Alors que l’année touche à sa fin, Hiscox, spécialiste de l’assurance cyber, revient sur les attaques informatiques les plus marquantes des douze derniers mois.

« Avec la généralisation du télétravail, le risque cyber s’est intensifié. L’enjeu actuel pour les entreprises est d’éviter un effet “boule de neige”, où les répercussions d’une cyberattaque viendraient s’ajouter à un état de faiblesse économique, avec des conséquences désastreuses. Il est donc crucial de sécuriser efficacement son système informatique, mais aussi de se préparer efficacement à l’éventualité d’un cyber-incident pour en juguler rapidement les conséquences directes et indirectes », déclare Frédéric Rousseau, Responsable de Marché Cyber chez Hiscox Assurances France.

1. Estée Lauder

Le 30 janvier, plus de 440 millions de données du groupe de cosmétique Estée Lauder se sont retrouvées en libre accès. Rapidement repérée et prise en charge par l’entreprise, cette faille ne concernait pas directement des données personnelles de clients mais des informations internes à l’entreprise (audits, rapports, adresses mails professionnelles...). Heureusement, le cyber incident s’est arrêté là. L’attaque aurait pu avoir des conséquences indirectes bien plus regrettables en affectant notamment la réputation de l’entreprise. Selon le rapport Hiscox sur la gestion des cyber risques, de nombreuses entreprises victimes de cyberattaque ont constaté une perte de confiance auprès de leurs prospects (15 %), de leurs clients (11 %) mais également de leurs partenaires commerciaux (12 %).

2. Bouygues Construction

Quelques jours plus tard, c’est au tour du géant du BTP Bouygues Construction d’être victime d’une attaque informatique. A la suite de l’intrusion dans son système d’information d’un logiciel malveillant, l’accès aux données et documents internes de l’entreprise a été bloqué, provoquant la paralysie des activités supports du groupe (facturation, fiches de paie...). Par mesure de précaution et afin de limiter la propagation du virus informatique, le système a été automatiquement suspendu... Mais les pirates ont mis la main sur des données confidentielles et réclament une forte rançon de plusieurs millions de dollars ! Un cas loin d’être isolé. Les attaques de ransomwares ou rançongiciels sont les plus lucratives pour les pirates. Selon Hiscox, à elles seules, les demandes de rançon concentrent 19 % des attaques, soit une perte totale de 346 millions d’euros l’année passée.

3. AP-HP

En pleine crise sanitaire et alors que des centaines de patients affluent dans les services de réanimation, une partie des serveurs informatiques de l’AP-HP constate un déni de service. Brutalement, ce sont des milliers de requêtes inutiles qui s’accumulent et paralysent les serveurs une heure durant. Heureusement sans impact sur le fonctionnement opérationnel et l’offre de soin de l’hôpital, cette attaque souligne l’opportunisme des hackers qui n’hésitent pas à frapper des institutions déjà sous pression. La vigilance est d’autant plus de mise que, pour de nombreuses entreprises et organismes, les risques de failles sont fortement accrus. La crise sanitaire et les confinements successifs ont entraîné un recours massif au télétravail : face à l’urgence, faute de moyens ou de conscience du risque, certaines entreprises ont transigé sur la sécurité de leurs outils de travail (utilisation de réseaux et ordinateurs domestiques notamment), alors même que ceux-ci peuvent être sécurisés de manière appropriée.

4. Marriott

En avril, plus de 52,2 millions de données client du Groupe Marriott sont subtilisées. Le pirate a utilisé les identifiants de deux employés pour accéder au backend de l’application de fidélisation de la chaîne hôtelière, dévoilant ainsi les coordonnées, les données personnelles ou encore les préférences de certains clients. L’enquête en cours indique qu’aucun mot de passe, ni login, ni coordonnées bancaires ou passeport n’ont été consultés. Mais cet incident souligne l’importance de veiller à la sécurisation des accès (mot de passe fort, authentification à double facteur) ainsi qu’à la formation des salariés dans la prévention des cyber menaces. Or, d’après le rapport Hiscox, seules 25 % des entreprises ont investi en 2019 dans la formation de leurs salariés suite à un cyber incident.

5. Easyjet

En mai, la compagnie aérienne EasyJet annonce avoir été victime d’une cyberattaque d’ampleur, alors qu’elle est déjà largement fragilisée par la crise sanitaire qui immobilise sa flotte sur le tarmac. Plus de 9 millions de données de clients (adresses e-mails et information de voyage), dont 2 000 données de cartes bancaires ont été illégalement consultées. Une offensive ciblée et très sophistiquée au vu de la quantité massive de données volées, qui laisse présager un risque important d’hameçonnage. EasyJet a su faire preuve de réactivité et est entré rapidement en contact avec les clients concernés pour les tenir informés des mesures de protection à suivre. Contre ces pratiques, la formation et la sensibilisation des salariés restent la meilleure réponse.

6. Leetchi

La générosité des collègues, amis ou soutiens divers, a également pâti des hackers en 2020 : en raison d’une faille du bouton "Je participe", les informations personnelles des participants aux cagnottes en ligne Leetchi (prénom, nom, la date de naissance, adresse e-mail et coordonnées GPS) se sont retrouvées exposées en clair et aux yeux de tous dans le code source de la page cagnotte du site internet. Un incident qui aurait pu avoir des conséquences regrettables pour l’entreprise de collecte de fonds : si les cagnottes privées sont accessibles uniquement via les liens envoyés aux participants, les cagnottes publiques sont, quant à elles, indexées facilement par les moteurs de recherche, cela revient donc à exposer en open web les données personnelles des donateurs et amplifie le risque de phishing.

7. L’Université de Californie à San Francisco

En juin, la célèbre Université de Californie à San Francisco (UCSF) a été victime d’une cyberattaque par ransomware paralysant l’accès aux données de son réseau informatique. Malgré une réaction rapide et la déconnexion des ordinateurs, les spécialistes informatiques de l’établissement universitaire n’ont pas été en capacité de stopper la propagation du virus dans leurs systèmes, comportant notamment des données sensibles selon le FBI. Au final, l’Université s’est résolue à payer une rançon d’environ un million d’euros. A noter qu’en 2019, 411 attaques par ransomware ont été comptabilisées parmi les 350 entreprises sondées par Hiscox. Rien qu’en France, 18 % des entreprises ont payé une rançon en 2019 suite à une cyberattaque.

8. CMA CGM

Deuxième attaque en six mois pour CMA CGM : fin septembre la compagnie de transport maritime subit une nouvelle fois l’intrusion d’un logiciel malveillant. Visant les serveurs périphériques du groupe, celle-ci n’a eu qu’un impact sur l’interface avec l’extérieur. Immédiatement alertée de la faille, la compagnie a suspendu tous les accès externes pour éviter la propagation du virus informatique. Une demande de rançon a été émise par le pirate, l’enquête est toujours en cours. Cet exemple montre qu’une attaque peut malheureusement toucher deux fois une même victime. Or, selon le rapport Hiscox sur la gestion des cyber risques, un tiers seulement (32%) des entreprises effectuent une évaluation régulière de la sécurité à la suite d’une cyberattaque et 26% adoptent de nouvelles exigences de sécurité.

9. L’Hôpital Düsseldorf

En octobre, après une cyberattaque, l’Hôpital de Düsseldorf n’a plus accès à certaines données médicales. Le service hospitalier allemand se voit alors dans l’obligation de renoncer à certaines opérations chirurgicales et de procéder aux transferts des malades vers d’autres hôpitaux de la région. Conséquence dramatique : une patiente en état critique n’a pas survécu au trajet en ambulance. Disparus dans la nature, le ou les coupables font actuellement l’objet d’une enquête pour homicide par négligence.

10. L’agence européenne des médicaments / Laboratoire Pfizer

Récemment, l’Agence européenne des médicaments (AEM), qui délibère actuellement sur la délivrance d’autorisations à plusieurs vaccins contre le Covid-19, a été la cible d’une cyberattaque. Certains documents relatifs à la soumission réglementaire pour le vaccin de Pfizer et BioNTech, stockés sur un serveur de l’EMA, ont été consultés illégalement. A ce stade, aucune garantie n’a encore été apportée quant à la protection de l’identité des participants à l’étude clinique menée par les deux laboratoires. L’AEM assure en revanche que la cyberattaque n’aura pas d’impact sur le calendrier de son examen. Outre la sensibilité des données consultées par les pirates, sur un sujet aux enjeux planétaires, cet incident rappelle que la cyber menace peut également venir de la défaillance d’un prestataire externe. Or, selon le rapport Hiscox sur la gestion des cyber risques, seules 40% des entreprises s’assurent que leurs partenaires commerciaux ou intermédiaires se conforment aux exigences de sécurité requises.