10.08.17 - Les cyberattaques font régulièrement les gros titres et, de manière générale, la sensibilisation a augmenté. Pourtant, la protection des PME reste insuffisante.
Les cyberattaques font régulièrement les gros titres et, de manière générale, la sensibilisation a augmenté. Pourtant, la protection des PME reste insuffisante. Max Klaus, directeur adjoint de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI, nous en explique les raisons et nous décrit les nouveaux moyens mis en œuvre par les cybercriminels.
La criminalité sur Internet semble en hausse. Cette impression est-elle correcte ?
Oui, c’est effectivement le cas. Mais comme il n’existe pas d’obligation d’annonce pour les cyberattaques en Suisse, nous ne voyons que la pointe de l’iceberg. La hausse est énorme. D’après les estimations, la criminalité sur Internet rapporte plus de nos jours que le trafic de drogue.
Nous constatons une forte augmentation des attaques liées à des tentatives de chantage. Les données sont verrouillées, puis les auteurs des attaques exigent une rançon en échange d’une restauration des données. Nous déconseillons toutefois de payer celle-ci. Il n’existe aucune garantie que l’auteur de l’attaque livrera le code qui permettra de recouvrer les données. Pour se protéger de tels logiciels, on peut effectuer une sauvegarde régulière des données. En outre, les mises à jour devraient être effectuées sans tarder, ce qui réduit les risques d’être la cible d’une cyberattaque.
Les moyens mis en œuvre par les cybercriminels ont-ils changé ?
Ils sont extrêmement variés et dépendent des motivations des auteurs des cyberattaques. Certaines sont le fait de virus dont la fabrication seule se chiffre à plusieurs millions de dollars.
Le niveau de professionnalisme dans ce domaine ne cesse d’augmenter. Autrefois, on pouvait reconnaître les e-mails d’hameçonnage à leur grammaire douteuse. Mais pour le commun des mortels, il devient de plus en plus difficile de distinguer les e-mails sûrs des e-mails malveillants. Leur apparence et leur fil narratif gagnent en crédibilité. Depuis quelque temps, on utilise davantage les informations personnelles. Les auteurs des tentatives d’hameçonnage optent pour une formule d’appel personnelle et prennent le temps d’inventer une histoire crédible. Je suis d’avis qu’il n’est jamais trop tôt pour la sensibilisation. Les enfants aussi devraient savoir qu’il ne faut pas croire tout ce qu’on lit dans les e-mails et qu’il faut se montrer prudent avec les informations personnelles partagées sur Internet.
Les PME sont-elles plus vulnérables ?
Les PME présentent un profil à risque plus important que les grandes entreprises, car elles manquent souvent de moyens financiers et/ou de personnel pour assurer une bonne sécurité informatique. D’après une étude effectuée dans l’espace anglophone, les entreprises qui emploient entre 10 et 100 collaborateurs sont les plus vulnérables. Souvent, les PME achètent leurs ordinateurs portables dans des magasins d’électronique, sans prêter attention à la sécurité. Les auteurs d’infractions sur Internet pèsent soigneusement le coût et les avantages d’une cyberattaque, ciblant en général le maillon faible. Des mesures de protection simples peuvent donc pousser les cybercriminels à chercher une autre proie.
Selon vous, pourquoi les PME ne se protègent-elles pas mieux ?
Pour les PME, c’est sans doute une question d’argent et de savoir-faire. En outre, beaucoup d’entreprises ne connaissent pas la valeur de leurs données. Les sociétés innovantes en particulier devraient bien se protéger. La perte de données client « normales » peut déjà s’avérer désastreuse.
La sensibilisation se heurte à une difficulté, à savoir que les cyberattaques restent un concept abstrait. À l’opposé, on conçoit aisément qu’un atelier de menuiserie se voie recommander l’installation d’un paratonnerre ou qu’on verrouille la porte de son chez-soi.
Se protéger correctement est en soi exigeant. Que recommandez-vous aux entreprises qui externalisent leurs services informatiques ou qui font appel à des spécialistes ?
Je recommande de bien lire le contrat pour éviter tout malentendu. Les domaines couverts par les prestations devraient être clairement définis. Je connais le cas d’une PME au sein de laquelle les deux parties au contrat croyaient que c’était l’autre qui s’occupait de la sauvegarde. L’entreprise subit une attaque informatique et ne put malheureusement pas restaurer ses données, ce qui mena à sa faillite.
Où pouvez-vous trouver de l’aide ?
Sur son site Internet, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI www.melani.admin.ch propose toute une série de listes de contrôle et d’instructions pour protéger encore mieux votre ordinateur privé et professionnel. MELANI propose en outre un formulaire d’annonce qui permet de signaler des incidents, même en restant anonyme.
L’Office fédéral de la police Fedpol gère un modèle de coopération entre les 26 polices cantonales et la Confédération. Cette instance vous apporte son soutien pour le dépôt d’une plainte en lien avec des cyberattaques et propose en outre un formulaire d’annonce (www.cybercrime.admin.ch). Pour les plaintes déposées par les particuliers, ces derniers doivent s’adresser à la police cantonale de leur lieu de domicile. Quant aux entreprises, elles doivent déposer plainte auprès de la police cantonale dans la localité où se situe le siège de la société.