«Les banques dialoguent par portail sécurisé»

Le Temps: Avez-vous mis en place un dispositif spécial dans l’affaire de la Banque Cantonale de Genève (BCGE)?

Max Klaus: Dans ce cas précis, notre mandat s’est borné à faire des suggestions. La BCGE nous a écoutés et a pris des mesures pour améliorer sa sécurité informatique.

– Que pensez-vous de l’initiative genevoise de cellule de cybersécurité bancaire, où des agents formés aux techniques de prises d’otages vont dorénavant négocier avec les pirates qui font chanter une banque?

– Je n’ai pas connaissance d’une telle structure locale. En revanche, nous utilisons depuis dix ans à l’échelle fédérale un portail sécurisé pour dialoguer avec les entreprises du pays soucieuses de leur sécurité informatique. Cette mise en relation, en cercle fermé, a engendré un changement de paradigme. Par le passé, les banques étaient réticentes à l’idée de divulguer des incidents à leurs concurrents. Mais à présent, l’échange d’informations et de bonnes pratiques, dans un esprit de confiance, est mieux établi.

– Les employés de banque sont-ils le véritable talon d’Achille des entreprises? C’est à travers eux que sont importés les virus.

– Pas tout à fait. La vulnérabilité dépend de chaque structure organisationnelle et des particularités de sa sécurité informatique. Mais il est vrai qu’abuser un employé à travers un courriel infecté est a priori facile. Le comportement des administrateurs, qui utilisent des services de messagerie externes, est également source de risques accrus. Il y a encore un gros travail de sensibilisation et de formation à faire de ce point de vue. Ce d’autant plus qu’il y a pour ainsi dire une absence de diligence raisonnable systématique des fournisseurs, de leurs collaborateurs, voire de leurs technologies [backdoors].

– Recommandez-vous les services de «hackers ethiques»?

– La démarche peut s’avérer délicate. Il faut s’assurer que les prestataires externes n’utilisent pas les données sensibles auxquelles ils pourraient avoir accès. Il y a aussi la question du prix. Hormis les grandes sociétés, le secteur privé n’a pas forcément les moyens de s’offrir ce genre de service. D’où un manque général de véritables audits réguliers de sécurité ou de tests de pénétration. En revanche, la Confédération dispose de tiers spécialistes mobilisables à travers l’association Swiss Cyber Experts.