CYBERSECURITE – TOUS CONCERNÉS PAR LE RISQUE DE PIRATAGE

Au-delà de la crise sanitaire, la menace d’une pandémie d’un tout autre genre risque de contaminer la planète informatique. Le manque de préparation de nombreuses entreprises laisse craindre une hécatombe. Selon une récente étude mise en oeuvre par l’institut de sondage et d’études de marché gfs-zürich, plus d’un quart des PME de Suisse de moins de cinquante collaborateurs ont déjà fait l’objet de piratage informatique plus ou moins paralysant, avec ou sans demande de rançon. Il ressort que les plus petites sociétés, celles de moins de dix personnes, sont celles qui ont le plus besoin d’acquérir des connaissances pour faire face à ce fléau. Les cantons de Vaud et de Genève ont créé Trust Valley, avec notamment les hautes écoles et des entreprises de la région, afin de constituer un réseau de compétences destiné à aider les PME à faire face aux risques de cette véritable bombe à retardement.

 

Cas 1 //

« Nous avons détecté un incident de sécurité sur notre site internet, au cours duquel des données personnelles ont pu être subtilisées auprès de nos clients ayant fait un achat sur notre site avec une carte Visa ou Mastercard. Le risque est minime et cette opération de malveillance externe a été aujourd’hui totalement neutralisée. » C’est en ces termes que la CGN invitait l’été dernier ses clients à vérifier qu’il n’y ait pas eu d’utilisation frauduleuse de leur carte et, le cas échéant, de contacter leur banque pour mettre leur compte sous surveillance. Les dégâts ont, semble-t-il, été limités. Les victimes se compteraient sur les doigts d’une seule main et leur banque aurait assumé. Le code malveillant avait provoqué l’apparition d’une fenêtre demandant au client s’il souhaitait indiquer ses coordonnées bancaires pour des achats ultérieurs. L’incident avait été détecté par la CGN lors d’une procédure de contrôle de routine.

Cas 2 //

Une petite faille dans le système informatique de la Fondation Les Oliviers au Mont-sur-Lausanne par laquelle se sont introduits des hackers a provoqué un véritable séisme au sein de l’institution en janvier 2020. Paralysie totale. Ecrans noirs, plus d’e-mail, plus de gestion possible… Les pirates, qui avaient crypté toutes les données, demandaient une rançon de 400 000 francs pour les libérer. La société mandatée pour tenter de récupérer ces données est finalement parvenue à les restaurer sans verser la rançon. Cette affaire a laissé un traumatisme d’autant plus profond que ce n’était pas la première fois que la Fondation faisait l’objet d’une attaque, ce qui l’avait incitée à contracter une assurance.

Cas 3 //

DBS, basé à Lausanne, est l’un des plus grands acteurs de la branche immobilière en Suisse romande. C’est par une pièce jointe infectée découverte sur son PC par un de ses collaborateurs que la société a vécu en décembre dernier les affres d’une attaque. Il s’en est suivi un véritable scénario catastrophe. Comme l’entreprise refusait de payer la rançon, des milliers de documents confidentiels concernant des propriétaires et des locataires ont été publiés sur l’internet. L’entreprise d’informatique chargée de réparer les dégâts a eu bien du mal à parvenir à rétablir la situation.

 

C’est souvent entre la chaise de l’utilisateur et l’écran que se situe le risque majeur de piratage et le développement du télétravail n’arrange pas les choses…  © Hugues Siegenthaler

 

Les attaques se multiplient
Les situations telles que celles relatées plus haut, voire les alertes rouges, ne cessent de se multiplier en Suisse depuis quelque temps. Avec la plupart du temps des dégâts réels limités, il est vrai, ce qui n’enlève rien à l’inquiétude que provoque ce genre d’intrusion et la paralysie temporaire de l’entreprise.
Plus récemment, au plan suisse, la Banque Cantonale Neuchâteloise, le constructeur de machines agricoles Bucher, l’organisateur de foires MCH et le comparateur en ligne Comparis figurent par exemple parmi les cibles touchées. Et il ne s’agit bien sûr que des cas portés à la connaissance de la population. Les pouvoirs publics et les grandes institutions ne sont pas épargnés, à l’image des attaques qui ont provoqué des sueurs froides aux autorités communales de Rolle, Montreux et ailleurs. Et on a en mémoire le véritable électrochoc provoqué en 2017 par les cyberattaques portées sur le groupe de défense et d’armement RUAG. Dernier exemple en date, la faille dite Log4Shell, considérée comme « la vulnérabilité la plus importante et la plus critique de la dernière décennie », permettant aux pirates de voler des données et bien d’autres choses encore, et dont les correctifs ont été rendus disponibles début décembre dernier.
A en croire le spécialiste californien en sécurité informatique Check Point Software, les tentatives de cyberattaques d’entreprises suisses ont grimpé de 65 % en 2021 par rapport à 2020, soit davantage que dans le reste du monde.
Le Centre national pour la cybersécurité (NCSC), émanation de la Confédération, publie une statistique hebdomadaire des cyberincidents signalés par la population et les PME. Dans la catégorie « arnaque », les débuts et fins d’années apparaissent comme les périodes où la vigilance semble se relâcher : plus de 450 cas par semaine, qui ont ou non causé des dégâts. Un chiffre certainement bien en dessous de la réalité, sachant combien on préfère ne pas divulguer une atteinte à son entreprise qui pourrait porter ombrage sur sa réputation.
Les rançons demandées ne sont généralement pas payées, et les entreprises qui acceptent de le faire ne le crient pas sur les toits. Le plus souvent, le bras de fer avec les pirates se termine en queue de poisson. Ce fut le cas notamment pour la fiduciaire GRF dans la région de Morges, où la tentative d’extorsion a capoté avant même la mise en ligne de fichiers importants. Mais il est des situations où les victimes effectuent une pesée d’intérêt et des enjeux et acceptent de passer à la caisse pour retrouver l’usage de leurs fichiers. Raison pour laquelle un EMS genevois ou encore les Editions Slatkine sont passés à la caisse.

Avec la remise en état des installations attaquées, la fuite de données rendues publiques par les pirates, ou passées on ne sait où, peut être lourde de conséquences pour l’entreprise qui avait à charge de veiller sur leur confidentialité. Des poursuites judiciaires de clients mécontents ne sont pas exclues. C’est en effet à la société ou administration dans laquelle sont stockées ces informations qu’incombe la responsabilité de la sécurité informatique. Pour autant, il sera difficile de la faire condamner. Se faire pirater ne constitue heureusement pas davantage une infraction pénale que se faire voler son portefeuille dans la poche de sa veste. Sauf, bien sûr, si cette entreprise n’a pas respecté les règles en matière de protection des données ou a fait preuve d’une négligence. Reste pour la personne lésée la possibilité de demander un dédommagement devant la justice civile, mais il faudra pour cela démontrer et surtout chiffrer l’ampleur du préjudice subi.

 

Petites PME fragilisées
Les études et enquêtes sur le piratage informatique des entreprises abondent. Elles méritent l’attention dans la mesure où plus on en parle, plus les PME deviennent averties des risques qu’elles encourent si elles ne prennent pas les mesures qui s’imposent. Le résultat du sondage mis en oeuvre par gfs-zürich, mené en juillet dernier auprès de 503 dirigeants de PME en Suisse occupant de 4 à 49 collaborateurs, est à ce titre préoccupant. On y apprend qu’un quart d’entre elles ont « déjà fait l’objet d’une cyberattaque ayant impliqué des frais considérables pour la réparation du dommage ». Et de préciser que les attaques les plus fréquemment mentionnées sont liées aux logiciels malveillants, aux virus ou aux chevaux de Troie, et que la deuxième forme d’attaque la plus courante est la fraude en ligne, ce chiffre ayant plus que doublé par rapport à 2020, passant de 6 à 15 %.
Ce sont les PME de taille moyenne, comptant de 20 à 49 collaborateurs, notamment celles oeuvrant dans le secteur des services, qui déclarent le plus se soucier de la sécurité de leur informatique. Elles sont bien moins nombreuses à en faire autant dans les secteurs de production, manufacturier, construction et immobilier, pourtant eux aussi de plus en plus concernés par la digitalisation dans la fourniture de leurs prestations. Mais il y a pire.
D’une manière générale, selon l’étude de gfs-zürich, « les petites PME comptant jusqu’à neuf collaborateurs présentent le besoin le plus criant quant à la transmission de connaissances et d’informations sur la cybersécurité. Au moins un tiers des PME des branches hôtellerie-restauration et commerce/vente/services s’estiment trop peu informées à ce sujet. »

De fait, les petites PME ne prennent pas suffisamment au sérieux le risque d’une cyberattaque. Peut-être parce qu’elles considèrent que seules les sociétés d’une certaine importance constituent des cibles intéressantes pour les pirates. Or, il apparaît que ceux-ci ne les choisissent pas systématiquement, car elles sont généralement les plus difficiles à attaquer. Les petites structures, souvent mal protégées, représentent pour eux davantage de chances de parvenir à leurs fins, d’où le risque de voir se multiplier ces intrusions à petit profit facile.

 

Mobilisation générale
On l’a vu, les PME ne sont pas les seules à servir de cibles. Les administrations publiques sont rarement des modèles de sécurisation des données des citoyens. Au niveau cantonal, la Cour des comptes a épinglé en ce début d’année l’administration vaudoise où onze entités présenteraient une certaine vulnérabilité. Son rapport relève notamment que « les tests de faux phishing via courriels (hameçonnage) réalisés par le DGNSI (ndlr : Direction générale du numérique et des systèmes d’information) ont montré que le besoin de formation et d’information est encore important dans ce domaine ».
A Lausanne, en janvier, en réponse à une intervention de la conseillère communale PLR Denise Gemesio, ingénieure en informatique, la Municipalité a annoncé qu’elle développera cette année une « académie numérique » ainsi que des partenariats avec des spécialistes de la prévention informatique. C’est précisément la mission que s’est donnée l’entité valdogenevoise baptisée Trust Valley, récemment constituée afin de mettre en réseau les sociétés spécialisées en cybersécurité et les pouvoirs publics dans le but de développer un savoirfaire à la mesure du défi que la piraterie lance au monde de l’économie.
De fait, plusieurs groupes d’experts se sont constitués pour combattre le fléau. La faîtière ICTswitzerland, entourée d’un comité composé principalement de représentants de multinationales technologiques (Microsoft, Google, Amazon, IBM, Cognizant, Accenture), de fournisseurs IT suisses (Swisscom, Kudelski, Elca, Ergon, Chain IQ), de grandes entreprises suisses (CFF, La Poste), de hautes écoles (EPFL, EPFZ et HSLU) ainsi que d’autres associations IT (Swico, asut, swissICT), propose ainsi avec l’appui de la Confédération un « test rapide de cybersécurité pour PME. Disponible en ligne (cybersecurity-check.ch), ce questionnaire permet de déterminer rapidement et facilement si une entreprise dispose des outils et des connaissances requises pour faire face dans les meilleures conditions au risque de piratage.

 

Evolution du nombre d’annonces de cybermenaces répertoriées par le Centre national pour la cybersécurité (NCSC) à Berne. DR

 

Résultat tiré de l’étude menée en 2021, présenté par digitalswitzerland sur la numérisation et la cybersécurité dans les PME en Suisse. DR

 

 

PRÉCAUTIONS ÉLÉMENTAIRES

La manière la plus radicale de tester la résistance aux attaques de son organisation informatique est peut-être le recours à un « hacker blanc », ainsi que le propose la société Hacknowledge, sise à Préverenges. Il s’agit d’un piratage dit éthique, effectué par des spécialistes qui se font forts de tester la vulnérabilité d’un système en identifiant les failles permettant d’y accéder. Cela dit, aucun système n’est imprenable, rappellent les experts en cybersécurité. La prévention consiste donc à rendre la tâche la plus longue et la plus difficile possible aux pirates.

C’est, dit-on, souvent entre la chaise de l’utilisateur et l’écran que se situe le risque majeur de piratage et le développement du télétravail n’arrange pas les choses. L’expérience montre que la plupart des logiciels malveillants servant à se glisser à l’intérieur de l’ordinateur pour en prendre le contrôle sont tapis dans des pièces jointes à un courriel. Ou alors lors de la consultation de certains sites au demeurant très sérieux, très fréquentés mais qui ont été piratés.

Les recommandations élémentaires consistent, hormis le choix de mots de passe forts, si possible à deux facteurs, à mettre régulièrement à jour le logiciel d’exploitation et ceux d’application. C’est ainsi que l’on pourra s’assurer de disposer des correctifs nécessaires apportés par leurs concepteurs. L’activation du pare-feu et l’utilisation d’antivirus – les payants sont plus performants que les gratuits – vont bien sûr de soi. Par ailleurs, il est fortement recommandé d’éteindre son wifi le soir en partant. Enfin, sachant qu’un système protégé à 99,9 % reste un système vulnérable, il peut être utile de contracter une cyberassurance auprès des nombreuses compagnies qui en proposent désormais.