La cybersécurité, l’enjeu numéro un pour les entreprises
La problématique va au-delà des risques liés à l’approvisionnement ou à l’inflation. En Suisse, une PME sur trois a été victime d’une cyberattaque. Exemple emblématique: la société Winbiz en novembre 2022.
La cybersécurité constitue l’enjeu numéro un pour les entreprises en 2023, selon le baromètre des risques établi par Allianz sur 94 pays. L’enjeu dépasse ainsi les problèmes de chaînes d’approvisionnement, l’inflation ou encore la crise de l’énergie. «Certaines PME ne se sentent pas concernées par le risque des cyberattaques, estiment n’avoir aucune donnée sensible, ne pas représenter des proies intéressantes. Or ce ne sont pas forcément les données qui sont la cible de l’attaque. Mettre à l’arrêt une entreprise pour la forcer à payer est aussi une méthode, quel que soit le domaine d’activité», prévient Sylvain Pasini. Le professeur en sécurité de l’information à la Haute Ecole d’ingénierie et de gestion du canton de Vaud (HEIG-VD) a lancé la création du premier bachelor dédié à la cybersécurité en 2010.
En Suisse, une PME sur trois a déjà été victime d’une cyberattaque et la tendance est à la hausse: en 2023, le fournisseur de cybersécurité Check Point a recensé une augmentation de 61% des cyber-attaques contre les entreprises suisses. Au mois de novembre dernier, la cyberattaque contre la société Winbiz, qui propose des logiciels de comptabilité et de facturation en cloud, a entraîné le blocage de plus de 45 000 PME et près d’un millier de fiduciaires suisses. Pourtant, les entreprises continuent de négliger ce danger: la moitié seulement des PME suisses disposent de concepts de sécurité informatique, forment régulièrement leur personnel ou mènent des audits en cybersécurité.
Face à l’ampleur croissante de cette menace, le Centre national pour la cybersécurité (NCSC), créé en 2019, devient cette année un office fédéral à part entière, et il sera rattaché non plus aux Finances mais au Département de la défense. Le nombre de cyberattaques que les experts ont recensées a été multiplié par plus de trois entre 2020 et 2022. «Les entreprises réalisent progressivement l’importance de cette problématique, notamment, hélas, par le nombre croissant de victimes de piratage», constate Solange Ghernaouti, experte internationale en cybersécurité et professeure à l’Université de Lausanne. Les entreprises doivent désormais appréhender la question et se tenir prêtes.
Evolution du nombre de cyberattaques. Source: Centre national de la cybersécurité (NCSC). Les incidents signalés ne sont pas toujours des cyberattaques réussies.
757
Le nombre de cyberattaques répertoriées entre le 13 et le 19 mars 2023, selon le Centre national pour la cybersécurité (NCSC). La Suisse a donc subi plus de 108 tentatives – réussies ou échouées – par jour en une semaine. Le NCSC rappelle que toutes les tentatives de piratage ne sont pas signalées. Le chiffre réel serait donc encore plus élevé. Il n’existe en effet aucune obligation de signalement des cyberattaques, même si la pratique est recommandée.
8440 milliards
Selon le rapport de prévision 2023 de la plateforme Statista, citant notamment des sources du FBI et du FMI, les cyberattaques auraient coûté 8440 milliards de dollars au niveau mondial rien qu’en 2022, soit quatre fois plus qu’en 2019. L’addition pourrait même atteindre 11 500 milliards cette année.
2600
Dans le canton de Vaud, plus de 2600 plaintes ont été déposées auprès de la police en 2021, pour un préjudice de plus de 20 millions de francs. Or, selon les estimations, seulement 10% des incidents sont annoncés, ce qui pousse l’évaluation des dommages à environ 200 millions de francs.
167%
C’est le ratio indemnités versées/primes perçues par les assurances françaises en 2021 pour des situations de cyberattaque, selon le rapport «Lucy». Et ce déséquilibre se généralise: dans les colonnes du Financial Times, le directeur de Zurich Assurances, Mario Greco, déclarait en décembre dernier que les cyberattaques étaient «en passe de devenir impossibles à assurer».
Les cinq règles à suivre pour lutter contre les pirates informatiques
Evaluer les risques de cyberattaque, sécuriser le télétravail des employés, sauvegarder ses données, savoir réagir en cas de problème et sous-traiter auprès des spécialistes, voici les conseils de nos experts.
1. Connaître les risques
«L’entreprise doit faire l’inventaire de son patrimoine informatique pour établir quel type de données elle traite – données personnelles, de propriété intellectuelle, financières –, l’état des sauvegardes, si elle a un site internet, où sont hébergés les serveurs, quel type de messagerie elle utilise, etc., explique Sylvain Pasini, professeur en sécurité de l’information à la HEIG-VD. Cet état des lieux est primordial pour déterminer quels sont les besoins et les risques encourus.»
Contrairement aux idées reçues, l’attaque la plus fréquente n’est pas le ransomware, autrement dit le chiffrement (cryptage) des données contre rançon, mais le phishing par e-mail forgé (e-mail maquillé, provenant d’une fausse adresse), l’abus de système de paiement en ligne et les fausses annonces. Les plus préjudiciables financièrement, en revanche, sont notamment la fraude à l’investissement et les «arnaques au président» (demander par courriel un virement d’argent en se faisant passer pour le CEO).
Pour une entreprise, ériger ses défenses et adopter les meilleures pratiques ne suffit pas, il faut aussi en assurer la pérennité. «Intégrer la planification, la mise en œuvre et la vérification de l’efficacité des mesures dans les processus habituels de l’entreprise est la seule façon de garantir une cybersécurité à moindre coût, explique Florian Schütz, délégué fédéral à la cybersécurité. Les hackeurs éthiques sont d’une grande aide, car ils décèlent les failles du système.»
Le conseil: «Les entreprises doivent aussi prendre des mesures en matière d’organisation et définir qui s’occupe de la cybersécurité, de la gestion de crise, etc.», explique Christophe Hauert, cofondateur de l’association Cyber-Safe. Pour beaucoup d’entre elles, il s’agira avant tout de définir les responsabilités de chacun, «en incluant la cybersécurité dans le cahier des charges par exemple, même si cela conduit à faire appel à un service externe».
2. Sécuriser le télétravail
«Le télétravail doit s’accompagner de règles d’usage claires. Ce sont par exemple: ne pas utiliser l’ordinateur dédié au télétravail à des fins personnelles, éteindre son ordinateur après usage, ne pas le laisser à la portée de tous ou encore ne pas utiliser d’outils de messagerie ou de cloud privé, avertit Solange Ghernaouti, experte en cybersécurité. La connexion entre l’ordinateur à domicile et le réseau de l’entreprise doit également faire l’objet d’une sécurisation ad hoc, notamment via des services VPN adaptés.»
En effet, lorsqu’un ordinateur se connecte à distance, il crée une faille dans le pare-feu du réseau interne. Pour une protection optimale, il faut également s’équiper «d’antivirus robustes et dûment mis à jour», précise Nicolas Frey, ingénieur en cybersécurité chez Cyber-Safe.
La surveillance des comportements constitue une couche de sécurité supplémentaire. L’objectif est alors de scruter et d’enregistrer toutes les connexions au sein du système, afin de prévenir une éventuelle intrusion ou, du moins, de la repérer à temps. «Cela passe par des outils de contrôle, avec des identifications et des droits d’accès renforcés», confirme Solange Ghernaouti.
Nicolas Frey appelle aussi à se préparer aux erreurs humaines, en protégeant notamment les ordinateurs portables contre toute fuite de données en cas de vol ou de perte. «Lorsqu’une personne malintentionnée met la main sur un appareil, on ne peut pas l’empêcher de l’utiliser, mais on peut limiter son accès aux données, à condition qu’elles aient été chiffrées. Sur Windows, on active par exemple cette fonctionnalité en cochant une case dans le panneau de configuration.»
Le conseil: En cas d’intrusion, plus le niveau d’accès est élevé, plus les dégâts sont importants. Il convient donc de complexifier l’accès aux comptes administrateurs. «S’ils prennent le contrôle d’un de ces comptes, les hackeurs peuvent en effet désactiver l’antivirus et faire tomber le pare-feu, rappelle Christophe Hauert. Restreindre ces accès au strict nécessaire est une manière simple de minimiser
les risques d’intrusion à ce niveau de hiérarchie.»
3. Sauvegarder ses données
«Diversifier les lieux de sauvegarde est une démarche élémentaire, explique Jean-Henry Morin, professeur au Centre universitaire d’informatique de l’Université de Genève. Que l’on dispose d’un back-up sur site ou que l’on fasse appel à un service externe, il faut impérativement mettre en place une solution.» Pour les données stockées à l’externe, l’entreprise devra par contre se préparer à ce que le téléchargement du back-up prenne plusieurs jours. Etablir une stratégie pour que les fichiers vitaux soient accessibles le plus vite possible est donc une première étape.
Autre point crucial selon Christophe Hauert, de l’association Cyber-Safe: tester les sauvegardes. «Cela peut éviter un désastre, comme dans le cas où le mot de passe pour accéder à la sauvegarde ne se trouve nulle part ailleurs que dans la sauvegarde elle-même.»
L’expert plaide aussi pour une certaine frugalité numérique qui, en définitive, constitue le meilleur moyen de mettre ses données hors de portée des hackeurs et d’économiser de l’énergie. «Il faut se demander si garder 15 ans d’archives en doublon sur des serveurs est vraiment une nécessité. Certaines données peuvent certainement être stockées hors ligne sur un disque dur externe déconnecté du réseau.»
Le conseil: Tenir un inventaire pour savoir où se trouvent ses données peut s’avérer décisif en cas d’incident. Christophe Hauert met en garde: «La sécurité des sauvegardes dépend de leur capacité à rester accessibles et à l’abri des attaques. Mais, pour cela, il faut savoir précisément où se trouve chaque fichier et ses éventuelles copies.»
4. Savoir réagir en cas d’attaque
«Certains réflexes peuvent sauver l’entreprise, assure Nicolas Frey, de Cyber-Safe. Lorsque les mécanismes de surveillance ont bien été mis en œuvre, il est possible de repérer l’intrusion et de l’isoler avant que -l’ensemble des données soit chiffré par les assaillants.» Tirer la prise internet – mais pas la prise de courant – et/ou couper la connexion au wifi constitue une solution radicale mais relativement efficace. Ce geste isolera physiquement le réseau interne du web, coupant court à toute intrusion frauduleuse, mais aussi à toute activité légitime.
Il n’existe aucune obligation de signalement des cyberattaques aux autorités compétentes, pas même à la police. Le NCSC appelle toutefois à ne pas sous-estimer l’importance du reporting en cette période d’activité accrue des hackers. «Les cyberattaques, en particulier par rançongiciel, devraient en principe être dénoncées pour que les autorités de poursuite pénale soient impliquées, conseille Florian Schütz, délégué fédéral à la cybersécurité. Cela permet à la police de récolter des informations qui, d’une part, servent à faire avancer la poursuite pénale et, d’autre part, peuvent servir à des fins de prévention.» Il est également essentiel de gérer la communication, tant à l’interne qu’à l’externe, afin d’éviter les malentendus et la propagation incontrôlée des rumeurs. «Il convient de ne pas sous-estimer l’impact d’un tel événement sur la réputation de l’entreprise», ajoute l’expert fédéral. Mais maîtriser la communication ne signifie pas omerta: les personnes potentiellement concernées par l’incident doivent être informées au plus vite.
Le conseil: Dans un monde où les entreprises sont interconnectées, les cyberattaques peuvent se propager. «Dans le cas où les assaillants récupèrent un trousseau de mots de passe, il leur est alors parfois possible de l’utiliser pour pénétrer dans l’intranet d’un client ou d’une entreprise partenaire», explique Nicolas Frey. Ainsi, les contacts doivent être prévenus, «car ils pourraient faire l’objet d’attaques plus ciblées».
5. Sous-traiter et externaliser
«Assurer la protection et le maintien de la sécurité d’un système informatique au sein d’une entreprise représente un métier à part entière, explique Sylvain Pasini. Il vaut donc mieux faire appel à une société externe spécialisée, puisque les PME n’ont généralement ni les ressources humaines pour s’en occuper correctement, ni les ressources financières pour engager quelqu’un dédié à ce poste.» Le conseil s’applique particulièrement pour les serveurs et les messageries. «Les serveurs externes sont entretenus et surveillés par des professionnels, y recourir constitue un gain de temps et de sécurité.»
La notoriété de fiabilité, l’évolutivité et le support technique inclus sont d’importants critères pour choisir son prestataire. «Il faut aussi garder accès à ses sauvegardes, ce que n’avait pas fait Winbiz avec ses clients», précise le professeur. En faisant appel à une société de cybersécurité, les PME délèguent leurs risques informatiques et peuvent se concentrer sur le déroulement de leur activité et leur croissance, tout en protégeant leur réputation.
Enfin, les PME doivent pouvoir répondre aux demandes légales. «Jusqu’à présent, la Suisse a fait le choix d’être relativement peu contraignante et de laisser la liberté aux entreprises de déterminer leur propre sécurité informatique, dit Sylvain Pasini. La révision de la LPD en septembre va poser un cadre plus contraignant: pour conserver leurs clients, les entreprises vont devoir améliorer la protection des données qu’elles traitent.»
Le conseil: Pour choisir son prestataire cloud, chaque entreprise doit déterminer ses besoins et ses priorités. Pour Jean-Henry Morin: «Certaines feront le choix des géants du web, car leurs prix sont imbattables. D’autres opteront pour des prestataires locaux, en général plus onéreux mais offrant une certaine tranquillité du fait qu’ils n’exportent pas les données à l’étranger et qu’ils s’avèrent souvent plus accessibles en cas de besoin.»
Bobst
L’industriel vaudois a subi deux attaques ciblées pour tenter de pénétrer dans ses systèmes informatiques durant le week-end de Pâques. Le plan d’urgence a été suivi et il n’y a pas eu de vol de données.
Groupe NZZ
Une attaque par ransomware a eu lieu fin mars contre les titres du groupe NZZ ainsi que ceux de CH Media. Les pirates menacent de publier les données dérobées.
CFF
En février, des cybercriminels ont diffusé des logiciels malveillants par courriel afin de s’introduire dans une partie du réseau d’entreprise des CFF.
Firmenich
De grandes sociétés suisses, Firmenich en tête, ont fondé récemment la Swiss Industry Cyber-Security Association.
Läderach
En septembre dernier, des cybercriminels ont publié des données de Läderach sur le darkweb. L’entreprise a mobilisé des experts externes IT et en investigation.
Université de Zurich
L’Université de Zurich a été la cible d’une cyberattaque jugée «sérieuse» en février. L’école a renforcé ses mesures de protection et conseillé à ses employés et étudiants de modifier leur mot de passe.
En Suisse, une PME sur trois a déjà été victime d’une cyberattaque. Les cas explosent et les dégâts se chiffrent en millions. Retrouvez des témoignages et des conseils d'experts pour lutter contre ce fléau. A lire sur le même sujet:
