Alors que les menaces informatiques ne cessent d’augmenter, la cybersécurité reste massivement négligée par les PME suisses. De la sauvegarde des données à la réaction adéquate à adopter après une attaque, les entreprises doivent pourtant impérativement prendre des mesures pour se protéger. Conseils et guide pratique.
Une version de cet article réalisé par Large Network est parue dans PME.
_______
La cybersécurité constitue le danger numéro 1 pour les entreprises en 2023, selon le baromètre des risques établi par Allianz sur 94 pays. L’enjeu dépasse ainsi les problèmes de chaines d’approvisionnement, l’inflation ou encore la crise de l’énergie. «Certaines PME ne se sentent pas concernées par le danger des cyberattaques, estiment n’avoir aucune donnée sensible, ne pas représenter des proies intéressantes. Or, ce ne sont pas forcément les données qui sont la cible de l’attaque. Mettre à l’arrêt une entreprise pour la forcer à payer est aussi une méthode, quel que soit le domaine d’activité», prévient Sylvain Pasini, professeur en sécurité de l’information à la Haute école d’ingénierie et de gestion du canton de Vaud (HEIG-VD). Il y a initié la création du premier Bachelor dédié à la cybersécurité en 2010.
En Suisse, une PME sur trois a déjà été victime d’une cyberattaque, et la tendance est à la hausse: en 2023, le fournisseur de cybersécurité Check Point a recensé une augmentation de 61% des cyberattaques contre les entreprises suisses. Au mois de novembre dernier, la cyberattaque sur la société Winbiz, qui propose des logiciels de comptabilité et de facturation en cloud, a entrainé le blocage de plus de 45’000 PME et près d’un millier de fiduciaires suisses. Pourtant, les entreprises continuent de négliger ce danger: seule la moitié des PME suisses disposent de concepts de sécurité informatique, forment régulièrement leur personnel ou mènent des audits en cybersécurité.
Face à l’ampleur croissante de cette menace, le Centre national pour la cybersécurité (NCSC), créé en 2019, devient cette année un office fédéral à part entière, et il sera rattaché non plus aux Finances mais au département de la Défense. Le nombre de cyberattaques que les experts ont recensées a été multiplié par plus de trois entre 2020 et 2022. «Les entreprises réalisent progressivement l’importance de cette problématique, notamment, hélas, par le nombre croissant de victimes de piratage», constate Solange Ghernaouti, experte internationale en cybersécurité et professeure à l’Université de Lausanne. Les entreprises doivent désormais appréhender la question et se tenir prêtes. PME, voici cinq règles à suivre pour lutter contre les pirates informatiques.
- Connaître les risques
«L’entreprise doit faire l’inventaire de son patrimoine informatique pour établir quel type de données elle traite – données personnelles, de propriété intellectuelle, financières –, l’état des sauvegardes, si elle a un site internet, où sont hébergés les serveurs, quels type de messagerie elle utilise, etc., explique Sylvain Pasini, professeur en sécurité de l’information à la HEIG-VD. Cet état des lieux est primordial pour déterminer quels sont les besoins et les risques encourus.»
Contrairement aux idées reçues, l’attaque la plus fréquente n’est pas le ransomware, autrement dit le chiffrement (cryptage) des données contre rançon, mais le phishing par email forgés, l’abus de système de paiement en ligne et les fausses annonces. Les plus préjudiciables financièrement en revanche, sont notamment la fraude à l’investissement et les «arnaques au président» (demander par courriel un virement d’argent en se faisant passer pour le CEO).
Pour une entreprise, il ne s’agit pas de savoir «si», mais plutôt «quand» une cyberattaque surviendra. Il ne suffit donc pas d’ériger ses défenses et d’adopter les meilleures pratiques, il faut aussi en assurer la pérennité. «Intégrer la planification, la mise en œuvre et la vérification de l’efficacité des mesures dans les processus habituels de l’entreprise est la seule façon de garantir une cybersécurité à moindre coût», explique Florian Schütz, délégué fédéral à la cybersécurité. Les hackeurs éthiques sont d’une grande aide car ils décèlent les failles du système et en informent les personnes concernées, aussi bien les potentielles victimes que les responsables de la cybersécurité.»
Le conseil:
«L’entreprise doit prendre des mesures non seulement techniques mais aussi en matière d’organisation, et définir qui s’occupe de la gérance de la cybersécurité, de la gestion de crise, etc.», explique Christophe Hauert, cofondateur et secrétaire général de l’association Cyber-Safe. Pour beaucoup d’entre elles, il s’agira avant tout de définir les responsabilités de chacun, «en incluant la cybersécurité dans le cahier des charges par exemple, même si cela conduit à faire appel à un service externe.»
- Sécuriser le télétravail
«Le télétravail doit s’accompagner de règles d’usage claires. Ce sont par exemple: ne pas utiliser l’ordinateur dédié au télétravail à des fins personnelles, éteindre son ordinateur après usage, ne pas le laisser à la portée de tous, ou encore ne pas utiliser d’outils de messagerie ou de cloud privé, avertit Solange Ghernaouti, experte en cybersécurité. La connexion entre l’ordinateur à domicile et le réseau de l’entreprise doit également faire l’objet d’une sécurisation ad hoc, notamment via des services VPN adaptés.»
En effet, lorsqu’un ordinateur se connecte à distance, il crée une faille dans le pare-feu du réseau interne. Pour une protection optimale, il faut également s’équiper «d’antivirus robustes et dûment mis à jour», précise Nicolas Frey, ingénieur en cybersécurité chez Cyber-Safe.
La surveillance des comportements constitue une couche de sécurité supplémentaire. L’objectif est alors de scruter et d’enregistrer toutes les connexions au sein du système, afin de prévenir une éventuelle intrusion ou, du moins, de la repérer à temps. «Cela passe par des outils de contrôle, avec des identifications et des droits d’accès renforcés», confirme Solange Ghernaouti.
Nicolas Frey appelle aussi à se préparer aux erreurs humaines, en protégeant notamment les ordinateurs portables contre toute fuite de données en cas de vol ou de perte. «Lorsqu’une personne mal intentionnée met la main sur un appareil, on ne peut pas l’empêcher de l’utiliser mais on peut limiter son accès aux données, à conditions qu’elles aient été chiffrées. Sur Windows, on active par exemple cette fonctionnalité en cochant une case dans le panneau de configuration.»
Le conseil:
En cas d’intrusion, plus le niveau d’accès est élevé, plus les dégâts sont importants. Il convient donc de complexifier l’accès aux comptes administrateurs. «S’ils prennent le contrôle d’un de ces comptes, les hackers peuvent en effet désactiver l’antivirus et faire tomber le pare-feu, rappelle Christophe Hauert. Restreindre ces accès au strict nécessaire est une manière simple de minimiser les risques d’intrusion à ce niveau de hiérarchie.»
- Sauvegarder ses données
«Diversifier les lieux de sauvegarde est une démarche élémentaire, explique Jean-Henry Morin, professeur au Centre universitaire d’informatique de l’Université de Genève. Que l’on dispose d’un back-up sur site ou que l’on fasse appel à un service externe, il faut impérativement mettre en place une solution.» Pour les données stockées à l’externe, l’entreprise devra par contre se préparer à ce que le téléchargement du back-up prenne plusieurs jours. Établir une stratégie pour que les fichiers vitaux soient accessibles le plus vite possible est donc une première étape.
Autre point crucial selon Christophe Hauert de l’association Cyber-Safe: tester les sauvegardes. «Cela peut éviter un désastre, comme dans le cas où le mot de passe pour accéder à la sauvegarde ne se trouve nulle part ailleurs que dans la sauvegarde elle-même.»
L’expert plaide aussi pour une certaine frugalité numérique qui, en définitive, constitue le meilleur moyen de mettre ses données hors de portée des hackers et d’économiser de l’énergie. «Il faut se demander si garder 15 ans d’archives en doublon sur des serveurs est vraiment une nécessité. Certaines données peuvent certainement être stockées hors ligne sur un disque dur externe déconnecté du réseau ou être supprimées du support numérique après un certain temps.»
Le conseil:
Tenir un inventaire pour savoir où se trouvent ses données peut s’avérer décisif en cas d’incident. Christophe Hauert met en garde: «La sécurité des sauvegardes dépend de leur capacité à rester accessibles et à l’abri des attaques. Mais pour cela, encore faut-il savoir précisément où se trouvent chaque fichier et ses éventuelles copies.»
- Savoir réagir en cas d’attaque
«Certains réflexes peuvent sauver l’entreprise, assure Nicolas Frey de Cyber-Safe. Lorsque les mécanismes de surveillance ont bien été mis en œuvre, il est possible de repérer l’intrusion et de l’isoler avant que l’ensemble des données soient chiffrées par les assaillants.» Tirer la prise internet – mais pas la prise de courant – et/ou couper la connexion au Wifi constitue une solution radicale mais relativement efficace. Ce geste isolera physiquement le réseau interne du web, coupant court à toute intrusion frauduleuse, mais aussi à toute activité légitime.
Il n’existe aucune obligation de signalement des cyberattaques aux autorités compétentes, pas même à la police. Le NCSC appelle toutefois à ne pas sous-estimer l’importance du reporting en cette période d’activité accrue des hackers. «Les cyberattaques, en particulier par rançongiciels, devraient en principe être dénoncées pour que les autorités de poursuite pénale soient impliquées, conseille Florian Schütz, délégué fédéral à la cybersécurité. Cela permet à la police de récolter des informations qui, d’une part, servent à faire avancer la poursuite pénale et d’autre part, peuvent servir à des fins de prévention.»
Il est également essentiel de gérer la communication, tant à l’interne qu’à l’externe, afin d’éviter les malentendus et la propagation incontrôlée des rumeurs. «Il convient de ne pas sous-estimer l’impact d’un tel événement sur la réputation de l’entreprise», ajoute l’expert fédéral. Mais maîtriser de la communication ne signifie pas omerta: les personnes potentiellement concernées par l’incident doivent être informées au plus vite.
Le conseil:
Dans un monde où les entreprises sont interconnectées, les cyberattaques peuvent se propager. «Dans le cas où les assaillants récupèrent un trousseau de mots de passe, il leur est alors parfois possible de l’utiliser pour pénétrer dans l’intranet d’un client ou d’une entreprise partenaire», explique Nicolas Frey. Ainsi, les contacts doivent être prévenus, «car ils pourraient faire l’objet d’attaques plus ciblées.»
- Sous-traiter et externaliser
«Assurer la protection et le maintien de la sécurité d’un système informatique au sein d’une entreprise représente un métier à part entière, explique Sylvain Pasini. Il vaut donc mieux faire appel à une société externe spécialisée, puisque les PME n’ont généralement ni les ressources humaines pour s’en occuper correctement, ni les ressources financières pour engager quelqu’un dédié à ce poste.» Le conseil s’applique particulièrement pour les serveurs et les messageries. «Les serveurs externes sont entretenus et surveillés par des professionnels, y recourir constitue un gain de temps et de sécurité.»
La notoriété de fiabilité, l’évolutivité et le support technique inclus sont d’importants critères pour choisir son prestataire. «Il faut aussi garder accès à ses sauvegardes, erreur qu’avait commise Winbiz avec ses clients», précise le professeur. En faisant appel à une société de cybersécurité, les PME délèguent leurs risques informatiques et peuvent se concentrer sur le déroulement de leur activité et leur croissance, tout en protégeant leur réputation.
Enfin, les PME doivent pouvoir répondre aux demandes légales. «Jusqu’à présent, la Suisse a fait le choix d’être relativement peu contraignante et de laisser la liberté aux entreprises de déterminer leur propre sécurité informatique, dit Sylvain Pasini. La révision de la LPD en septembre va poser un cadre plus contraignant: pour conserver leurs clients, les entreprises vont devoir améliorer la protection des données qu’elles traitent.»
Conseil:
Pour choisir son prestataire cloud, chaque entreprise doit déterminer ses besoins et ses priorités. Pour Jean-Henry Morin: «Certaines feront le choix des géants du web, car leurs prix sont imbattables. D’autres opteront pour des prestataires locaux, en général plus onéreux mais offrant une certaine tranquillité du fait qu’ils n’exportent pas les données à l’étranger et qu’ils s’avèrent souvent plus accessibles en cas de besoin.»
_______
Trois témoignages
Victime collatérale
Le 20 novembre 2022, le raz de marée entrainé par le piratage des logiciels gérés par Winbiz se répercute concrètement sur les entreprises clientes. «À notre arrivée le matin, il était impossible de se connecter à nos bases de données. Nous ne pouvions plus émettre de factures, de bulletins de commande, d’encaissement, de fiches de salaire. Nous n’avions plus les contacts ni de nos clients ni de nos fournisseurs, se rappelle Bertrand Berthoud, directeur de La Petite Cave du Chablais, entreprise spécialisée dans la livraison de boissons auprès des professionnels et particuliers. Toutes les références des articles et leur prix étaient inaccessibles, un vrai problème pour nos magasins. Nous avons réalisé combien il est impossible de travailler sans ordinateur aujourd’hui.»
La PME de 28 employés basée à Collombey (VS) et à Villeneuve (VD) a alors continué à livrer en indiquant par lettre que les facturations seraient repoussées. Pour les commandes, tout s’est fait par téléphone avec des bons écrits à la main. L’entreprise reste encore aujourd’hui profondément impactée par la cyberattaque. «Nous ne sommes toujours pas revenus à la normale. Notre trésorerie a été complétement décalée. Une personne travaille quotidiennement pour remettre en place le système, et notamment pour enregistrer et certifier toutes les opérations notées sur papier.»
Le stress et la frustration accompagnent la période de crise. «Nous avions fait confiance à Winbiz, cru leurs promesses de sécurité. Ils nous avaient incités à passer sur le cloud et à ne pas nous préoccuper des sauvegardes dont ils étaient censés se charger. Or, nous n’avons pas pu les retrouver avant des semaines.» Aujourd’hui, Bertrand Berthoud va changer de fournisseur. «Un investissement de 45’000 francs, c’est un coût conséquent. Et d’autant plus que rien ne nous assure que ça n’arrivera pas une nouvelle fois. Mais maintenant, nous avons mis en place nos propres sauvegardes plusieurs fois par jour, débranchées du réseau.»
_______
L’importance d’une communication transparente
La société fiduciaire GRF, basée à Morges, a été victime d’une attaque informatique en octobre 2021. «Un lundi matin, nous avons constaté un accès non autorisé à notre serveur interne, accompagné d’un message nous invitant à prendre contact par e-mail», explique Virgile Rochat, directeur de GRF, qui compte 14 collaborateurs. Les hackers menacent de publier les données récupérées si la société ne paie pas une rançon de 200’000 francs.
La fiduciaire contacte immédiatement son prestataire informatique pour réaliser une restauration du serveur. «Nous avons compris plus tard qu’il aurait mieux fallu ne toucher à rien pour faciliter l’enquête forensique.» Par ailleurs, les échanges avec les hackers montrent que ceux-ci n’ont pas eu accès à des données sensibles, ce qui encourage la société à ne pas payer la rançon.
Une communication franche et régulière s’est avérée essentielle pour gérer au mieux l’intrusion. «Le recours à un avocat et à un consultant spécialisé nous a permis d’être bien appuyés pour répondre aux questions.» La société organise notamment une séance d’information destinée à ses clients issus des collectivités publiques.
«L’attaque a aussi été l’occasion de réaliser que l’informatique réseau et la cybersécurité sont des domaines qui requièrent chacun des compétences distinctes.» Suite à cet incident, GRF a engagé un prestataire en cybersécurité pour réaliser un audit de son infrastructure et émettre des recommandations en vue d’un renforcement des mesures de sécurité. «Il est aussi essentiel de former et d’informer les collaborateurs aux risques et aux bonnes pratiques. Enfin, la transparence dont nous avons fait preuve a été un élément que nos clients ont beaucoup apprécié.»
_______
Miser sur la transparence
«Tout a commencé avec un appel du National Cybersercurity Center (NCSC), qui nous a alerté avoir trouvé des copies de cartes d’identité de nos abonnées sur le darkweb.» Benoît Chobaz, administrateur au Cycle d’orientation de la Glâne à Romont (FR), s’occupe de la gestion du centre culturel et sportif l’Epicentre. Créé en 2020, l’établissement a mis en place un système d’abonnement avec inscription en ligne. Pour vérifier l’identité de ses membres, le centre demande un selfie, qui sert de photo d’utilisateur, et une copie du recto de la carte d’identité. Le vendredi 10 février 2023, il constate donc que les copies des papiers d’identité de 377 abonnés, sur plus de 10’000 en tout, ont été hackées.
Benoît Chobaz bloque immédiatement le site. «Nous ne pouvions plus créer de compte, mais au moins, tout était arrêté et la base de données générale protégée. La police de cybersécurité fribourgeoise est ensuite intervenue, puis nous avons porté plainte. Le site est resté fermé 10 jours. Heureusement, nous avions souscrit à une assurance cybersécurité.»
L’Epicentre a contacté personnellement chacune des personnes dont la carte avait fuité, tout en avertissant la presse. «La transparence est toujours à privilégier. Toute fuite de données est un sujet sensible qui aurait fini par se savoir. Autant être francs, que nos utilisateurs apprennent la nouvelle de notre part, et expliquer ce que nous avons mis en place pour gérer l’attaque.»
Pour l’administrateur, les réactions ont été globalement bienveillantes: «Le public comprend que les cyber-risques sont désormais inhérents à nos sociétés.» Depuis, l’Epicentre a fait appel à une société extérieure pour analyser leur système et ont mis en place une suppression automatique des photos après vérification de l’identité.
_______
En chiffres
757: Le nombre de cyberattaques répertoriées entre le 13 et le 19 mars 2023 selon le Centre national pour la cybersécurité (NCSC). La Suisse a donc subi plus de 108 tentatives – réussies ou échouées – par jour en une semaine. Le NCSC rappelle que toutes les tentatives de piratage ne sont pas signalées. Le chiffre réel serait donc encore plus élevé. Il n’existe en effet aucune obligation de signalement des cyberattaques, même si la pratique est recommandée.
8’440 milliards de dollars: Selon le rapport de prévision 2023 de la plateforme Statista, citant notamment des sources du FBI et du FMI, les cyberattaques auraient coûté 8’440 milliards de dollars au niveau mondial rien qu’en 2022, soit quatre fois plus qu’en 2019. L’addition pourrait même atteindre 11’500 milliards cette année.
2’600: Dans le canton de Vaud, plus de 2’600 plaintes ont été déposées auprès de la police en 2021 pour un préjudice de plus de 20 millions de francs. Or, selon les estimations, seulement 10% des incidents sont annoncés, ce qui pousse l’évaluation des dommages à environ 200 millions de francs.
167%: C’est le ratio indemnités versées/primes perçues par les assurances françaises en 2021 pour des situations de cyberattaques, selon le rapport Lucy. Et ce déséquilibre se généralise: dans les colonnes du Financial Times, le directeur de Zurich Assurance Mario Greco déclarait en décembre dernier que les cyberattaques étaient «en passe de devenir impossibles à assurer».
_______
Retrouvez la deuxième partie du dossier demain.