De Croo sur la cybercriminalité, menace majeure du moment: “Nous sommes vulnérables”

En présence du Premier ministre, le cocktail de printemps du Cercle de Wallonie, de Trends Tendances et de la RTBF a mis en avant l’importance de ce dossier, tant pour l’Etat que pour les entreprises. “Le risque zéro n’existe pas.”

La cybercriminalité est une préoccupation majeure des entreprises. Plus encore depuis la pandémie et le passage de nombreuses PME au numérique. Si l’avancée est un grand saut en avant pour la digitalisation de nos sociétés, c’est aussi un risque majeur avec l’explosion des cyberattaques.

Un petit chiffre pour situer l’ampleur du problème: les attaques de phishing dans les entreprises belges ont progressé de… 667% depuis la pandémie de Covid-19, relaie le bureau EY dans une étude sur la cybersécurité, publiée ce jeudi 12 mai.

Ce n’est donc pas pour rien que ce thème était au centre du cocktail de printemps de Trends-Tendances, de la RTBF et du Cercle de Wallonie, organisé ce jeudi en soirée à l’Opéra royal de Wallonie. Avec un invité prestigieux, en la personne du Premier ministre, Alexander De Croo, en compagnie de Philippe Lallemand, CEO d’Ethias et président du Cercle de Wallonie, ainsi que de spécialistes de la question.

“La demande a explosé”

Le débat débute avec le témoignage de Giannino C., fondateur de Red System, un hackeur qui a fait de la protection à la cybercriminalité son métier au srvice des les entreprises : “J’ai créé ma société en m’adonnant à ma passion, le hacking, dit-il. Mais je me considère comme un hacking éthique. Et la demande a explosé depuis la pandémie.”

Ancien ministre de l’Agenda numérique, Alexander De Croo connait bien le sujet. “Il y a un cadre qui s’est construit pour déterminer jusqu’où un hacker peut aller, entame-t-il. Le monde de la cybercriminalité est beaucoup plus nuancé du point de vue de la sécurité que le monde classique. Il faut organiser des méthodes pour travailler avec des sociétés comme la vôtre.”

Donnerait-il accès au Seize à une entreprise comme Red System ? Ce n’est pas nécessaire. “Le centre de cybersécurité et le Service de renseignement militaire font des checks réguliers, explique-t-il. Mais de manière générale, cela nécessité une prudence de tous les instants. Il faut développer les mêmes réflexes que dans le monde physique.”

Philippe Lallemand pourrait-il appeler cette entreprise? “Je suis obligé de faire des contrôles régulièrement. La Banque nationale prévoit un processus de cyber assistance, mais aussi des contrôles réguliers. Pour donner un exemple parlant, il y a 501 000 mails mensuels, plus de 300 000 sont arrêtés. Le risque zéro, je n’y crois pas du tout.”

Marie-Laure Moreau, responsable d’EY, acquiesce : “C’est vrai. Etant réviseur d’entreprises, je rencontre ce risque croissant. Il est pris en compte, mais pas assez. Il était à l’agenda il y a trois ans des comités d’audit. Maintenant, elles savent ce que c’est, elles sont confrontées à des demandes de rançons. La plupart disent : ce n’est pas une question de savoir si on est attaqué, mais quand. Dans notre enquête mondiale d’EY, on voit qu’il faut 101 jours pour déceler une attaque.”

“Un hacker n’est pas (forcément) un criminel”

Disperse-t-on trop les forces ? Faut-il concentrer les efforts ? “La méthode en Belgique est assez décentralisé avec le Centre de cybersécurité qui fait la coordination, souligne Alexander De Croo. Ce modèle décentralisé peut fonctionner. On sait que dans ce monde-là, les investissements privés sont supérieurs aux investissements publics.”

“Nous sommes tous structurellement faibles, y compris les Américains, indique toutefois Fabrice Epelboin, spécialiste de la question. Le nombre de choses qui peuvent être attaquée est considérable, bien plus considérable que ce que l’on peut protéger.” Et d’indiquer : “Tant que l’on considérera les hackers comme des criminels, on n’y arrivera pas.”

Alexander De Croo abonde dans son sens : “Je suis d’accord avec vous, nous ne sommes pas assez conscients de la vulnérabilité de tout. Ce n’est pas seulement nos ordinateurs. Nous partageons énormément de données. Le plus important, c’est que le citoyen soit conscient de ce qu’il partage. Nous sommes dans une technicité qui n’est pas bien expliquée. Malgré le RGPT, personne ne lit les conditions de ce à quoi nous accédons. Il y a un travail énorme à faire. Nous collectons toutes les campagnes de phishing. Vous pouvez penser connaître bien le numérique et vous pensez que nous ne vous vous ferez à voir, mais vous vous trompez…”