shotsstudio - stock.adobe.com

Ransomware Maze : Bouygues semble chercher à éviter les questions

Le groupe affirme avoir été victime d’un « virus d’un nouveau genre » et assure qu’il n’est pas possible de l’accuser de négligence « sur les moyens de protection ». Mais cela suffira-t-il à éviter des questions d’investisseurs ?

Pour Martin Bouygues, « on ne peut pas dire, à priori, que l’on ait été négligent sur les besoins de protection ». Le PDG du groupe s’exprimait jeudi 20 février sur l’attaque par ransomware dont il a été victime fin janvier, à l’occasion de la présentation de ses résultats. Ses propos ont été rapportés par nos confrères de l’AFP. Et Martin Bouygues d’ajouter que le groupe a été « attaqué par quelque chose de nouveau, par un virus d’un nouveau genre ».

Pour un avocat fin connaisseur des obligations en matière de communication financière, le PDG semble là surtout chercher à rassurer les investisseurs et analystes car, « ce que sanctionnent les marchés, ce n’est pas tant l’aléa ou de mauvais résultats, que l’impréparation et des procédures inadaptées pour faire face ».

Une nouveauté plus si nouvelle

Concrètement, Maze n’est ni un « virus d’un nouveau genre », ni un maliciel inconnu. Comme le relevait plus tôt cette année l’Agence nationale pour la sécurité des systèmes d’information (Anssi), Maze a été découvert en mai 2019. Et le groupe Bouygues n’est pas totalement étranger à la menace que représentent les rançongiciels : comme l’Anssi le relevait également, une filiale canadienne de Bouygues Construction a déjà été infectée par l’un d’entre eux au printemps dernier, Ryuk. Mais les questions ne s’arrêtent pas là.

Comme nous l’indiquions plus tôt, les cyber-délinquants du groupe TA2101 aux manettes Maze ont revendiqué avoir chiffré près de 240 systèmes de Bouygues Construction. Dans liste qu’ils ont rendu publique se trouvent 56 adresses IP distinctes, dont rien moins que 23 renvoient à l’infrastructure d’Axione, une filiale de Bouygues Energies & Services. Et au moins 18 d’entre elles ont exposé directement sur Internet les interfaces Web d’administration de pare-feu, pendant plusieurs mois pour certaines, et jusqu’à tout récemment.

Début février, nous avons sollicité Axione à ce sujet. Son service de presse nous a initialement renvoyé à celui de Bouygues Construction. Nos questions sont encore sans réponse. Et là encore, ce ne sont pas les seules : de quelles sauvegardes disposait le groupe pour reconstruire ses données ? Les assaillants sont-ils pleinement restés inaperçus jusqu'à la détonation du ransomware ? Si oui, qu'est-ce qui l'a rendu possible et aurait contribué à le rendre plus difficile ? Et si non, qu'est-ce qui a été détecté et quand ? Comment les éventuelles alertes ont-elles été traitées ? 

La cybersécurité, un actif stratégique

Pour l’avocat que nous avons sollicité – et qui préfère rester anonyme pour des raisons de déontologie –, Bouygues semble, dans sa communication, miser « sur la méconnaissance des tenants et des aboutissants de ce dossier par la communauté financière, qui commence à intégrer le risque [cyber] en tant que critère de notation/valorisation ». Car de plus en plus, la sécurité du système d’information constitue « un actif stratégique, pilier de la valorisation d’une entreprise cotée ». Et dans ce cadre, il pèse donc dessus « une obligation générale de délivrer une information complète, pertinente et loyale ».

Alors pour lui, une stratégie de communication comme celle que donne à voir Bouygues aujourd’hui, « tellement 20e siècle, c’est courir le risque d’avoir des demandes d’information ou, pire, une motion en assemblée générale d’actionnaires ». Car la communauté financière n’est donc plus insensible au sujet, et encore moins ignorante : « certains fonds commencent à monter en compétence sur le sujet de la sécurité des systèmes d’information et, comme pour la responsabilité sociale d’entreprise ou le développement durable, vont exiger des comptes ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close