Rungis : marketplace internationale pour une sécurisation optimale
Partager la page
Octobre étant le mois européen de la cybersécurité, Catherine Collinet, haut fonctionnaire de défense et de sécurité au ministère de l’Agriculture, a proposé à Guillaume Poupard, directeur de l’Agence nationale de la Sécurité et des Systèmes d’Information, de sensibiliser les professionnels du secteur agroalimentaire sur le site même du marché de Rungis.
Visiter Rungis, c’est parcourir plus d’1 million de m2, une organisation impressionnante dont ont su s’inspirer des villes comme Dubaï ou Moscou. Avec le développement exponentiel d’activités d’e-commerce représentées par des opérateurs tels qu’Alibaba ou Amazon, Stéphane Layani, président directeur général de la Semmaris, reconnaît « qu’il ne sert à rien d’opposer l’économie numérique au reste de l’économie ».
Etre au cœur du premier marché de produits frais au monde nécessite une sécurisation accrue des systèmes d’information comme le fait observer Dominique Batani, directeur du marché international de Rungis. Depuis son ouverture en 1969, le marché de Rungis n’a jamais cessé d’être à la pointe de l’innovation. Les quelques 1186 entreprises du site travaillent déjà sur des marchés internationaux, conscientes du développement inéluctable d’une partie de leur activité vers l’e-commerce. Anticiper les évolutions va de pair avec la gestion des risques auxquels une entreprise peut être confrontée. Car être victime d’une attaque, cela n’arrive pas qu’aux autres. Un préconçu que Guillaume Poupard s’attache d’emblée à combattre, affirmant : « Vous êtes tous concernés en tant que professionnels et vous le serez de plus en plus, c’est une certitude ».
"Eviter d'être bien connecté et mal protégé"
Les projets de développement en marketplace internationale, incitent à faire évoluer les comportements. Mais dans ces immenses pavillons parfois récemment équipés d’informatique pour faciliter les tâches quotidiennes, l’opérateur travaille encore avec le crayon sur l’oreille. Au pavillon de la marée où les négociations se font encore de gré à gré, le risque est moindre que dans le pavillon des viandes où l’étiquetage et la traçabilité sont numérisés. C’est surtout l’évolution de la commercialisation des produits qui exige de la vigilance. Tant que les opérateurs se connaissaient et collaboraient entre eux avec des logiciels en interne, le risque était à relativiser. Aujourd’hui, la préparation des commandes à distance représente parfois plus d’activité que la négociation en be to be « sur le carreau ». Et comme le dit Yann Berson du pavillon Bio, « il faut éviter d’être bien connecté et mal protégé ». Une distorsion qui incite les présidents de chaque pavillon à ne jamais cesser de faire de la pédagogie auprès de chaque salarié. Les salariés à l’image des particuliers, susceptibles comme nous tous de prendre des risques sans en avoir conscience.
« Vous ne prêchez pas seulement la bonne parole, l’action que vous menez est utile », souligne Jean-Jacques Arnoult, président du syndicat de la triperie à Catherine Collinet, « mais le plus difficile pour nous est de savoir comment gérer et surtout comment organiser notre sécurité » dans un environnement informatique qui évolue en permanence ?
Les PME, cibles potentielles des cyberdéliquants
La sécurité des sites a évidemment un coût qui doit être évalué à l’aune du préjudice qui pourrait être causé. Car c’est en moyenne entre 5 et 10% du budget informatique qu’il convient de consacrer à la sécurité de son installation. Une grosse entreprise de l’agroalimentaire convoitée pour ses secrets de fabrication est consciente du risque qui la guette et se donne les moyens d’agir en conséquence pour trouver une parade. Mais quelle PME pourrait simplement imaginer qu’elle est aujourd’hui tout autant vulnérable ? Et pourquoi serait-elle une cible ?
Le fait qu’une PME soit plus exposée suscite déjà l’intérêt des cybercriminels qui imaginent un éventail d’attaques aussi large et coloré que leur imagination peut être débridée. Et Guillaume Poupard de citer les plus fréquentes : avec les réseaux sociaux, chacun de nous livre des renseignements précis sur ses habitudes et sur son mode de vie qu’un criminel pourra exploiter sans avoir besoin d’être à vos côtés. A l'autre bout du monde, il peut facilement vous duper, dérober de l’argent en quelques clics tout en échappant aux sanctions prévues par loi française. Il aura pris au passage le contrôle à distance de votre ordinateur, connaîtra vos codes, s’introduira dans les fichiers de vos clients, votre comptabilité. Sans compter que les ruses et l’habilité des voleurs s’adaptent aux usages. Des groupes parfois organisés en véritables mafias parviennent désormais rançonner de l’argent à leurs victimes, ce qu’ont appelle le rançongiciel (ou ransomware). Il s’agit en fait de méthodes de racket à distance où l’on soutire à l’entreprise de l’argent si elle veut récupérer les données d’un ordinateur que le criminel aura préalablement cryptées. D’autres s’attaquent à l’image de l’entreprise et tentent de ruiner sa réputation ou de la discréditer auprès de leurs clients.
Des consignes claires, des pratiques simples
Au vu de ces exemples, on comprend aisément que le patron comme l’employé, et à leur insu tous ceux qui au sein d’une entreprise échangent des données ou des informations hors de leur environnement informatique, peuvent mettre en péril leur propre activité, voire menacer leurs emplois.
Il importe donc que chacun soit sensibilisé à des consignes claires et à l’usage de pratiques simples, en rien coûteuses mais susceptibles d’écarter et de dissuader d’éventuels cyberdélinquants. Avant d’appeler les pompiers qui ne peuvent que constater des dégâts parfois irréparables, mieux vaut être le gardien de pratiques simples qui peuvent éviter tout désagrément : penser aux codes que l’on met sur son ordinateur, mettre régulièrement à jour les logiciels qu’on utilise, ne pas utiliser n’importe quelle clé USB, ne pas répondre à des mails dont on ne connaît pas la provenance… De même qu’on ne laisse pas sa maison ou son portefeuille ouverts, on veille au bon usage de son ordinateur, de son téléphone et demain de sa montre connectée.
L’Anssi met aussi à disposition des outils pour les entreprises qui cherchent conseil et assistance : des listes de logiciels et d’opérateurs certifiés figurent déjà sur le site internet de l’agence. Car c’est l’intérêt de ceux qui commercialisent matériels et logiciels de collaborer avec le gouvernement, l’agrément qu’ils obtiennent étant le meilleur label et demain leur principal argument commercial. C’est aussi tout un environnement qu’il s’agit de sécuriser. D’où la possibilité également pour les PME de déclarer à l’ANSSI les attaques dont elles sont victimes, ce qui permet à ces gendarmes du web d’agir en amont, de prévenir, de déjouer les pièges, voire de les sanctionner.
En dépit de l’augmentation des effectifs de l’ANSSI, passés de 100 à 500 depuis sa création en 2009, Guillaume Poupard a conscience qu’il faudra encore beaucoup d’efforts pour traquer et adapter les moyens de lutte à cette délinquance d’un genre nouveau dont la spécificité est d’être à la fois en constante mutation et protéiforme.