Cybercriminalité
Marc Sztulman est avocat en droit administratif. Il exerce à Toulouse. Depuis deux ans, il est conseiller régional en Occitanie, en charge du 'Numérique pour tous'. Depuis mars dernier, il préside Cyber'Occ, une association régionale de sensibilisation et d'accompagnement de premier secours à destination des PME-TPE - notamment agricoles - victimes d'actes cybercriminels.
"Les tracteurs, les moissonneuses, les pulvérisateurs, les systèmes d'arrosage sont connectés entre eux, et aussi aux satellites. Une volonté de malveillance peut facilement saccager un système en le modifiant à distance", explique Marc Sztulman, avocat en droit public et président de Cyber'Occ.
© Crédit photo : Marc Sztulman
Les entreprises agricoles ont-elles un risque d'être attaquées par des cybercriminels ?
Marc Sztulman : "Le secteur agricole - comme toutes les entreprises - est exposé à deux types de risques : les risques généraux et les risques spécifiques. Dès que l'on a une adresse mail, un ordinateur, un objet connecté... on peut être le sujet d'une attaque criminelle. Les tentatives d'intrusion sur les systèmes d'information sont fréquentes : des malwares qui cryptent les données et demandent une rançon. Des actes aussi appelés 'rançonware' ou 'rançongiciels'. Cela arrive dans les hôpitaux, les banques, les transports, les PME. Pourquoi pas le secteur agricole ? Les entreprises y sont de plus en plus informatisées. Et elles aussi utilisent des objets connectés sur les parcelles et dans le travail quotidien : station météo, systèmes d'alerte de gel, robots de désherbage ou de taille, systèmes d'irrigation commandée à distance, drones, etc. Bien sûr ces appareils doivent répondre à des normes réglementaires établissant la responsabilité des fournisseurs d'objets numériques. Leur niveau de responsabilité sera d'ailleurs augmenté d'ici à octobre 2024 par une nouvelle loi NIS2, en application d'une directive européenne publiée en juin 2022 (Network and Information Security). Mais des attaques spécifiques peuvent cibler l'appareil de production via ces objets connectés (IOT : Internet des objets). Les tracteurs, les moissonneuses, les pulvérisateurs, les systèmes d'arrosage sont connectés entre eux, et aussi aux satellites. Une volonté de malveillance peut facilement saccager un système en le modifiant à distance. Dans une entreprise industrielle d'un autre secteur, des hackeurs avaient introduit un virus intelligent dans un logiciel de commande d'ouverture de valves, et ce, sans que l'indicateur à l'écran de contrôle du process industriel ne soit modifié. Résultat : la production d'un acier cassant car fabriqué, à l'insu de l'entreprise, avec un taux de fer moindre."
Quels facteurs favorisent ou accroissent ce risque ? Quelles sont les conséquences pour l'entreprise ?
M.S. : "Les entreprises agricoles sont des entreprises à forte valeur capitalistique avec beaucoup d'immobilisations et potentiellement une capacité à "sortir des grosses sommes d'argent". Souvent, de gros montants transitent en entrée ou sortie dans la comptabilité agricole. Achat d'un tracteur, de produits phytosanitaires, aides de la Pac. C'est ce que recherchent les hackeurs : aussi, les coopératives et les agriculteurs vont devenir des cibles.
De plus, les productions agricoles sont des produits fragiles avec des cycles de vie vulnérables. Toute variation des paramètres de commandes peut constituer des menaces, donc des cibles : des couveuses, dont on abaisserait la température de quelques degrés ; des produits phytosanitaires, dont on changerait la composition ; une irrigation coupée ou surabondante ; une rupture de la chaîne du froid. Les biens à durée de vie courte sont des cibles faciles pour des pirates, car ils savent qu'ils pourront être payés vite."
Avez-vous des exemples d'entreprises qui ont vécu un acte de malveillance cybercriminelle ?
M.S. : "Bien sûr, je ne peux pas communiquer sur les actes auxquels des entreprises agricoles que je connais ont pu être confrontées. Cependant, je peux citer un exemple dans un pays d'Europe où une entreprise de fournitures de semences avait été piratée par un acteur malveillant. Les pirates avaient strictement recopié le site de commandes de cette entreprise, et plusieurs producteurs avaient utilisé cette fausse plate-forme pour passer leur commande annuelle et payer en ligne ; ce qui peut représenter des sommes importantes. Il a fallu qu'un producteur s'inquiète de ne pas recevoir sa commande et contacte le 'vrai' fournisseur pour que celui-ci découvre que son identité avait été usurpée.
Dans un autre registre, 'l'arnaque au président' est assez répandue. Imaginez un vendredi après-midi, veille de week-end prolongé, dans une grosse structure. Un comptable reçoit un appel d'une personne se faisant passer pour le président : "On vous met dans la confidence, c'est très urgent, il y a un gros risque de perte d'exploitation. Il faut virer 500 000 sur tel compte. "S'en suivent d'autres appels d'un faux avocat, faux expert-comptable, qui confortent l'histoire. Certains mordent à l'hameçon et reviennent cinq jours plus tard constater leur erreur. De honte, personne ne veut ensuite témoigner."
Qu'est-ce qui vous a amené à vous intéresser à la cybercriminalité ?
M.S. : "Durant mes études de droit, dans les années 2000, j'avais une appétence particulière pour l'encadrement juridique des outils numériques. Par exemple, comment ces technologies en développement pouvaient interagir avec les libertés publiques. J'ai alors effectué une thèse de doctorat sur ce thème à l'Université de Toulouse : 'La biométrie saisie par le droit public, étude sur l'identification et la localisation des personnes physiques'. Lorsque j'ai été élu comme conseiller régional il y a deux ans, on m'a confié le portefeuille du 'numérique pour tous' et dans ce sillage, j'ai rejoint l'association Cyber'Occ, dont je suis devenu le président."
Quels sont les bons réflexes à avoir en matière de protection contre la cybercriminalité ?
M.S. : "Le premier conseil est évidemment de ne pas avoir dans son ordinateur un fichier nommé 'mots de passe' et contenant justement tous les mots de passe de toutes les applications. Ensuite, les entreprises oublient trop souvent d'inscrire dans leur comptabilité un budget de fonctionnement 'maintenance', pourtant nécessaire à entretenir un certain niveau de sécurité. Tout le monde peut être un jour attaqué sur Internet, se retrouver avec une session de travail ou un logiciel bloqué, et une demande de rançon.
Mais il faut faire attention aussi à toutes ces entreprises ou consultants qui promettent de vous tirer d'affaire moyennant une facture salée. De fait, il y a beaucoup'd'artistes' qui affirment être compétents en cybersécurité et ne le sont pas. Les marchés qui fonctionnent sur la peur attirent les escrocs ! Suite au blocage d'un système, certains pourront proposer de vous sauver pour 15 000 € alors que 300 € suffiraient. Contacter un CSIRT régional (Computer Security Incident Response Team) peut être une bonne solution, pour avoir une réponse gratuite et fiable de premier niveau. Ensuite, la structure vous mettra en relation avec des prestataires professionnels. En Occitanie, l'association Cyber'Occ a demandé à chaque entreprise de cybersécurité de signer une charte de bonne conduite, et nous organisons des réunions de travail par secteur. Si elles participaient à ce travail de groupe, les entreprises cyber qui ne sont pas au niveau seraient vite repérées par les pros. Alors les'non compétentes' n'intègrent pas le réseau. C'est la bonne nouvelle de ce secteur d'activité : le monde de la cybersécurité est un milieu particulier avec des valeurs humaines très fortes. Et les vrais professionnels détestent les escrocs."
ZOOM sur...-
"Ce qui est capital lorsque l'on vit une cyberattaque, quelle qu'en soit la taille, c'est de ne pas rester isolé. Ne rien dire à personne parce que l'on se sent piteux, est le meilleur moyen de faire augmenter les dégâts." C'est autour de cette constatation que l'agence de développement économique d'Occitanie (Ad'Occ) avait, dans un premier temps, mis sur pied un service dédié aux entreprises de petite taille PME-TPE : un objectif de sensibilisation aux risques, et une sorte de hotline avec réponse de premier niveau face à un acte cybercriminel. De cette initiative est née, en mars 2023, l'association Cy-ber'Occ. Elle offre un centre de ressources et service d'urgence de premier niveau, public et gratuit aux TPE, associations ou collectivités. Dans un second temps, l'association peut diriger l'entreprise victime vers des prestataires qualifiés et 'sérieux', pour les aider à mettre en place une sécurité informatique sur mesure. Depuis son ouverture, 100 questions d'entreprises ont été adressées. Cyber'Occ a son homologue dans l'ensemble des régions françaises : 12 Computer Security Incident Response Teams (CSIRT régionaux) ont ainsi vu le jour dans le sillage du Plan France relance de 2021, dont Urgence Cyber région Sud.
ICI
Votre encart
publicitaire !
LANGUEDOC
Désherbage
Savonnerie du Regagnas
Publiez facilement vos annonces légales dans toute la France.
Grâce à notre réseau de journaux partenaires.
Attestation immédiate, service 24h/24, 7 jours/7
Chaque semaine, retrouvez toute l'actualité de votre département, des infos techniques et pratiques pour vous accompagner au quotidien...
Découvrez toutes nos formulesInscrivez-vous GRATUITEMENT à nos newsletters pour ne rien rater de notre actualité !
S'abonner