KAPITAL

Cybersécurité: PME, préparez la riposte! (2ème partie)

Alors que les menaces informatiques ne cessent d’augmenter, la cybersécurité reste massivement négligée par les PME suisses. De la sauvegarde des données à la réaction adéquate à adopter après une attaque, les entreprises doivent pourtant impérativement prendre des mesures pour se protéger. Conseils et guide pratique.

Une version de cet article réalisé par Large Network est parue dans PME.

_______

Retrouvez la première partie du dossier ici.

_______

«C’est principalement la finalité qui nous différencie des hackers malveillants»

Dès l’enfance, Paul Such s’amusait à démonter des ordinateurs pour en comprendre le fonctionnement. Depuis plus de 20 ans, il «pirate» les entreprises et les institutions pour en exposer les failles. Après avoir fondé puis dirigé la société de cybersécurité SCRT pendant 15 ans avant de la revendre, il crée en 2016 l’entreprise Hacknowledge. Basée à Morges (VD), la PME de 52 employés, récemment rachetée par la Poste, s’est notamment spécialisée dans le hacking éthique.

Que fait un hackeur éthique ou «white hat hacker»?

Paul Such: «Le principe est la même que celui des hackers criminels, ou «black hat hacker», mais l’intention est différente. Dans notre cas, les entreprises sont au courant du piratage, elles nous mandatent, l’objectif étant de découvrir et de réparer les vulnérabilités de leur système. Un hacker malveillant va les exploiter à ses propres fins. Mais les compétences et les procédés sont les mêmes. C’est toujours grisant de se lancer dans la recherche des failles. C’est principalement la finalité qui change.

Quels sont vos outils?

Nous effectuons des “tests d’intrusion”. Cette méthode mobilise les mêmes techniques que les hackers malveillants pour pénétrer dans les logiciels et accéder aux données de l’entreprise. Nous cherchons les brèches techniques mais aussi les failles humaines. Ce sont par exemple des mails aux pièces jointes truffées de virus que nous envoyons à tous les employés afin de découvrir combien ouvrent l’email dangereux. Ces phases de test ont une durée variable, de deux jours à deux mois, selon la taille de l’entreprise et la quantité de données sensibles qu’elle manie. Plus on passe de temps, plus on peut creuser profondément, et repérer ce qu’un pirate trouverait sur le même laps de temps.

Que conseillez-vous aux PME?

Il faut sensibiliser et “re-responsabiliser” les employés. La plupart pensent savoir utiliser correctement l’informatique et négligent les comportements protecteurs. D’autres se dédouanent en se reposant sur les équipes informatiques. Or, la cybersécurité est un travail de tous, en continu. Il ne suffit pas d’une intervention pour garder une sécurité optimale dans le temps. Les collaborateurs peuvent être à la fois la pire faille et la meilleure des protections. Lorsqu’ils ne sont pas formés, 50% des employés se font avoir par les procédés d’ingénierie sociale. Formés, 90% repèrent le problème et le signalent.

Il faudrait également mener un test d’intrusion au minimum une fois par an. Une entreprise met en moyenne 100 jours à réaliser qu’elle a été piratée. Pendant cette période, les hackers peuvent chercher tranquillement les données les plus importantes de l’entreprise avant de lancer leur attaque, par exemple en chiffrant les informations contre rançon.

Que faut-il pour faire un bon hacker éthique?

De la curiosité et de la détermination. Il faut réfléchir à tous les moyens possibles par lesquels infiltrer l’entreprise. Côté technique, il faut constamment se tenir au courant des nouvelles failles de sécurité, des formes d’attaques afin de rester au même niveau de connaissance que les pirates. Enfin, il faut un casier judiciaire vierge, et dans le cas d’Hacknowledge, une résidence sur le sol suisse.»

Les spécialistes de la cybersécurité se regroupent

Le marché de la cybersécurité enregistre une phase de consolidation. Les besoins accrus des entreprises pour des solutions unifiées et la pénurie de personnel qualifié expliquent cette tendance.

Les rachats et fusions d’entreprises actives dans le domaine de la cybersécurité semblent prospérer ces derniers mois. Orange Cyberdefense, la filiale sécurité du groupe éponyme, a racheté au mois de novembre 2022 les sociétés morgeoises SCRT et Telsys, qui comptent à elles deux 100 collaborateurs répartis entre leur siège et leurs bureaux à Genève et à Berne. SCRT compte aujourd’hui parmi les leaders sur le marché suisse romand de la sécurité, et a fêté il y a quelques mois ses vingt ans d’existence, tandis que Telsys s’illustre comme le spécialiste des infrastructures cloud, réseau et de centres de données.

Autre opération majeure: la fusion en novembre 2022 entre l’entreprise vaudoise Elca Cloud Services (ECS) et EveryWare de Zurich. Leur objectif: «créer un spécialiste du cloud de premier plan à l’échelle nationale». Basée à Lausanne, l’entreprise ECS est issue du groupe Elca, une des plus importantes sociétés IT indépendantes en Suisse.

La tendance concerne aussi des PME spécialisées. Ainsi, la société e-Xpert Solutions, basée à Plan-les-Ouates (GE), et l’entreprise One Step Beyond, basée à Gland (VD), ont uni leurs forces en fin d’année dernière pour donner naissance à Swiss Expert Group (SEG), qui réunit désormais plus de 80 employés spécialisés dans les domaines de la cybersécurité et des solutions cloud.

L’objectif des fusions et des acquisitions est de pouvoir proposer plusieurs offres de sécurité d’une seule source, c’est-à-dire de combiner les compétences de différentes entreprises afin de proposer aux clients des solutions intégrées plus fortes, estime Nicole Wettstein, responsable du programme cybersécurité à l’Académie Suisse des Sciences Techniques (ASST-SATW): «Dans le domaine de la cybersécurité en particulier, le fait que certaines offres proviennent de la même entreprise peut constituer un avantage et une valeur ajoutée pour les clients, pour des raisons de due diligence. Cela réduit aussi au minimum les risques liés aux tiers.»

La pénurie de personnel qualifié renforce également la consolidation du secteur. «Le manque de spécialistes en cybersécurité en Suisse est un vrai problème. De nombreuses entreprises ont aujourd’hui des difficultés à trouver et à conserver des professionnels adéquats. Il faut donc s’attendre à ce que ces mouvements de regroupement se poursuivent à l’avenir.»

_______

Pénurie de main d’œuvre: le défi de la décennie

Manque à gagner

La Suisse manquera de 38’700 professionnels de l’informatique d’ici 2030 selon les dernières projections publiées par ICT Formation professionnelle. Tous les domaines sont concernés, des spécialistes en droit d’internet aux techniciens en cybersécurité en passant par les développeurs web. Le manque à gagner pour l’économie suisse pourrait s’élever à 31 milliards d’ici à la fin de la décennie selon un rapport de l’Institut d’études économiques de Bâle.

Adapter la politique

«On ne peut pas laisser les entreprises relever le défi de la cybersécurité seules.» Jean-Henry Morin, directeur du programme de Bachelor du Centre Universitaire d’Informatique de l’Université de Genève, appelle les pouvoirs publics à agir plus vite pour armer la jeune génération face au défi du numérique. Pour lui, cette transition ne peut s’effectuer que par la formation, «et le temps presse, d’autant que si une politique est effectivement adoptée, elle mettra au minimum une génération avant que l’on en perçoive les premiers résultats.»

Ouvrir la branche aux CFC

«Il faut rendre le métier plus attrayant pour les jeunes, et élargir l’offre de formations, plaide Sylvain Pasini, professeur en sécurité de l’information à la HEIG-VD. Les jeunes devraient avoir accès à une variété de voies ouvrant à différents types de postes dans le secteur de la cybersécurité, sans être forcés de suivre des études d’ingénieur.» Un avis partagé par Lennig Pedron, directrice de Trust Valley: «La formation professionnelle serait un excellent moyen de répondre à la demande croissante en analystes notamment.»