Simon Seebeck, directeur du centre de compétences Cyberrisques auprès de la compagnie d’assurance la Mobilière PHOTO: MOBILIAR
À première vue, la cybersécurité n’a aucun lien direct avec la durabilité. Il s’agit pourtant d’un pilier essentiel de la gestion moderne des risques et de la durabilité des entreprises. Les PME doivent apprendre à connaître les défis en cas d’attaque, les mesures à prendre et les canaux d’assistance.
7 Min. • • Roberto Stefano, Sustainable Switzerland Editorial Team
Une PME suisse sur trois a déjà été victime d’une cyberattaque, avec des conséquences parfois désastreuses: des atteintes irrémédiables à la réputation, mais aussi des dommages financiers de grande ampleur. Ces attaques entraînent même la faillite de certaines entreprises, notamment lorsque la production reste paralysée pendant plusieurs semaines. Malgré ces incidents et les risques croissants de cybercriminalité, de nombreux dirigeants continuent de sous-estimer le problème. Plusieurs raisons expliquent cet état de fait, comme le montre le cas de Food S.A., un grossiste du secteur de la restauration, dont nous ne pouvons divulguer le vrai nom.
Lorsque l’équipe du matin de Food S.A. allume ses ordinateurs à 5 heures, un samedi, les derniers fêtards sont encore en train de rentrer chez eux, passablement éméchés par la nuit de fête. Au même moment, une tout autre forme de nervosité saisit les collaborateurs du grossiste, dès lors qu’ils ne peuvent plus accéder à certaines de leurs données. Ils contactent rapidement leur partenaire informatique. Celui-ci découple des pans entiers du réseau de l’entreprise, stoppe les applications et les programmes et met le système partiellement à l’arrêt de manière à entraver la propagation du logiciel malveillant.
Des entreprises souvent prises au dépourvu
La réaction de Food S.A. à la cyberattaque a été rapide et ciblée. Mais ce n’est pas toujours le cas, surtout si les victimes sont des petites et moyennes entreprises sans service informatique dédié. Nombre d’entreprises ne sont pas tout à fait conscientes des dangers auxquels elles sont exposées en cas de piratage et de la manière dont elles doivent se comporter dans de telles situations. Pire encore, elles ne réfléchissent aux mesures et aux procédures nécessaires que lorsqu’elles sont victimes d’attaques et réagissent donc de manière improvisée. «Elles sont prises au dépourvu», constate Simon Seebeck, responsable du centre de compétences Cyberrisques auprès de la compagnie d’assurance la Mobilière. La gestion des risques doit s’appuyer sur des mécanismes de défense bien rodés en cas de cyberattaque. Il s’agit d’une condition essentielle pour une gestion d’entreprise responsable et durable sur le long terme.
Toutes les données ont de la valeur
L’absence de mesures de sécurité et de prévention informatiques dans les petites entreprises est souvent justifiée par la taille modeste des entreprises et leur manque d’attractivité pour les agresseurs potentiels. «C’est un leurre: ces entreprises sont, au contraire, des cibles faciles pour les pirates, qui peuvent en extraire des données sans effort», selon Seebeck. Les cybercriminels trouvent toujours quelque chose à exploiter: «Les entreprises consignent les coordonnées bancaires ou encore les données des factures, autant d’informations qui peuvent être exploitées pour une nouvelle attaque – éventuellement contre une autre entreprise, plus grande. En bref, toutes les données ont de la valeur», alerte l’expert en sécurité informatique.
Certaines failles de sécurité sur les réseaux d’entreprise étonnent, même si la connaissance du problème a considérablement progressé – pas seulement depuis la pandémie de coronavirus et la généralisation du télétravail. Dans de nombreux cas, les bonnes pratiques tardent à être mises en place: ainsi, nombre de collaborateurs ne savent pas ce qu’il faut faire ni quand il faut le faire. Les mesures de sécurité nécessaires sont repoussées sine die, par manque de temps ou en raison des coûts. Pourtant, on sait aujourd’hui que la sécurité informatique ne dépend pas uniquement de mesures technologiques, mais surtout de la formation des collaborateurs et de leur comportement.
La sauvegarde automatique des données fait désormais partie des mesures de précaution généralisées. Avec l’usage d’un pare-feu et d’un logiciel antivirus à jour, de nombreuses petites entreprises se sentent en sécurité. Mais nombre d’entre elles ignorent que la sauvegarde des données ne suffit plus. Food S.A. l’a découvert à ses dépens:
Le samedi même, des spécialistes informatiques engagés par le grossiste ont commencé à analyser les sauvegardes de l’entreprise et ont abouti à un constat peu reluisant: les copies de sauvegarde étaient partiellement contaminées également. Par chance, une ancienne sauvegarde a pu être trouvée, de manière à ce que Food S.A. puisse reprendre ses activités au bout de cinq jours. Jusqu’à ce moment-là, l’entreprise est restée partiellement paralysée.
Les pirates agissent de manière subtile et silencieuse
Autrefois, les attaques des pirates informatiques s’apparentaient à des casses de banque: les pirates s’introduisaient rapidement dans les systèmes, cryptaient les données et demandaient une rançon. Aujourd’hui, les criminels agissent de manière plus subtile et discrète: ils se nichent dans les réseaux, recherchent des autorisations, des codes d’accès ou des sauvegardes et ne chiffrent ou ne volent les informations qu’à un stade ultérieur. «Cette nouvelle approche affecte également la sauvegarde des données: les entreprises sont incapables de déterminer avec précision quelles données ont été volées ou modifiées», explique M. Seebeck, expert en sécurité informatique pour la Mobilière.
Cette incertitude pose également des défis supplémentaires aux dirigeants des entreprises quant à la notification des cyberattaques: qui doit être informé? Faut-il s’adresser à tous les fournisseurs et clients, ou communiquer uniquement avec les acteurs directement affectés? De plus, l’ampleur de l’attaque n’est souvent déterminée que plusieurs jours après, lorsque les données de l’entreprise se retrouvent sur le darknet suite à une demande de rançon.
Food S.A. a également été menacée de publication de données si elle ne répondait pas à la demande de rançon des pirates. Les attaquants prétendaient détenir des données financières, des listes de clients, des offres et des données de collaborateurs, entre autres. En outre, les criminels exigeaient le paiement pour décrypter les données.
Aide extérieure en cas de chantage
Comme de nombreuses entreprises sont confrontées à des attaques criminelles, des demandes de rançon et des négociations avec les maîtres chanteurs, elles se tournent vers des partenaires de confiance extérieurs. Il s’agit notamment de groupes d’assurance comme la Mobilière, qui dispose d’une offre variée de prévention et d’assurance sur ce thème.
Pendant la phase de négociation faisant suite au chantage, Food S.A. a pu reprendre ses activités quotidiennes grâce à une infrastructure de remplacement. Parallèlement, son système informatique a été nettoyé et reconfiguré. Ce n’est qu’avec le temps que les données vérifiées ont pu être réintroduites dans les ordinateurs. Pour toutes ces tâches, Food S.A. a pu compter sur un partenaire technique de la Mobilière, qui a aidé le prestataire informatique du client à effectuer les travaux de restauration. Un autre partenaire de l’assureur a analysé les sauvegardes et vérifié où et dans quelle mesure les attaquants s’étaient infiltrés dans le réseau. Enfin, un gestionnaire de crise externe a accompagné le fournisseur dans sa communication avec les parties prenantes internes et externes, ainsi qu’avec les maîtres chanteurs.
Une cyberassurance à toute épreuve
Les dépenses liées à la restauration des systèmes, à la vérification et à la restauration des données, ainsi que les coûts liés à l’interruption de l’exploitation peuvent rapidement atteindre des montants considérables, parfois à six chiffres. Heureusement pour Food S.A., l’entreprise avait souscrit une cyberassurance auprès de la Mobilière, ce qui lui a permis de couvrir ces dommages importants.
Après les jours angoissants de l’attaque informatique, Food S.A. a pu se concentrer à nouveau à ses activités quotidiennes, non sans avoir mis à jour ses mesures de sécurité informatiques afin de se prémunir d’autres attaques.
Comment en tirer les bonnes leçons
Le traitement minutieux et détaillé d’une cyberattaque est de la plus haute importance. C’est la seule façon d’en tirer les bonnes leçons pour l’avenir, de prendre des mesures préventives ciblées et d’assurer la sensibilisation nécessaire dans l’entreprise. En effet, plus les processus sont rodés, moins les dégâts seront importants – et plus vite l’entreprise retrouvera son fonctionnement normal après cette nouvelle attaque.
1. Reconnaître les symptômes d’une cyberattaque en cours: Un système lent, des données manquantes, des mots de passe qui ne fonctionnent plus ou des actions apparemment autonomes de l’ordinateur sont des signes potentiels d’une attaque en cours. La situation est sans équivoque dès lors que des demandes de rançon apparaissent à l’écran.
2. Agir immédiatement: Débranchez tous les systèmes et éteignez le WLAN. Informez la personne interne ou externe chargée de la sécurité informatique et/ou des urgences, puis les collaborateurs.
3. Analyser le problème et évaluer les dommages: Analysez le problème et les dégâts occasionnés, si nécessaire avec d’autres spécialistes. Le cas échéant, contactez votre cyberassurance, profitez de l’assurance et de ses entreprises partenaires spécialisées.
4. Collaborer avec la police: En cas d’attaque de grande ampleur, attendez que la police prélève des indices avant de nettoyer et de restaurer les systèmes. Informez également le Centre national pour la cybersécurité (NCSC) de l’incident. Les signalements aux autorités aident à la prévention et contribuent à sensibiliser les victimes potentielles. Évitez de payer une rançon, car cela risque de rendre votre entreprise plus attrayante pour les pirates.
5. Prenez vos précautions et protégez-vous activement contre la cybercriminalité: Avec l’aide de spécialistes, prenez des mesures qui réduisent la probabilité d’une attaque. Préparez-vous à l’aide d’une checklist d’urgence. Remplissez toutes les informations importantes, imprimez la liste et diffusez-la auprès de vos collaborateurs.
Déclaration: Ce contenu est réalisé par la rédaction de Sustainable Switzerland pour le compte du partenaire la Mobilière
Publicité
