Cyber-sécurité: «Un risque résiduel demeure toujours»

La conseillère nationale Doris Fiala s’engage en tant que présidente des Swiss Cyber Security Days car elle en est convaincue: «La digitalisation est une immense opportunité mais elle comporte également quelques risques.» Selon Doris Fiala, les coûts annuels engendrés par la cybercriminalité sont estimés à 5 milliards de francs suisses: «C’est plus que le budget de l’armée.» Doris Fiala l’a observé: beaucoup de PME suisses n'ont pas du tout conscience qu’elles pourraient également être touchées. «Face à la forte concurrence qui règne au quotidien, les PME doivent faire attention aux coûts et rechignent donc à dépenser de l’argent pour la cyber-sécurité. Pourtant, une bonne protection à tous les niveaux en vaut la peine.»

Daniel Nussbaumer est co-directeur du service Cybercriminalité de la police cantonale de Zurich. Il constate de plus en plus que les PME sont victimes d'attaques sous forme de rançongiciels, des logiciels de demandes de rançon virtuelle. «Quand soudain, on ne peut plus accéder à ses données, on peut être touché en plein cœur.» Il regrette que beaucoup de victimes ne contactent pas la police. «Dans une telle situation, nous pouvons leur apporter une aide efficace, par exemple pour négocier avec les agresseurs.» Étonnamment, ce sont souvent des collaborateurs frustrés ou des concurrents qui se cachent derrière les cyber-attaques. Dans ces cas-là, les chances sont très grandes pour la police. Et des possibilités existent aussi grâce aux coopérations internationales même si les cybercriminels agissent de l’étranger.

Sandra Tobler est co-fondatrice et CEO de Futurae Technologies AG, une société spécialisée dans les logiciels d’authentification sûrs pour la clientèle entreprises. «Beaucoup de PME n’ont pas du tout conscience qu'elles pourraient être une cible», constate l’experte. La sécurité absolue n’existe pas en matière de cyber-sécurité. «Mais il s’agit de mettre en place un processus et une culture qui augmentent la sécurité.» Pour Sandra Tobler, cela est également lié à une culture de l’erreur: «Au lieu de mettre en cause des personnes qui ont cliqué sur un e-mail frauduleux, l’organisation ferait mieux d'apprendre de telles erreurs et se montrer créative, par exemple, en se mettant dans la peau d’un pirate informatique.»

Philipp Hurni est expert en risques, plus particulièrement en cyber-risques, chez Zurich. Il constate que la cybercriminalité a explosé ces dernières années. «Il n’est plus nécessaire d’être un spécialiste de l’informatique, bien au contraire: sur le Darknet, on peut se procurer à moindres frais des guides de rançongiciels et les utiliser contre des entreprises.» Précisément, ce sont des pirates informatiques moins compétents qui visent les PME: «Ils savent que celles-ci sont souvent moins bien préparées et qu’elles ont tendance à payer les rançons parce qu’elles n’ont pas fait de backup, par exemple.» Il plaide en faveur d’une obligation de déclarer des cyberattaques. «En Suisse, cette obligation aurait pour effet que les événements liés à la sécurité puissent être relevés et suivis de façon plus systématique.» Ce qui est important avec cette obligation de déclaration, c’est que par nature, elle servirait exclusivement à clarifier les événements et à empêcher qu’ils se reproduisent à l’avenir, et non pas à sanctionner les déclarants par des amendes. 

Comme on ne peut pas totalement éviter les cyberattaques, il est essentiel de se protéger de leurs conséquences. La Zurich Cyber-assurance rembourse certains coûts suite à une cyberattaque, par exemple pour le nettoyage des infrastructures informatiques suite à une attaque de virus ou la restauration des données. En outre, les assurés obtiennent accès à des juristes expérimentés qui les conseillent dans la mise en place de mesures immédiates. En option, elles peuvent se couvrir contre les conséquences financières d’une perte d’exploitation consécutive à une attaque. Et un module complémentaire couvre également le vol de fonds via l’e-banking. Grâce à un partenariat, les clients qui ont une cyber-assurance chez Zurich profitent de conditions particulières pour un examen de la sécurité mettant en évidence les forces et les faiblesses de leur système informatique. Zurich rembourse même une partie des frais aux nouveaux clients.