maindron. Les managers doivent comprendre le risque cyber. La première étape est de dresser un état des lieux des risques précis, simple, clair, compréhensible pour les collaborateurs et faire une analyse de risque en observant le travail des équipes et en dressant la liste des points faibles.

Comme pour la protection incendie, il faut organiser des exercices de cybersécurité une fois par an, en envoyant de fausses campagnes d'hameçonnage pour mesurer les besoins de formation des utilisateurs, puis en les renouvelant quelque temps plus tard afin de vérifier que les procédures de sécurité mises en place ont été comprises et sont suivies. « C'est important pour ajuster les formations et montrer à la Cnil qu'on a mis en place les actions nécessaires », rappelle Anthony Sitbon.

 « Les entreprises ont toutes honte de se faire pirater, ajoute Mickael Maindron, mais il faut oser en parler et prendre conscience du danger. Si on n'anticipe pas, on le paye très cher. Mieux vaut prévoir la catastrophe et être serein. »