ISRAELVALLEY SPECIAL. 220 millions d’euros de chiffre d’affaires. C’est ce qu’avait perdu Saint Gobain lors de l’attaque cyber NotPetya. Le directeur opérationnel du groupe était revenu publiquement sur les conséquences de cette attaque et avait fait des commentaires très précis.

Mais ce qui n’est pas connu, en dehors de quelques experts qui le savent, c’est que des firmes israéliennes (également américaines) de premier plan protègent (très probablement) depuis deux ans Saint-Gobain des cyber-attaques. « Secret-Défense » oblige, Le Groupe français n’en parle pas et aucun communiqué n’a été publié à ce jour.

Les israéliens ne révèlent jamais les noms de leurs clients (accords de confidentialité très stricts), surtout en France. IsraelValley ne peut en dire plus! Sécurité oblige. (IsraelValley)

Orange : « Les sociétés font face à des dangers sans précédent en matière de cyber-risques : fraude, interruption d’activité, intrusion, perte ou divulgation d’informations, etc. Les risques se diversifient et leurs sources également, de l’employé mécontent à l’attaque étatique. Aujourd’hui, même les plus petites structures, qui étaient auparavant moins attaquées et moins dépendantes de leur système d’information, sont concernées ».

Selon usinenouvelle.com:

« Il y a un avant et un après l’attaque NotPetya », c’est avec ces mots que Claude Imauven, numéro 2 du groupe français, est revenu sur la cyberattacque, subie au début de l’été dernier, par Saint Gobain. En 2017 l’entreprise française est attaquée depuis sa filiale en Ukraine. « Le virus NotPetya a contaminé les ordinateurs via un logiciel de l’administration fiscale ukrainienne auquel les entreprises doivent se connecter », raconte le dirigeant. En quelques minutes, des milliers de données sont cryptées, impossible à récupérer. La direction de suspendre les réseaux.

Résultat : des systèmes de commandes et de facturation informatique bloqués. Les réseaux de distribution du groupe, Point P et Lapeyre, ont du revenir au stylo et au papier pour rédiger les bons de commande et les transmettre manuellement. Quatre jours de gestion de crise, 10 pour que l’activité reprenne totalement mais aujourd’hui, la société Saint Gobain dit être sortie grandie de cette expérience malheureuse.

Car malgré les pertes considérables, la cyberattaque a également été, pour le groupe dont la transformation digitale s’est accélérée ces dernières années, l’occasion de remettre à plat un certain nombre de process. « Les outils digitaux sont de formidables instruments mais ils sont également très vulnérables. Nous en avons fait les frais avec cet épisode et avons dû travailler à la construction d’un infrastructure plus résistante », précise Claude Imauven.

Dans les mois qui ont suivi, Saint Gobain s’est donc attelé au renforcement de sa politique de cyberdéfense avec un plan d’action en quatre points : identification des risques, détection des failles, réaction et résilience. Pour Claude Imauven, ce dernier point est le plus important, « apprendre à travailler en mode dégradé pour ne pas briser la continuité est l’aspect le plus central d’une bonne gestion des risques ». Cela passe notamment par une hiérarchisation de la criticité des différents actifs et par des actions de préventions, par l’identification des différents solutions de repli ainsi que par la mobilisation des différentes équipes en interne

LA SÉCURITÉ INFORMATIQUE : 15% DU BUDGET IT

Opération de phishing, test d’intrusion… Aujourd’hui, l’entreprise organise régulièrement des tests grandeur nature pour sensibiliser les collaborateurs aux différentes menaces. Et les fournisseurs ne sont pas en reste puisque Saint Gobain exige désormais que ceux qui se connectent directement au système du groupe soient cyber-vertueux « une condition sine-qua-non aujourd’hui pour nous » confie le chief operation officer.

En parallèle, l’entreprise qui n’était pas couverte comme ce type de risques au moment de l’événement a entrepris de s’assurer contre les cyberattaques. Sans vouloir divulguer le montant assuré, Claude Imauven confirme l’idée souvent admise que la sécurité des systèmes d’information représente entre 10 et 15% du budget du département.

Un coût important mais qui reste un pourcentage minime par rapport aux risques engendrés « L’attaque du mois de juin nous a permis d’avoir une vision de ce que cela peut nous coûter au maximum… », explique Claude Imauven avant de s’interroger, « Saint Gobain a pu résister parce qu’il s’agit d’une grosse structure mais quid de la PME ou de l’ETI ? »

Partager :