Ransomwares à composante physique, sabotage industriel, menaces sur les personnes : le cyber-risque ne se limite plus aux seuls écrans, il déborde dans le monde tangible. Pour Matthieu Creux, président et fondateur du groupe Forward Global, l’un des leaders mondiaux de la gestion des risques, cette évolution est moins un choc qu’une continuité historique. Entretien avec un expert qui invite à penser cette nouvelle grammaire du danger dans toute sa profondeur historique et stratégique.
Propos recueillis par Mathilde Legris
Conflits – Vous observez depuis des années les mutations du risque. Comment expliquer ce glissement du cyber vers le physique ?
Matthieu Creux – Ce n’est pas un basculement soudain, mais une continuité logique, un glissement qui était, dès l’origine, présent dans le concept même d’interconnexion inhérent au monde numérique. Le numérique a longtemps, et à tort, été perçu comme une couche immatérielle, isolée du réel, « à part », et donc en quelque sorte, inoffensive pour le monde physique. Mais dès lors que le numérique pilote des infrastructures critiques, que ce soient des usines, des hôpitaux, des chaînes logistiques de fret ou de production, la menace devient bien tangible, et souvent matérielle. Aujourd’hui, une cyberattaque peut participer au détournement d’un bateau ou menacer un dirigeant dans son intégrité physique. Ce n’est plus une fiction depuis des années.
Une récente étude menée par Semperis révèle que près de la moitié des ransomwares incluent désormais une composante physique ou psychologique. S’agit-il d’un tournant ?
Matthieu Creux – Peut-être pour certains, mais pas pour ceux qui travaillent sur le risque cyber au quotidien. Ce glissement était prévisible. Depuis deux ou trois ans, on voit monter des méthodes d’intimidation très concrètes : visites physiques, menaces sur les proches, appels nocturnes… Ce n’est plus simplement une question de cryptage de données. Le ransomware devient un outil de pression directe. Ce qui est visé, c’est la personne, et pas seulement le système. Et ça change tout. Les plans de réponse doivent intégrer cette dimension physique. On ne protège plus seulement l’information, on protège aussi les individus.
(c) Matthieu Creux
A-t-on trop longtemps sous-estimé la matérialité du numérique ?
Matthieu Creux – Toute technologie interconnectée porte en elle, et par définition, une vulnérabilité physique. Présent à tous les niveaux, le numérique est aujourd’hui le cheval de Troie du monde réel. En 2010, le ver informatique Stuxnet a démontré que de simples lignes de code écrites aux États-Unis pouvaient faire exploser une centrifugeuse en Iran. D’autres exemples ont suivi : NotPetya en 2017 ou la cyberattaque, en 2021, contre Colonial Pipeline, etc. Dans le secteur de la finance, le Flash Crash de 2010 ou l’affaire Knight Capital ont montré que des modèles informatiques peuvent provoquer un chaos bien réel.
En fait, on a trop longtemps considéré le numérique comme un simple levier de performance, la fameuse « digitalisation », ou de communication. Mais aujourd’hui, c’est une infrastructure à part entière qui conditionne la continuité d’activité. Quand il tombe, tout s’arrête. Et intellectuellement, puisque c’est une infrastructure qui ne se voit pas, ou presque, on sous-estime son emprise sur le terrain. Pourtant, plus on a voulu digitaliser, plus on a exposé les structures au risque d’attaque. Ce n’est pas une faiblesse accidentelle, c’est une conséquence directe du modèle.
Beaucoup d’infrastructures critiques reposent sur deux mondes longtemps séparés : l’IT (les systèmes d’information, les serveurs…) et l’OT (les machines-outils, les capteurs..). Problème : leur interconnexion progressive a créé une surface d’attaque massive. Les systèmes OT, souvent anciens, comme les SCADA (systèmes de contrôle industriel), n’ont pas été conçus pour résister à des cyberattaques. Résultat : un accès réseau peut suffire à désactiver une ligne de production ou à plonger un hôpital dans le noir.
À ce propos, les dirigeants ont-ils pris la mesure de leur responsabilité face à ce type de risque ?
Matthieu Creux – Beaucoup de dirigeants continuent de traiter la cybersécurité comme un poste budgétaire ou un sujet IT à déléguer, au même titre que le wifi ou les badges d’accès. Tant que ça tourne, ils ne voient pas le problème. Et quand ça casse, ils découvrent que le vrai sujet n’était pas la technologie, mais la dépendance. La chaîne de valeur entière de leur business repose sur des systèmes qu’ils ne comprennent pas, opérés par des équipes qu’ils ne voient pas, exposés à des risques qu’ils n’ont souvent pas bien anticipés.
Dans les comex, tout le monde connaît le nom des meilleurs avocats ou des meilleurs communicants… mais personne n’est capable de citer le nom d’un expert en cybersécurité fiable. Ça dit quelque chose de l’époque, encore un peu immature face à ces risques cyber, pas moins graves que les risques juridiques et les risques d’image, d’autant plus qu’ils se précèdent ou se suivent l’un l’autre très souvent. Pourtant, aujourd’hui, il tombe un serveur toutes les deux minutes dans le monde à la suite d’une attaque. Et sur ces serveurs, il y a les fichiers clients, les secrets de l’entreprise, ou parfois les échanges personnels, voire intimes, des dirigeants eux-mêmes. Ne pas en faire un sujet central, c’est faire le pari qu’on ne tombera pas, mais c’est un pari de moins en moins tenable.
Vous avez investi dans la cybersécurité dès 2018. Pourquoi l’avoir fait à l’époque, et est-ce cohérent avec le reste de votre activité ?
Matthieu Creux – Globalement, Forward Global se positionne comme une plateforme de services et de technologies intégralement dédiée à l’anticipation, à la gestion proactive des risques et à la résolution efficace des crises. Notre expertise s’étend sur un large éventail de menaces, avec une spécialisation reconnue dans le domaine de la cybersécurité, couvrant ainsi l’ensemble des risques numériques auxquels les organisations sont aujourd’hui confrontées. Notre objectif est de garantir une résilience opérationnelle continue pour nos clients, en les protégeant des cybermenaces avant qu’elles ne se concrétisent, et en minimisant l’impact lorsqu’un incident survient.
Vous avez donc des capacités offensives ?
Matthieu Creux – Nous travaillons sur des scénarios offensifs, oui, mais dans un cadre strictement défensif. Quand nous auditons nos clients, nous les confrontons à des simulations d’attaque réalistes : c’est le seul moyen de tester réellement leur niveau de préparation. Et dans les situations réelles, nous intervenons pour comprendre, contenir, éventuellement remonter à l’origine de l’attaque et rétablir le plus vite possible le contrôle. Mais nous ne menons aucune opération offensive au sens strict. Nous ne sommes ni des pirates, ni une structure étatique.
Comment penser la souveraineté dans un monde où les frontières sont logicielles ?
Matthieu Creux – La souveraineté, dans un monde où les infrastructures sont immatérielles et les interdépendances codées, ne se mesure plus seulement en kilomètres de frontières, mais en degrés d’autonomie numérique. Ce n’est plus le contrôle d’un territoire qui fait la puissance, mais la capacité à maîtriser ses propres systèmes, ses flux de données, ou encore ses dépendances logicielles. En matière numérique, la vraie question est de savoir à quel point on est encore maître à bord quand tout transite par ce que d’autres peuvent désactiver, ou faire payer de plus en plus cher. Ce n’est pas tant le contrôle total qui est en jeu, car il est illusoire, mais la capacité à encaisser un choc sans s’effondrer. Il ne s’agit pas de tout faire soi-même, mais de bien mesurer ce qu’on délègue, à qui, et avec quels risques.
