Article extrait du n° 600 de Face au Risque : « Ingénierie de sécurité incendie » (mars-avril 2024).
En janvier 2020, Bouygues Construction a été victime d’une cyberattaque. Le cabinet de conseil en gestion de crise EH&A, qui accompagne le groupe Bouygues dans l’organisation de la gestion de crise, a vécu cette attaque aux côtés du comité de direction de Bouygues Construction. Emmanuelle Hervé, présidente et fondatrice d’EH&A, a recueilli la vision du responsable de la sécurité des systèmes d’information (RSSI) de l’époque, Thomas Degardin. Il est aujourd’hui coordinateur cybersécurité du groupe Bouygues.
En janvier 2020, Bouygues Construction est la cible d’une cyberattaque majeure. Pouvez-vous nous en parler ?
Thomas Dégardin. Bouygues Construction a été touchée par une cyberattaque de type “cryptolocker” dans la nuit du 29 au 30 janvier 2020. À l’époque, l’entreprise comptait un peu plus de 60 000 collaborateurs, 30 000 postes de travail et 3 000 serveurs. La première décision a été de couper l’alimentation électrique du système d’information, pour enrayer la propagation du virus. Imaginez un réseau déployé dans plus de 60 pays, plusieurs centaines d’applications majeures : tout cela à l’arrêt. Les équipes qui travaillaient sur ces systèmes ne pouvaient plus rien faire, ne pouvaient plus se connecter aux unités finances, traiter les fiches de salaires.
Nous avons basculé en mode crise. Le Comex de Bouygues Construction nous a donné immédiatement deux priorités : payer les salaires des collaborateurs (nous étions en fin de mois) et faire en sorte qu’aucun chantier ne s’arrête en permettant leur approvisionnement et le paiement des fournisseurs.
Comment s’est organisée la gestion de crise ?
T. D. Une cellule de crise opérationnelle côté DSI s’est mise en place, avec une organisation, pour tenir 24/7 car au début de la crise, c’est du non-stop. Une cellule décisionnelle s’est également mise en place au niveau du comité de management de Bouygues Construction, avec des interactions fréquentes entre les deux. Le rôle de la cellule décisionnelle était de donner les priorités de redémarrage pour que l’entreprise surmonte cette difficulté et elle laissait la cellule opérationnelle s’occuper des problématiques techniques. La grande difficulté était l’ampleur de la crise. Quand tout commence, nous ne savons pas trop ce qui nous tombe dessus. Au début, nous sommes dans le flou, la première difficulté est de savoir ce qu’il se passe. Les autres difficultés apparaissent au fur et à mesure.
Il y a eu, de plus, une concomitance des crises. Six, sept semaines après le démarrage de cette crise informatique, la pandémie du Covid-19 a débuté. Il a fallu travailler à la résolution de la crise tout en étant confinés. Cela a ajouté des cellules de crise dans la crise.
Face à ce type de crise, quelle est selon vous la stratégie à adopter ?
T. D. Je ne peux pas vous donner une stratégie magique parce qu’il n’y en a pas. Ce serait trop simple, nous l’aurions déjà tous. Le point qui me semble primordial c’est d’enclencher des investigations, du forensic. Si la situation devait se représenter, nous referions sans hésiter ces analyses. Si nous ne savons pas ce qu’il s’est passé, c’est extrêmement compliqué, voire impossible, de redémarrer en toute confiance. Ne pas conduire ces investigations, c’est comme jouer à la roulette russe, prendre des décisions et croiser les doigts. Ça ne fonctionne pas. Il faut se faire aider.
Vous pouvez préparer tous les plans de réponse, la situation sera toujours un peu différente. Chaque attaque est différente et il faut surtout savoir s’organiser pour y faire face et s’adapter continuellement. À mesure que la crise se poursuit, l’enquête apporte de nouveaux éléments qui permettent d’ajuster les actions, on s’adapte au fur et à mesure. La stratégie repose donc sur l’enquête. L’échange d’informations entre les cellules est la clé.
Et en ce qui concerne la communication de crise ?
T. D. Si l’entreprise ne communique pas, les hackeurs le feront. Ils ont des services de communication eux aussi. Si vous ne parlez pas en premier, il faudra traiter la parole de la partie adverse. Cela prend plus de temps de démontrer qu’un hackeur communique des informations incorrectes que d’annoncer, en premier, ce que vous savez ou ce que vous ne savez pas. Vous avez le droit de dire « pour l’instant on ne sait pas ».
Quels enseignements le groupe a-t-il tirés de cette crise ? Cela a-t-il changé la culture de la crise, en particulier cyber ?
T. D. À la suite de la cyberattaque, les trois mots souvent martelés par le DSI étaient : plus jamais ça. Plus jamais une crise avec une telle ampleur. Il est important de se reconstruire, de réorganiser. Cela a été une vraie prise de conscience et pas seulement du groupe, mais de moi aussi. La crise est une dose d’humilité XXL. Depuis, le sujet cyber a été saisi par la direction générale de façon encore plus précise, avec des suivis réguliers dans tous les métiers du groupe.
Vous êtes dans le milieu de la cybersécurité depuis 20 ans, comment la menace a-t-elle évolué ?
T. D. Le monde technique a bien sûr évolué, mais c’est finalement le rapport avec la menace qui a changé. C’est une course gendarme-voleur. Les attaquants étaient peut-être à une époque des adolescents en sweat à capuche dans un garage, mais ce sont maintenant de vraies organisations cybercriminelles très bien organisées, avec des processus de recrutement. Elles investissent du temps et de l’argent dans leurs attaques et doivent maximiser les résultats. Il faut vraiment prendre en compte cette évolution de la menace. De plus, l’approche traditionnelle qui consiste à se protéger tout seul ne suffit plus, il faut prendre en compte les fournisseurs et être dans une coopération étendue de toute la chaîne de production.
Pour lire la suite de cet article, vous pouvez cliquer sur l’image :
