Les intrusions informatiques constituent un risque majeur que les entreprises négligent trop souvent. La nouvelle réglementation, qui entrera en vigueur en septembre prochain, en contraindra certaines à investir dans une meilleure sécurisation des données.
Partager:
Une version de cet article réalisé par Large Network est parue dans PME.
_______
Alors que plus d’une PME sur trois a déjà été victime d’une cyberattaque en Suisse, le phénomène reste encore fortement sous-estimé. Seulement 56% des PME suisses jugent la cybersécurité importante pour leur entreprise selon une étude réalisée par gfs-zürich en novembre 2021. «La Suisse est très en retard en matière de réglementation de la cybersécurité, déplore Dominique Vidal, fondateur et directeur de SecuLabs, entreprise de sécurité informatique basée à l’EPFL Innovation Park et à Montricher (VD). Une entreprise n’a pour le moment aucune obligation en matière de protection des données de ses clients, sauf si elle travaille avec des pays membres de l’Union européenne et doit alors respecter le Règlement général sur la protection des données (RGPD) mis en place en 2018.»
La situation va néanmoins changer le 1er septembre 2023 avec l’entrée en vigueur de la nouvelle loi sur la protection des données (LPD). Elle impliquera les mêmes exigences que son équivalent européen, soit notamment une extension des données sensibles, une transparence accrue et la tenue d’un registre des activités de traitement. «Acter ces obligations dans la loi reste la seule manière de pousser les entreprises à opérer les changements nécessaires, souligne le chef d’entreprise, qui regrette néanmoins la perte de liberté des PME. La mise à niveau va demander des investissements. Or pour certaines entreprises, le développement de leur activité peut parfois prévaloir. Je trouve dommageable que les entrepreneurs ne puissent plus choisir selon leurs priorités.»
Protéger ses données
«Le télétravail a permis une plus grande flexibilité des emplois, mais la sécurité informatique n’a pas toujours été adaptée.» Que ce soit pour le serveur partagé ou pour les adresses email, chaque collaborateur devrait procéder à une double authentification. «C’est essentiel puisque les connexions externes –parfois effectuées depuis des serveurs publics et non sécurisés comme par exemple des wifis d’aéroport ou de cafés– représentent des failles béantes, qui peuvent ouvrir l’accès à l’intégralité des données d’une entreprise.»
SecuLabs compte 28 collaborateurs et travaille pour plus de 200 entreprises de Suisse romande. Créée en 2012, elle enregistre environ 30% de croissance par année. «Les besoins en cybersécurité dépendent du niveau de maturité d’une entreprise. À partir de quatre employés, les informations doivent être partagées, ce qui expose à des vulnérabilités.» Alors que faire? «Dans un premier temps vient la question des emails. Les PME devraient faire confiance à une entreprise spécialisée pour sécuriser leurs échanges: en transférant la responsabilité, ils s’assurent qu’une équipe qualifiée s’occupe du maintien et de la protection de leurs messageries. La renommée de l’entreprise est un bon moyen de faire son choix.»
L’entreprise peut ensuite mener un audit de sécurité. «Nous regardons alors les processus en place afin d’identifier les potentielles brèches et proposer des solutions applicables immédiatement.» L’alliance de sécurité digitale suisse a également mis au point un test en ligne à destination des PME afin qu’elles puissent évaluer le niveau de protection de leur entreprise. Enfin, les PME peuvent demander un test d’intrusion. «Nos équipes utilisent alors les mêmes méthodes que les hackeurs pour identifier toutes les failles et les corriger.»
Multiples sauvegardes
«Il existe quatre types de hackers: les “hacktivistes” comme Anonymous, qui volent des données avec un objectif politique, le crime organisé, certains États, et la menace interne. Ce dernier profil –trop souvent négligé– correspond à un ancien ou actuel collaborateur qui souhaite se venger de son employeur.»
Une des méthodes de cyberattaque la plus courante actuellement est le ransomware. Les pirates accèdent aux données d’une entreprise et les cryptent. La PME n’arrive alors plus à se connecter et doit payer pour récupérer ses données. En cas de non-paiement, les informations sont rendues publiques. «La rançon équivaut généralement à 1% du chiffre d’affaires de l’entreprise, précise l’expert. Les piratages sont rapides puisque les voleurs se concentrent en priorité sur les back up, qui regroupent généralement les données sensibles. Les entreprises devraient donc toujours avoir une sauvegarde supplémentaire déconnectée du réseau.»
Sensibiliser les collaborateurs
Les défenses actuelles (antivirus, pare-feu) empêchent l’installation directe de logiciels de cyberattaque. Les hackeurs doivent donc trouver une porte d’entrée, idéalement depuis l’intérieur de l’entreprise. La méthode classique est l’email piégé, ouvert par mégarde par un employé. Il est donc primordial de sensibiliser et de former les équipes aux bonnes pratiques. À cette fin, SecuLabs mène régulièrement des campagnes de «phishing» pour ses clients. «Environ 10% des destinataires ouvrent la pièce jointe ou saisissent leur nom d’utilisateur et mot de passe. En moins de deux minutes, les pirates peuvent ainsi obtenir un accès à l’intérieur de l’entreprise.»
Pour l’expert, l’idéal reste de se faire accompagner pour que les enjeux soient bien expliqués et compris, mais «si l’entreprise a peu de budget à allouer à la sécurité informatique, elle peut trouver une solution en interne. Chaque entreprise a un collaborateur plus à l’aise avec l’informatique que les autres qui peut vulgariser et expliquer à ses collègues les bonnes pratiques.»