Cybersécurité, la grande faille des PME

«Auparavant, une attaque informatique était le problème de l’IT. Mais aujourd’hui, le management demande des comptes et il a peur», observe Paul Such, CEO d’Hacknowledge et l’un des précurseurs de la sécurité informatique en Suisse romande. Il ne faut toutefois pas dramatiser. «Avec le virus Wannacry, on a voulu me faire dire que c’était la pire attaque de tous les temps, poursuit-il. Or, il a infecté 225 000 utilisateurs, alors que seize ans plus tôt, 400 000 victimes, dont certains médias, ont été impactées par un autre virus. Quasi personne n’en avait pourtant parlé alors.»

La grande peur des managers

Aujourd’hui, les chiffres mêlent réalité et stratégie marketing. Un pourcentage intéressera cependant particulièrement les chefs d’entreprise. «Les budgets dévolus à la sécurité informatique dans les sociétés en Suisse augmentent de 15% chaque année, mentionne Paul Such. On empile les briques de sécurité autour des structures existantes et chacune a besoin de son propre expert. Cela ne peut continuer indéfiniment ainsi. D’autant que le potentiel des infrastructures sécuritaires déjà en place dans notre IT est souvent utilisé à moins de 20%.» Dans les coulisses de ces cyberevents, quelques montants filtrent.

Chez SPIE, on parle d’une sécurité allant de 10 000 francs à un million pour des structures XXL. Chez Fortinet, c’est un abonnement mensuel commençant à 70 francs, tandis que chez Hacknowledge, on évoque 1000 francs annuels pour du monitoring de PME. Des sommes qui n’apportent que peu d’informations si ce n’est que le secteur frétille. Le cabinet Cybersecurity Ventures parle d’un marché à 120 milliards de dollars en 2017, avec un horizon qui dépasserait les 1000 milliards de dollars cumulés sur les cinq prochaines années. Et la Suisse, elle, ne veut pas rater le coche.

L’expérience de Snapchat

L’entrée en vigueur du Règlement général sur la protection des données (RGPD) en mai prochain en Europe alimente les craintes, avec notamment le risque pour les entités suisses ayant des partenaires ou clients en Europe d’être amendées sévèrement (jusqu’à 4% de leur chiffre d’affaires), en cas de faille dans leur processus de sécurité informatique. En cours de révision, la Loi suisse sur la protection des données (LPD) n’est pas aussi stricte, mais pousse les PME à réagir (lire encadré).

En tête de liste des francs parleurs, Jad Boutros, le chef sécurité monde de Snapchat, dévoile à quel point il a souffert pour sécuriser Snapchat (178 millions d’utilisateurs par jour) et sa quarantaine d’employés à l’époque. «J’étais seul en 2014 pour ce job, se souvient Jad Boutros. On a toujours l’impression que la sécurité va vite, mais cela prend énormément de temps de construire des processus de sécurité et ce n’est jamais fini. Quoi qu’on fasse, on sera toujours en retard sur la prochaine attaque. C’est tabou, mais c’est la réalité!» Des propos qui sonnent juste aux oreilles des experts très discrets du GovCERT (Swiss Government Computer Emergency Response Team). Ces derniers traquent depuis dix ans le virus Turla qui disparaît pour réapparaître là où ils l’attendent le moins.

Harman Singh, directeur de Defendza, spécialisée dans la détection des menaces, abonde dans ce sens: «Jusqu’à présent, quand il y avait un souci dans une entreprise, on se bornait à dire que c’était réglé et que tout s’était bien passé, mime-t-il plus vrai que nature. En réalité, c’était un casse-tête pendant des nuits. C’est ignorer le travail constant en amont pour ne pas être largué. Il faut toujours suivre les développements, documenter les attaques, rester calme et continuer à fourrer son nez partout.» On l’a désormais noté, on ne résout pas un cas en quelques formules codées.

Autre réalité: vous avez pris la résolution de vous mettre à la page en matière de cybersécurité? Alors attendez-vous à avoir des ennuis et cela à chaque nouvelle évolution de l’entreprise. La sécurité commence (et se poursuit) par des désavantages: ça bug et ce n’est pas une priorité des équipes, alors qu’il faut des utilisateurs et de la collaboration à tous les niveaux. «Deux mois après les débuts de la sécurisation de nos systèmes, j’ai eu une très grosse attaque, raconte le responsable de Snapchat. Quatre mois plus tard, un spam a permis le vol de dizaine de milliers de photos d’utilisateurs publiées ensuite sur internet.»

Un an après, l’entreprise a commencé par proposer des paiements en ligne. «Parallèlement, les attaques se sont complexifiées et en 2016, on a été victime d’un très profond phishing, témoigne-t-il. En 2017, on a acquis de nouvelles sociétés et on a dû travailler avec des structures qui n’avaient pas de sécurité. Le passage au cloud a aussi été un challenge. On me demande encore tous les jours: «Tu utilises un cloud, alors pourquoi as-tu besoin de sécurité?» Les risques d’erreurs sont tellement importants, partout.»

Communiquer ses failles

Les services informatiques doivent sortir de l’ombre, parler avec tous les départements et avec la direction, signaler de possibles impacts, faire circuler l’information pour permettre de suivre la trace des serpents ou autres lombrics virtuels. Les hackers aiment les noms d’animaux, semble-t-il. «N’importe quel détail peut compter, soulignent les experts du GovCERT, Andreas Greulich et Reto Inversini. Il faut communiquer, documenter, garder ses logs. C’est grâce à ces échanges que nous avons pu identifier, par exemple, que les attaques contre Ruag étaient du même type que celle que le gouvernement avait subie deux ans plus tôt. L’autre point, c’est qu’il ne faut rien sous-estimer. Les réseaux de la Confédération ont été pénétrés depuis un bar de pêcheurs de Soleure. Savez-vous où est-ce?»

Bien sûr, les outils de monitoring sont déjà une source d’informations et comptabilisent les attaques. En 2016 par exemple, 1,12 milliard d’internautes dans le monde se sont fait voler des données et un e-mail sur 312 véhicule un lien malveillant. Mauro Vignati, directeur de la Cyber Unit du gouvernement suisse martèle l’importance de faire circuler l’information. «Nous ne sommes pas un service secret, on ne contrôle pas tous les réseaux en Suisse. Nous n’avons pas ce pouvoir.

En cybersécurité, l’aspect préventif est plus difficile à mettre en place. En général, on compte plutôt les victimes, autrement dit les utilisateurs infectés. Ensuite, on regarde le vecteur d’infection, sa complexité et sa persistance. C’est pour cela que l’échange d’informations entre tous les acteurs est crucial. Il permet d’établir des collections d’attaques.» Et Paul Such de remettre la compresse: «En Suisse, on n’est pas bon pour partager les infos, alors que ce sont des indices utiles qui permettent d’identifier des comportements d’attaque.» C’est la raison d’être principale de Melani, centrale d’enregistrement et d’analyse pour la sûreté de l’information.

Eduquer les employés

Reste que l’humain garde toujours une place de choix, tant dans la vigilance que dans les erreurs. «On peut avoir le meilleur système de protection, si les utilisateurs continuent à ouvrir des e-mails et à cliquer sur des liens non identifiés, on ne peut rien y faire, regrette Marc Barbezat, responsable de l’Unité sécurité (USSI) du canton de Vaud. Il faut éduquer les services. Je passe mon temps à enlever des écrans les post-it avec des mots de passe. On doit trouver une manière de générer des mots de passe multiples, qui ont une logique et qui soient faciles à retenir. ça peut être une chanson, soyez créatif!»

Gérer l’amateurisme reste une large préoccupation. Si vous travaillez avec des entreprises qui n’ont pas de sécurité informatique, vous risquez d’être infecté, raison pour laquelle il faut être deux fois plus attentif. C’est comme avec la gastro-entérite. «On passe son temps à échanger des données avec des utilisateurs qui n’ont pas tous les mêmes capacités informatiques, rappelle le chef sécurité de Snapchat. Comment savoir si, par accident, un fichier n’a pas été copié ailleurs ou laissé ouvert? Comment savoir qui a fait l’erreur? C’est à toutes ces questions aussi que l’on doit répondre. Théoriquement, il faudrait que 10% de l’effectif de l’entreprise s’occupent de la sécurité IT et cela avec un panachage des compétences, car les attaques peuvent être tellement différentes. Un seul ingénieur en sécurité pour une PME de cinquante personnes, ça ne sert à rien.»

Actuellement en Suisse, une entreprise met en moyenne 143 jours à réaliser qu’elle a été infectée. Si une grande partie des PME ont pris la mesure du cyberrisque, peu ont encore franchi le cap de se mettre réellement à jour. «Au Security Operations Center (SOC) de l’Etat de Vaud, on répertorie quotidiennement 30 millions d’événements de tous types, 400 alertes ou tentatives de pénétration des réseaux et six investigations. Il y a trois campagnes de phishing par semaine, détaille Marc Barbezat. Ces chiffres permettent de matérialiser les risques, mais ça n’annule pas le facteur humain.»

Enfin, réalité presque inavouable pour qui n’est pas dans l’IT: le patching, autrement dit le rafistolage. Il fait pourtant partie intégrante du métier, tout comme la manipulation de données utilisateurs et l’omniprésence des accès. L’expérience n’est donc pas des plus agréables. «Il faut accepter le compromis. Souvent on ne peut pas éliminer le risque, alors on le cloisonne», relève Harman Singh. Frustrant, non? Ce n’est pas Jad Boutros qui vous dira le contraire. «On a toujours le sentiment de courir derrière. C’est un métier de frustration, conclut-il très honnêtement. Parfois, on ne peut pas résoudre une attaque suffisamment rapidement, alors il faut limiter les dégâts. Le meilleur conseil pour tous est de rester calme et de garder le sourire, car c’est très facile d’être frustré.» 

Vos obligations légales face aux failles de sécurité

Les entreprises et administrations suivent de près la révision de la Loi sur la protection des données (LPD), dont l’entrée en vigueur est attendue en 2019. A cette date, elles devront faire face à de nouvelles obligations en cas d’attaque de leurs systèmes informatiques qui impacterait les données personnelles de l’entreprise ou de ses partenaires. 

L’inquiétude est accélérée par la mise en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai prochain, touchant l’Europe et les entreprises suisses ayant un transfert de biens et services (fournisseurs, clients, sous-traitants, succursales) avec celle-ci. Ce qui concerne énormément de PME suisses. L’essentiel de ce qu’il faut savoir avec Sylvain Métille, avocat associé chez HDC.

Qu'est-ce qu'une faille?

Un incident de sécurité qui concerne des données personnelles et porte atteinte à la confidentialité, la disponibilité – même temporaire – ou à l’intégrité des données.
A savoir: nom, adresse, date de naissance, numéro d’assurance ou adresse IP…
Les personnes morales n’entreront pas dans cette catégorie. Exemple: la perte de
la liste des noms des membres d’un club de fitness, si celle-ci n’est pas déjà publique, peut être une atteinte si l’adhérent n’a pas autorisé sa publication.

Une atteinte à l’intégrité, c’est quoi?

La donnée est modifiée ou corrompue.
Il y a atteinte à la disponibilité si elle a été supprimée par erreur, a disparu pendant
une heure ou deux pour les documents extrêmement sensibles comme des dossiers médicaux, ou pendant plus longtemps pour des listes d’e-mails.

Quand annoncer?

Dans les meilleurs délais en Suisse, 72 heures au plus tard en Europe, ceci dès la connaissance de la faille. Il faut être plus rapide si le nombre de personnes impactées est élevé et/ou le risque est grand. Exemple: pour un accès à un code bancaire.

Obligation d’annoncer à qui?

Au préposé fédéral à la protection des données à Berne, par courrier ou sur une plateforme sécurisée confidentielle. Puis à la personne dont les données ont été touchées, si cela est nécessaire à sa protection. Par exemple, un mot de passe égaré doit être annoncé, car souvent l’utilisateur emploie le même pour plusieurs entrées. S’il est trop conséquent «d’annoncer» à tous, une annonce publique via les médias sociaux est valable. Dans le cas de sociétés répondant à la RGPD, l’annonce doit être faite par les sociétés suisses à toutes les autorités des pays européens concernés par la faille. S’il y en a plusieurs, cela déclenchera plusieurs procédures en parallèle.

Qui doit annoncer?

Le responsable du traitement. A l’interne évidemment, toute personne devrait transmettre les informations utiles à la personne responsable ou son supérieur hiérarchique. Pour un sous-traitant, il doit annoncer seulement au responsable du traitement des données.

Quelles sanctions?

Dans le projet actuel de révision de la LPD, l’amende maximale est de 250 000 francs dans le cas où vous n’annoncez pas une faille et alors que le préposé vous a ordonné de le faire sous menace d’amende. C’est la grosse différence avec le RGPD qui fixe une amende pouvant aller jusqu’à 2% du chiffre d’affaires (ou maximum dix millions d’euros); la double peine (4%) pouvant être appliquée pour manquement du devoir d’annonce et non-sécurisation des données.

Quid de la négligence?