KAPITAL

Piratage, tromperie, arnaques: les dangers de la cybercriminalité (2ème partie)

Alors qu’un quart des PME suisses ont déjà subi une cyberattaque, les entreprises doivent désormais impérativement apprendre à s’en protéger, notamment en sécurisant leurs données et en sensibilisant leurs collaborateurs.

Une version de cet article réalisé par Large Network est parue dans PME Magazine.

_______

Retrouver la première partie du dossier ici.

_______

«Nous identifions toutes les portes d’entrées possibles des cyberattaquants»

Ils sont seulement quelques dizaines en Suisse romande à «hacker» des systèmes informatiques pour la bonne cause. Quentin Praz, ingénieur en sécurité chez Navixia à Écublens (VD) et diplômé de l’EPFL, explique cette discipline.

Comment procédez-vous pour effectuer du hacking éthique, appelé aussi «tests d’intrusion»?

Quentin Praz: En premier lieu, nous déterminons la surface d’attaque, autrement dit, nous cherchons à identifier tout ce qui est exposé sur internet. Il pourra s’agir par exemple de serveurs mails, d’applications pour la clientèle, d’accès VPN, etc. Nous devons être les plus exhaustifs possibles. Si nous manquons un service, nous manquons une porte d’entrée possible pour une cyberattaque.

Dans un second temps, nous cherchons à trouver toutes les vulnérabilités possibles à l’intérieur de cette surface, soit toutes les failles pouvant porter à atteinte au fonctionnement du système ou à l’intégrité des données. Certaines sont déjà connues et listées dans des bases de données publiques, qui indiquent par exemple que les versions X ou Y de tel serveur ont une faiblesse. D’autres vulnérabilités doivent être identifiées par nous-mêmes, par exemple lorsqu’elles concernent des applications web spécialement développées par le client.

Enfin, nous rendons au client un rapport résumant tous les tests d’intrusion qui ont été menés, les vulnérabilités trouvées et nos recommandations.

Quelles erreurs commettent le plus souvent les PME que vous auditez?

Les vulnérabilités proviennent souvent de systèmes qui ne sont pas à jour, comme des serveurs ou des logiciels. Les patchs de sécurité pour corriger la faille n’ont pas encore été installés. Elles sont aussi souvent le fait d’une erreur dans le code informatique, lors de développements personnalisés. Par exemple, la segmentation des comptes n’a pas été correctement réalisée sur un portail client et un utilisateur peut potentiellement voir les données d’un autre usager. Les grandes entreprises budgètent et réalisent des audits dès la phase de développement de leurs applications. Mais pour une petite entreprise, qui n’a pas forcément les moyens pour cela, il est souvent plus sûr d’utiliser des produits grand public, qui sont utilisés par des millions de personnes et donc, beaucoup plus contrôlés. Il faut toutefois bien les garder à jour, car ils sont aussi plus souvent attaqués.

De manière générale, il faut se demander en tant que PME: quels sont mes risques? Si j’ai un serveur mail et un site interne hébergé dans le cloud, je n’ai pas une grande exposition. Si je manie des données sensibles de clients ou que mon appareil de production dépend de plusieurs logiciels connectés, je pourrais songer à un audit.

Quelles sont les principales différences entre un hacker et vous?

Nos techniques sont identiques mais nos philosophies diffèrent grandement. Le pirate informatique va rechercher n’importe quelle faille pour l’exploiter et nuire, en demandant une rançon ou volant des données. Nous recherchons des vulnérabilités, mais dans le but d’aider nos clients, de prévenir des attaques. Nous sommes complétement indolores et exhaustifs dans l’identification des failles.

_______

Point juridique: la Suisse et le RGPD

Le RGPD (Règlement général de protection des données) est un règlement européen, entré en force en mai 2018. «Comme la Suisse n’est pas membre de l’Union européenne (U.E.), elle n’y est pas directement soumise, explique Juliette Ancelle, avocate spécialisée dans les domaines de la propriété intellectuelle et du droit des technologies avancées, à Lausanne. Cependant, certaines clauses ont des applications qui débordent les frontières européennes.» Les entreprises qui ont leur siège en Suisse avec une succursale dans un pays membre de l’U.E., ou qui traitent les données personnelles de citoyens européens qu’elles ciblent dans leurs activités commerciales, sont soumises au RGPD.

Les entreprises concernées doivent alors respecter les mesures suivantes: nécessité d’informer et d’obtenir le consentement de la personne dont les données sont traitées ; assurer le “Privacy by design” et le “Privacy by default” (prise en compte de la protection des données personnelles dans la conception des outils informatiques) ; tenir un registre des activités de traitement, déclarer les cas de violation des données à l’autorité de contrôle ; ou encore procéder à une analyse d’impact relative à la protection des données.

Théoriquement, les entreprises soumises au RGPD doivent également désigner un représentant dans l’U.E., mais cette condition n’est pas toujours remplie. «Ce n’est pas toujours évident de savoir à qui s’adresser, expose Juliette Ancelle. Les sociétés craignent aussi de se soumettre à la supervision des autorités de contrôle.»

En cas d’infraction au RGPD, l’amende peut s’élever jusqu’à 4% du chiffre d’affaire annuel de l’exercice précédent d’une société. Pour le moment, en tant qu’avocate, Juliette Ancelle n’a pas eu à accompagner d’entreprises sanctionnées qui souhaitaient faire recours. «Les amendes sont prononcées par les autorités nationales, qui ne peuvent pas venir en Suisse pour délivrer des amendes», explique-t-elle. Elle a surtout accompagné les entreprises pour leur mise en conformité, «un important travail, à la fois sur le plan technique mais aussi en matière de sensibilisation au sujet.»

De son côté, la Suisse met à jour sa Loi sur la protection des données (LPD), qui existe depuis le début des années 1990. La nouvelle mouture, largement révisée, entrera en vigueur en 2022. La nouvelle loi est sensée s’adapter au niveau d’exigence du RGPD, mais prévoit des sanctions moins importantes sur le plan financier. Elle stipule cependant des sanctions pénales, qui visent donc primairement les individus plutôt que l’entreprise. Une mesure «qui peut être dissuasive», estime l’avocate.

L’identité numérique

Un seul identifiant, un seul mot de passe, le tout sécurisé: voici la promesse de l’identité numérique. Aussi appelée e-ID, cette fonctionnalité vise à simplifier les connexions sur internet. Cette identité se décline sous différents niveaux de garantie: faible, substantiel et élevé en fonction du type de transactions. Elle comprend le nom, prénom, sexe, date de naissance, adresse, numéro de téléphone, voire une copie d’une pièce d’identité. Son adhésion est volontaire. L’objectif de cette clé unique est de pouvoir demander un extrait du registre des poursuites, faire du shopping en ligne, ou encore acheter un ticket de train avec un seul et même identifiant sécurisé.

En Suisse, aucune procédure n’est approuvée par l’État. Le Conseil fédéral et le Parlement avaient préparé une loi instaurant un système d’identification reconnu par la Confédération: l’e-ID. Ce projet a toutefois été rejeté à 64% en votation populaire le 7 mars dernier, notamment parce qu’il stipulait que le secteur privé serait en charge de fournir les identifications électroniques. Les opposants au texte avaient souligné le risque de communiquer des informations sensibles à des entreprises.

«L’e-ID constitue une solution d’avenir puisque notre société est de plus en plus digitalisée, souligne Sergio Alves Domingues, chief technical officer chez SCRT, entreprise vaudoise active en cybersécurité. Au niveau technique, la Suisse dispose des outils et compétences nécessaires pour la mettre en place. Les enjeux sont aujourd’hui plutôt politiques et sociaux, tels que la méfiance des citoyens vis-à-vis de la digitalisation ou encore l’accès des aînés aux technologies numériques.»

_______

Ils ont subi du hacking: témoignages

Noémie Carera, Directrice financière de MFP-Préfa (entreprise familiale basée à Marin-Epagnier, active dans la production d’éléments préfabriqués en béton)

«Le 18 mai dernier, en arrivant au bureau le matin, tous nos fichiers étaient cryptés. Sur le serveur, un message texte affichait une demande de rançon en bitcoins, sans montant précis, avec seulement des adresses mails de contact. Nous avons eu du mal à y croire, c’était complètement irréel. Nous avons pris la mesure de la situation lorsque des experts en cybersécurité – que nous a envoyé notre compagnie d’assurance – nous ont expliqué de quoi il s’agissait.

La production ne s’est pas arrêtée car nous avons toujours quelques semaines d’avance sur les plans. Mais le bureau technique et l’administration ont fermé pendant cinq jours. A leur retour, les techniciens ont eu un énorme travail pour reconfigurer le programme de dessin des plans. Cela a eu un impact sur les chantiers, qui ont pris du retard. Il est encore difficile de chiffrer les conséquences de cette attaque, mais cela avoisinera sans doute le demi-million de francs. Nous avons la chance d’être dans une période solide, avec de bonnes projections de chantiers pour les mois à venir.

Nous n’avons pas payé la rançon. Les experts en cybersécurité pensaient qu’elle venait de la mafia russe. On s’est dit qu’on était plus forts qu’eux et qu’on se relèverait. Depuis, nous avons pris des mesures de sécurité supplémentaires: solutions techniques, audits externes réguliers avec simulations d’attaques et formation des collaborateurs.»

Andreas Schneider, Chief Security Officer de TX Group

«Tout a commencé par des problèmes de connexion à l’interne, un week-end de novembre 2020. Il a fallu quelques heures pour que notre fournisseur d’accès nous informe qu’il s’agissait d’une vaste attaque DDoS (Distributed Denial of Service). Les hackers ont opéré par vagues, contre plusieurs services de notre groupe et de nos entreprises partenaires. En tout, les attaques ont duré 32 jours.

Dès le début, nous avons mis en place une cellule de crise composée de cadres supérieurs et d’ingénieurs, ce qui a permis une excellente coordination et communication. Grâce à notre expérience en la matière, nous avons pu contrer efficacement ces attaques. Cela a nécessité beaucoup de ressources en termes de temps et d’efforts, mais l’impact réel sur l’entreprise a été très faible. Les données clients de nos lecteurs, annonceurs et spécialistes du marketing n’ont jamais été menacées. Nous n’avons pas directement perdu d’argent, à l’exception de quelques campagnes de marketing que nous n’avons pas pu mener comme prévu.

Le fait que les attaquants aient visé bon nombre de nos services nous a permis de mettre en évidence des points faibles dont nous n’avions pas conscience. Aujourd’hui, nous essayons de devenir une entreprise “Cloud Only”. Nous investissons pour rendre notre lieu de travail plus sûr et nous nous concentrons sur la création de produits avec une sécurité intégrée.»