![\"cyberlock.jpg\"](\"\/wp-content\/uploads\/102013\/cyberlock.jpg\" "\\"cyberlock.jpg\\"")
<\/p>\n<\/p>\n
L’ennemi vient rarement de l\u00e0 o\u00f9 on l’attend; un adage particuli\u00e8rement pertinent dans l’univers opaque de la cybercriminalit\u00e9. Les PME romandes ne se doutent pas qu’elles peuvent servir de passerelles aux pirates \u00e9conomiques qui cherchent \u00e0 s’introduire dans le syst\u00e8me informatique d’une grande entreprise. \u00abInfiltrer une banque suisse depuis l’ext\u00e9rieur reste un exercice particuli\u00e8rement d\u00e9licat, rel\u00e8ve le hacker \u00e9thique Ilia Kolochenko \u00e0 Gen\u00e8ve, fondateur de la soci\u00e9t\u00e9 High-Tech Bridge. En revanche, de nombreuses petites structures de consulting, \u00e0 la gestion informatique laxiste, peuvent avoir un acc\u00e8s privil\u00e9gi\u00e9 au syst\u00e8me informatique des \u00e9tablissements bancaires. Il est mille fois plus facile de les pirater, elles.\u00bb<\/p>\n
Dans une Suisse romande \u00e0 la densit\u00e9 \u00e9lev\u00e9e de personnes et d’institutions fortun\u00e9es, les PME peuvent ainsi se retrouver dans la posture de victimes collat\u00e9rales d’attaques informatiques de grande ampleur. Dans d’autres cas, c’est la confiance excessive accord\u00e9e \u00e0 un collaborateur qui est \u00e0 l’origine du d\u00e9lit: \u00abJe connais une PME dont le responsable informatique est parti \u00e0 dessein avec tous les codes informatiques lorsqu’il a quitt\u00e9 son employeur\u00bb, rel\u00e8ve Romain Roubaty, responsable du centre d’investigation num\u00e9rique et de cryptologie de l’institut de lutte contre la criminalit\u00e9 \u00e9conomique \u00e0 Neuch\u00e2tel.<\/p>\n
L’argent n’est pas toujours le mobile direct: \u00abBases de donn\u00e9es et autres brevets constituent aussi des proies int\u00e9ressantes, poursuit l’expert. Soit pour du chantage, soit pour profiter des comp\u00e9tences \u00e9conomiques d’une entreprise, \u00e0 fin de concurrence.\u00bb Jacqueline Reigner, pr\u00e9sidente de l’association suisse de la s\u00e9curit\u00e9 de l’information et directrice de S\u00e9mafor Conseil, cite le cas d’une entreprise informatique romande victime d’une attaque par \u00abd\u00e9ni de service\u00bb (inonder un site de demandes afin de le paralyser, ndlr): \u00abC’\u00e9tait du chantage: si vous ne payez pas, nous attaquons. Parfois, on ne remarque m\u00eame pas les menaces, noy\u00e9es parmi les spams en tout genre. L’entreprise en question a d\u00fb fermer ses portes.\u00bb<\/p>\n
Pourtant, pratiquement aucun cas n’\u00e9merge \u00e0 la lumi\u00e8re, car il n’est pour l’heure pas obligatoire en Suisse de d\u00e9clarer une cyberattaque: la plupart des entreprises victimes pr\u00e9f\u00e9reront une perte \u00e9conomique directe \u00e0 une perte de cr\u00e9dibilit\u00e9. D’autant que la loi suisse s’av\u00e8re plut\u00f4t inefficace pour r\u00e9cup\u00e9rer les donn\u00e9es vol\u00e9es: \u00abUne demande officielle d’entraide pour un cas de piratage depuis la Chine, utilis\u00e9e comme pays-relais par de nombreux criminels, reste g\u00e9n\u00e9ralement sans suite\u00bb, informe Ilia Kolochenko.<\/p>\n
Nouveau march\u00e9 en Suisse<\/strong><\/p>\n Pour pr\u00e9venir les risques, quelques assureurs tentent de se lancer sur ce nouveau march\u00e9 en Suisse, d’une taille \u00e9valu\u00e9e \u00abentre 30 et 100 millions de francs\u00bb par Zurich assurance pour les dix prochaines ann\u00e9es. Le g\u00e9ant a \u00e9t\u00e9 la premi\u00e8re compagnie suisse \u00e0 lancer son offre de cyberassurance destin\u00e9e aux entreprises, en ao\u00fbt dernier.<\/p>\n \u00abNous pensons que ce march\u00e9 va prendre son envol. Le nouveau r\u00e8glement de l’UE sur la protection des donn\u00e9es devrait \u00eatre adopt\u00e9 en 2014 ou au plus tard en 2015. Il obligera les entreprises \u00e0 annoncer toute cyberattaque aux autorit\u00e9s et aux clients, et ce m\u00eame si rien n’a \u00e9t\u00e9 vol\u00e9\u00bb, souligne St\u00e9phanie Pierret, responsable de ce produit pour la Suisse romande. Pour la sp\u00e9cialiste, il est probable que la Conf\u00e9d\u00e9ration s’alignera sur la l\u00e9gislation europ\u00e9enne. Cela devrait d\u00e9cupler l’int\u00e9r\u00eat de s’assurer, par pr\u00e9caution. C’est en tout cas ce qui a \u00e9t\u00e9 observ\u00e9 aux Etats-Unis: \u00abDans ce pays, cette obligation existe depuis plus de quinze ans. C’est pour cela que nos filiales am\u00e9ricaines proposent d\u00e9j\u00e0 de telles assurances. Gr\u00e2ce \u00e0 elles, nous b\u00e9n\u00e9ficions d’un savoir-faire en la mati\u00e8re.\u00bb<\/p>\n Car si une entreprise perd des donn\u00e9es personnelles, elle peut d\u00e9j\u00e0 se retrouver devant la justice. \u00abSelon l’issue du proc\u00e8s, celle-ci peut \u00eatre condamn\u00e9e en Suisse \u00e0 une amende pouvant atteindre 2 \u00e0 5% du chiffre d’affaires\u2026\u00bb, pr\u00e9cise encore St\u00e9phanie Pierret.<\/p>\n Zurich assure recevoir \u00abbeaucoup de demandes d’entreprises de toute taille, en Suisse romande\u00bb. Les premiers contrats ont \u00e9t\u00e9 sign\u00e9s. Pourtant, les autres assureurs helv\u00e9tiques ne semblent pas suivre le mouvement. La tentative de Zurich pourrait faire figure de premier crash test, sur ce march\u00e9 particuli\u00e8rement complexe. \u00abNous \u00e9valuons r\u00e9guli\u00e8rement la possibilit\u00e9 d’entrer dans ce cr\u00e9neau. S’il y a un changement de l\u00e9gislation, nous n’excluons pas d’int\u00e9grer les cyberassurances dans notre future offre\u00bb, pr\u00e9cise Marc Bachmann, charg\u00e9 de communication \u00e0 La Vaudoise.<\/p>\n Le responsable note toutefois un b\u00e9mol en cas de sinistre: \u00abPour \u00eatre couvert apr\u00e8s une attaque, l’assur\u00e9 doit prouver qu’il avait mis en place tous les moyens possibles pour lutter contre le hacking \u00e9conomique. Ce calcul est complexe, d’autant que les technologies \u00e9voluent rapidement. Dans la r\u00e9alit\u00e9, peu de cas risqueraient effectivement d’\u00eatre pris en charge, car beaucoup de soci\u00e9t\u00e9s n’arriveraient pas \u00e0 fournir cette preuve.\u00bb<\/p>\n Pour Zurich, l’audit de base suffit \u00e0 \u00e9carter toute controverse. Ilia Kolochenko souligne lui aussi plusieurs difficult\u00e9s d’application des cyberassurances: \u00abL’\u00e9valuation technique ne suffit pas, car le facteur humain est tr\u00e8s important dans la fuite d’informations. Pour r\u00e9ellement couvrir les risques, les entreprises devraient communiquer en permanence des informations confidentielles, notamment sur leurs clients, aux assureurs, ce dont elles n’ont pas forc\u00e9ment envie. Enfin, comment les assurances vont-elles chiffrer les pertes? Celles-ci ne peuvent survenir que des ann\u00e9es plus tard, par exemple lorsqu’un concurrent utilise les donn\u00e9es vol\u00e9es.\u00bb<\/p>\n Surtout, ajoute l’expert, la plupart des attaques sont impossibles \u00e0 d\u00e9tecter et donc \u00e0 prouver: \u00abau moins 90% des attaques cibl\u00e9es ne laissent aucune trace. Seuls 10% des cas seront donc r\u00e9ellement couverts. Et c’est la porte ouverte aux abus: un patron pourrait tr\u00e8s bien simuler une attaque ou un chantage contre sa propre entreprise, afin de r\u00e9cup\u00e9rer l’assurance. Comment prouver que c’est bien une fuite, et pas un abus? C’est un terrain glissant.\u00bb<\/p>\n Le sp\u00e9cialiste ne nie pas toute utilit\u00e9 aux assurances. \u00abElles sont n\u00e9cessaires, mais un peu id\u00e9alistes. Le message qu’il faut communiquer aux entrepreneurs, c’est de ne pas rel\u00e2cher la garde contre les pirates, m\u00eame apr\u00e8s avoir contract\u00e9 une assurance. Celle-ci peut \u00eatre efficace et donner l’illusion de la s\u00e9curit\u00e9, en sachant qu’elle ne couvre absolument pas tous les cas. Sinon, cela serait un effet pervers particuli\u00e8rement dangereux.\u00bb Contre le brigandage en ligne, mieux vaut apprendre \u00e0 lutter sur tous les fronts! Une version de cet article est parue dans PME Magazine.<\/p>\n","protected":false},"excerpt":{"rendered":" La Suisse romande est particuli\u00e8rement expos\u00e9e aux risques de cybercriminalit\u00e9. Les entrepreneurs doivent-ils s’assurer? Explications et avis d’experts.<\/p>\n","protected":false},"author":19840,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[4],"tags":[],"class_list":["post-4084","post","type-post","status-publish","format-standard","hentry","category-kapital","kapital"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/4084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/users\/19840"}],"replies":[{"embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4084"}],"version-history":[{"count":0,"href":"https:\/\/largeur.com\/index.php?rest_route=\/wp\/v2\/posts\/4084\/revisions"}],"wp:attachment":[{"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/largeur.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\n_______<\/p>\n