Chez Saint Gobain, “il y un avant et un après la cyber-attaque”

220 millions d’euros de chiffre d’affaires. C’est ce qu’a perdu Saint Gobain lors de l’attaque cyber NotPetya en juin dernier. A l’occasion des rencontres annuelles des risk managers qui se tiennent du 7 au 9 février, Claude Imauven, directeur opérationnel du groupe est revenu sur les conséquences de cette attaque.

Sources : L’Usine Nouvelle : Adeline Haverland 9 février 2018

“Il y a un avant et un après l’attaque NotPetya”, c’est avec ces mots que Claude Imauven, numéro 2 du groupe français, est revenu sur la cyberattacque, subie au début de l’été dernier, par Saint Gobain. Le 27 juin 2017 l’entreprise française est attaquée depuis sa filiale en Ukraine. “Le virus NotPetya a contaminé les ordinateurs via un logiciel de l’administration fiscale ukrainienne auquel les entreprises doivent se connecter”, raconte le dirigeant. En quelques minutes, des milliers de données sont cryptées, impossible à récupérer. La direction de suspendre les réseaux.

Résultat : des systèmes de commandes et de facturation informatique bloqués. Les réseaux de distribution du groupe, Point P et Lapeyre, ont du revenir au stylo et au papier pour rédiger les bons de commande et les transmettre manuellement. Quatre jours de gestion de crise, 10 pour que l’activité reprenne totalement mais aujourd’hui, la société Saint Gobain dit être sortie grandie de cette expérience malheureuse.

UN PLAN D’ACTION EN 4 TEMPS

Car malgré les pertes considérables, la cyberattaque a également été, pour le groupe dont la transformation digitale s’est accélérée ces dernières années, l’occasion de remettre à plat un certain nombre de process. “Les outils digitaux sont de formidables instruments mais ils sont également très vulnérables. Nous en avons fait les frais avec cet épisode et avons dû travailler à la construction d’un infrastructure plus résistante”, précise Claude Imauven.

Dans les mois qui ont suivi, Saint Gobain s’est donc attelé au renforcement de sa politque de cyberdéfense avec un plan d’action en quatre points : identification des risques, détection des failles, réaction et résilience. Pour Claude Imauven, ce dernier point est le plus important, “apprendre à travailler en mode dégradé pour ne pas briser la continuité est l’aspect le plus central d’une bonne gestion des risques”. Cela passe notamment par une hiérarchisation de la criticité des différents actifs et par des actions de préventions, par l’identification des différents solutions de repli ainsi que par la mobilisation des différentes équipes en interne

LA SÉCURITÉ INFORMATIQUE : 15% DU BUDGET IT

Opération de phishing, test d’intrusion… Aujourd’hui, l’entreprise organise régulièrement des tests grandeur nature pour sensibiliser les collaborateurs aux différentes menaces. Et les fournisseurs ne sont pas en reste puisque Saint Gobain exige désormais que ceux qui se connectent directement au système du groupe soient cyber-vertueux “une condition sine-qua-non aujourd’hui pour nous” confie le chief operation officer.

En parallèle, l’entreprise qui n’était pas couverte comme ce type de risques au moment de l’événement a entrepris de s’assurer contre les cyberattaques. Sans vouloir divulguer le montant assuré, Claude Imauven confirme l’idée souvent admise que la sécurité des systèmes d’information représente entre 10 et 15% du budget du département.

Un coût important mais qui reste un pourcentage minime par rapport aux risques engendrés “L’attaque du mois de juin nous a permis d’avoir une vision de ce que cela peut nous coûter au maximum…”, explique Claude Imauven avant de s’interroger, “Saint Gobain a pu résister parce qu’il s’agit d’une grosse structure mais quid de la PME ou de l’ETI ?”