Cyberattaques: Voici comment les entreprises peuvent se protéger dans la situation actuelle

« Je souhaite protéger les entreprises des gens dont j’ai personnellement fait partie », explique l’ancien hacker Patrick Brielmayer. Par le passé, l’informaticien a programmé des virus et chevaux de Troie et réalisé des attaques de DDoS, c.-à-d. des paralysies ciblées de sites Internet. Il ne s’est jamais fait prendre – « mais je devais faire attention en permanence et j’étais toujours sur le qui-vive ». C’est la raison pour laquelle Patrick Brielmayer a changé de bord et fondé une société de sécurité informatique. Aujourd’hui, les clients de son entreprise lui ouvrent volontairement leurs réseaux, afin qu’il puisse déceler pour eux les traces de cyberattaques. Il se concentre sur l’analyse de logiciels malveillants : « Je découvre comment l’attaque a eu lieu et quels dommages elle a occasionnés ». La mission de M. Brielmayer : il souhaite éclairer les entreprises sur les risques de la cybercriminalité et contribuer à améliorer leur protection. 

Daniel Nussbaumer partage également cette aspiration. Le juriste titulaire d’un doctorat dirige la division Cybercriminalité de la police cantonale zurichoise. Son équipe emploie actuellement 15 enquêteurs et 30 spécialistes de la police scientifique numérique, dont beaucoup d’informaticiens. La numérisation croissante a complexifié la tâche pour la police, puisqu’Internet offre de nouvelles pistes pour perpétrer des délits. 

Selon Daniel Nussbaumer, beaucoup de PME sont concernées par la « fraude au président » par exemple : les cybercriminels imitent un e-mail typique du patron de l’entreprise et demande de réaliser un paiement urgent de 5’000 francs. Mais lorsque le comptable transfère les fonds, c’est le hacker qui les reçoit. « Des équipes entières se cachent généralement derrière ces méfaits », selon Daniel Nussbaumer. « Il y en a un qui programme, un qui sait bien rédiger et le troisième qui effectue les recherches ». Le spécialiste de la police cantonale conseille de demander toujours confirmation par téléphone en cas d’e-mails suspects.

De même, la police cantonale de Zurich est souvent confrontée à ce qu’on appelle des « crypto-ransomware » : un logiciel malveillant crypte toutes les informations du système informatique de l’entreprise concernée. Peu de temps après, une demande de rançon apparaît à l’écran, généralement en Bitcoins. « Bien sûr, nous recommandons de ne pas payer », explique Daniel Nussbaumer. « Chaque paiement finance de nouvelles attaques ». En outre, on ne peut pas être sûr que le maître chanteur déverrouillera réellement les données. Et si le hacker a utilisé un crypto-ransomware encore inconnu, même les professionnels ne parviendront pas à craquer le code. Par conséquent, Daniel Nussbaumer recommande expressément à toutes les entreprises de se préparer à ce type d'attaques.

Stephan von Watzdorf dirige l’équipe Responsabilité civile professionnelle et cyberrisques, laquelle a conçu la cyberassurance de Zurich. Pour lui, les attaques de crypto-ransomware constituent un problème complexe. Il parle même d’un mythe concernant la sécurité : « Beaucoup d’entreprises croient que des sauvegardes régulières suffisent à les protéger ». Pourtant, si la sauvegarde n’est pas déconnectée du réseau, elle sera également victime de l’attaque. D'ailleurs, les logiciels malveillants sont souvent activés plusieurs semaines après l’attaque de hacking. La sauvegarde est alors la plupart du temps déjà contaminée. « De plus, il est beaucoup plus onéreux et fastidieux de rétablir les données que les gens ne le pensent ».

Selon l’ancien hacker Patrick Brielmayer, les entreprises ne prennent connaissance d’une cyberattaque que lorsque l’agresseur exige une rançon, ou alors quand les données de l’entreprise réapparaissent quelque part. Se sentir protégé par des pare-feux et programmes antivirus serait illusoire. Les instruments habituels disponibles dans le commerce constituent certes une protection de base contre les virus déjà connus, mais les logiciels malveillants programmés très récemment ne sont pas détectés : « C’est le jeu du chat et de la souris ». Par conséquent, il recommande aux PME de sensibiliser leur personnel dans le cadre d’une formation à la sécurité informatique, au moins une fois par an. En effet : l’expert de Zurich Stephan von Watzdorf en est convaincu : « L’individu est le maillon faible. La plupart des attaques réussissent en raison de l’inattention de collaborateurs ».

Patrick Brielmayer considère que le vol de données d’entreprises est le cyber-risque le plus dangereux en Suisse : « Chaque PME a ses secrets pour gagner de l’argent – des idées, des recettes, des plans de construction, des données clients telles que des numéros de carte de crédit, des données bancaires ou des numéros d'assurance. Lorsque ces données sont soustraites, ça ne présage rien de bon ». C’est ce que confirme Daniel Nussbaumer de la police cantonale. Chaque PME est une victime potentielle et devrait se demander pour cette raison lesquelles de ses données requièrent une protection particulière.

Patrick Brielmayer considère que le vol de données d’entreprises est le cyber-risque le plus dangereux en Suisse : « Chaque PME a ses secrets pour gagner de l’argent – des idées, des recettes, des plans de construction, des données clients telles que des numéros de carte de crédit, des données bancaires ou des numéros d'assurance. Lorsque ces données sont soustraites, ça ne présage rien de bon ». C’est ce que confirme Daniel Nussbaumer de la police cantonale. Chaque PME est unPour Patrick Brielmayer, les candidatures par e-mail, les fausses réclamations ou les demandes de produits sont un vecteur idéal pour lancer une cyberattaque. Même les e­mails d’hameçonnage classiques sont tellement bien faits aujourd’hui que même un lecteur attentif pourrait s’y laisser prendre. Parfois, les hackers falsifient des sites Internet complets qui contiennent des formulaires ressemblant à des sociétés de télécommunication ou à des sites d’achat en ligne. Ou alors les cybercriminels se font passer pour des techniciens et demandent les données de clients par téléphone.ctime potentielle et devrait se demander pour cette raison lesquelles de ses données requièrent une protection particulière.

Pour M. Brielmayer, les entreprises qui exploitent des boutiques en ligne sont particulièrement menacées. Si elles sont paralysées par une attaque dite DDoS, leurs activités sont interrompues pendant des heures, voire des jours entiers. C’est encore plus grave si des données de client sont volées ou rendues publiques. « J'ai connu de tels cas, et leurs conséquences sont désastreuses ». Patrick Brielmayer estime même qu’il est possible que certaines entreprises suisses payent régulièrement des « taxes extorquées par des racketteurs » afin que leurs boutiques en ligne ne soient pas piratées. Daniel Nussbaumer de la police scientifique n’en a pas connaissance. Il est convaincu que les dispositifs de protection technique actuels permettent de se prémunir d’un relativement grand nombre d’attaques de DDoS. « Mais il n’existe pas de protection à 100 pour cent, car les hackers trouvent toujours de nouveaux moyens ».

Une fois que les cybercriminels ont accédé à votre réseau, ils obtiennent par exemple les données de carte de crédit de vos clients puis les utilisent pour acheter des Bitcoins et recharger des cartes de crédit prépayées anonymes, explique l’expert en assurance Stephan von Watzdorf. Pour les PME, c’est avant tout l’atteinte à leur réputation qui importe. Toutefois, cela peut également donner lieu à des demandes en dommages-intérêts. 

Lorsque de l’argent est dérobé à l’entreprise, beaucoup de PME se sentent à tort en sécurité. Elles pensent que leur banque prendra en charge le dommage. « C’est une erreur » selon l’expert de Zurich. La plupart du temps, la cause du dommage incombe dans tous les cas au service informatique de la PME concernée : le hacker installe un cheval de Troie par exemple, et observe ainsi le comptable jusqu’à ce que celui-ci se connecte au système d’e-banking. « Le hacker prend alors possession de la session pendant que le collaborateur regarde son écran noir. Il constate par la suite que 100’000 francs viennent d’être virés ».

D'après Patrick Brielmayer, il est très difficile d’appréhender les cybercriminels : « ils peuvent perpétrer leurs méfaits depuis le monde entier ». Daniel Nussbaumer voit les choses différemment : «Une anonymisation complète ne fonctionne pas durablement, car les malfaiteurs sont également des hommes. Et les hommes font des erreurs ». En outre, la police cantonale de Zurich collabore étroitement avec les autorités de police des autres cantons et pays. « C’est pourquoi nous avons certainement la chance d’épingler des malfaiteurs étrangers également ». Même les fonds déjà soustraits peuvent souvent être récupérés.

Daniel Nussbaumer regrette que de nombreuses sociétés touchées ne déposent pas plainte : « Nous ne recevons qu’une toute petite partie des cas. De nombreuses victimes manquent l’opportunité de clarifier la situation ». Son secret pour que les cyber-risques ne tournent pas à la catastrophe : «Éviter les attaques au moyen d’un système informatique efficace et par la formation du personnel. Limiter un dommage potentiel. Et si vous êtes tout de même victime d’une attaque : ne pas hésiter à nous contacter. Il n’y a rien de honteux à être victime d’un hacker – c’est une déconvenue qui peut arriver à tout le monde ».