Breizh Cyber fait partie des six centres régionaux de réponse aux incidents de sécurité informatique (ou CSIRT, Computer Security Incident Response Team) lancé en 2023 et financé, chacun, par l’Anssi à hauteur d’un million d’euros. « Ce centre de secours fonctionne comme une plateforme téléphonique avec un numéro vert gratuit (0 800 200 008), 7j/7 puisque le centre national prend le relais en dehors de nos heures d’ouverture, explique Jérôme Tré-Hardy, conseiller régional délégué au numérique, à la cybersécurité et aux données. Au cours de l’année nous avons reçu 300 appels et traités 114 incidents. « Dans 90 % des cas, l’équipe Breizh cyber est en capacité de travailler à la remédiation. »
Une hausse de 10 à 15 % des attaques cyber en 2024
« Lorsque nous sommes dans l’incapacité de traiter le problème, on oriente les victimes vers des prestataires d’investigation numérique ou de récupération de données, précise Guillaume Chéreau, directeur de Breizh Cyber. On assiste aussi les victimes dans le dépôt de plainte. C’est essentiel surtout en cas de violation de données de notifier toute attaque à la CNIL. »
Dans le « top 3 » des incidents les plus courants, on trouve : le piratage de compte, l’hameçonnage (phishing) et le rançongiciel. « Le piratage et l’hameçonnage (le plus souvent de messageries) sont, en réalité, le prélude à d’autres attaques, comme le vol d’identifiants de connexion, ou à des tentatives de fraude au changement de RIB, par exemple. Les montants de ces fraudes vont de 10 000 euros à 50 000 euros. Les rançongiciels représentent les incidents les plus graves pour les victimes : ils entraînent le plus souvent un blocage complet de l’activité. On estime que le nombre d’attaques a augmenté entre 10 et 15 % en 2024 versus 2023. » Des incidents sur la chaîne d’approvisionnement logiciel sont également signalés. « Octave, un éditeur logiciel d’ERP a été victime, en aout dernier, d’une attaque qui a impacté bon nombre de ses clients. Par ailleurs, à ce jour, nous n’avons pas encore constater d’utilisation de l’IA lors des attaques. Du moins, le phénomène reste très marginal. »
Une criminalité de bas niveau
Autre constat : « Les départements 35 et 56 semblent plus vulnérables. Est-ce que c’est parce qu’il y a un plus grand nombre d’antennes relais ? Nous n’avons pas vraiment d’explications », poursuit Guillaume Chéreau. Toutefois, Breizh Cyber assure que les incidents traités relevaient de la criminalité de bas niveau, à savoir que les victimes qui ont fait appel à ses services n’ont pas subi de double extorsion,( une exfiltration des donnés en plus du chiffrage des données). « Nous n’avons pas non plus traité de cas où les victimes, en majorité des entreprises, auraient payé une rançon. En général, les entreprises qui payent sont celles qui ont une assurance cyber. Ce n’est pas le cas des PME. » Enfin, au cours de l’année 2024, l’équipe a réalisé 65 signalements de vulnérabilité. « On alerte les entreprises qui présentent des équipements vulnérables pour les inciter à renforcer leur système informatique. »
Le cas de l’Espace des Sciences (Rennes et Morlaix)
L’Espace des sciences est un centre de culture scientifique, technique et industrielle, créé en 1984. Il est situé à Rennes au sein des Champs Libres et une implantation et depuis 2024 dans l’ancienne Manufacture des tabacs de Morlaix. Ce centre accueille plus de 200 000 visiteurs par an. « L’attaque a eu lieu le 24 juin 2024. On a commencé par découvrir un fichier avec une extension « .Trump ». Au départ on ne prend conscience de la gravité de cette anomalie. Mais en voyant se multiplier les fichiers avec cette extension, on finit par mesurer l’ampleur du problème, témoigne Jérôme Doré, DSI à l’Espace des Sciences. On a d’abord essayé de trouver une porte de sortie en interne. Mais très vite, le jour même, on a fait appel à Breizh Cyber qui nous conseillé de ne pas payer la rançon. On nous réclamait un million d’euros. Dès le 25 juin, l’équipe nous a mis en relation avec un prestataire spécialisé et un laboratoire de récupération de données. Par chance, on avait un serveur de sauvegarde qui a bien résisté à l’attaque. » Au final celle-ci a impacté l’intégralité du SI de gestion – « 6 années de comptabilité envolées », mais pas les données des visiteurs (billettique gérée par les Champs libres).
Quatre mois auront été nécessaires pour reconstituer l’intégralité du réseau informatique. « Aujourd’hui, on a un réseau dans lequel il beaucoup plus difficile de s’introduire. La prestation a coûté environ 25 000 euros auxquels il faut ajouter 7 500 euros pour la récupération des donnés. Finalement c’est un investissement bénéfique. On s’est mis à jour. L’intervention de Breizh cyber a été déterminante. Le fait de déléguer à un externe la résolution du problème nous a permis de nous poser psychologiquement. Car, il faut le souligner, l’impact émotionnel sur les collaborateurs a été très important. Il a duré entre deux et trois mois », conclut Jérôme Doré.
Breizh Cyber : un numéro d’urgence : 0 800 200 008
