C’était il y a bientôt six mois. Le 14 décembre 2021, Le Temps révélait que DBS Group avait été la victime de pirates informatiques. La société lausannoise, qui possède douze marques dans l’immobilier en Suisse, dont Domicim, Brolliet et Duc-Sarrasin, s’était fait voler un volume de données de 615 Mo, répartis entre 485 fichiers. DBS Group, qui compte environ 700 collaborateurs, avait refusé de payer une rançon aux pirates. Christophe Hubschmid, directeur du groupe, revient sur cette crise dans le cadre du forum Forward, organisé jeudi par l’EPFL, PME et Le Temps.

Lire aussi: Les pénuries actuelles au cœur d'un forum pour les PME

Le Temps: Plusieurs mois après cette attaque, quelles traces demeurent au sein de votre société?

Christophe Hubschmid: Bien sûr, on ne sort pas indemne d’une telle situation. Mais je suis extrêmement satisfait de la manière dont nous l’avons gérée. Aujourd’hui, tous nos systèmes fonctionnent à nouveau normalement, nous avons réinstallé nos données et notre informatique a été mise à niveau beaucoup plus rapidement que ce que nous avions prévu avant l’attaque. Nous avons accéléré fortement notre migration vers le cloud, tous nos logiciels tournent désormais de cette façon.

On entend souvent que ces cyberattaques marquent psychologiquement des employés. Qu’en a-t-il été chez vous?

Il y a eu le choc de l’attaque, de la déconnexion soudaine de nos systèmes, du fait de devoir travailler autrement… Un choc d’autant plus important que la crise du coronavirus était alors encore très présente. Nos informaticiens, eux, ont travaillé 24 heures sur 24 les premiers jours, avec l’appui immédiat de spécialistes externes. Ils n’ont pu prendre des vacances que quatre à cinq mois après l’attaque. Nous avons tenu à informer immédiatement de la manière la plus transparente nos employés, régulièrement, via des séances et des fiches de questions-réponses.

Quelle a été l’ampleur des données volées?

Sincèrement, elle était minime. Nous estimons que moins de 0,3 pour mille de nos données ont été volées et publiées sur le darknet. Ce n’étaient pas des données sensibles, et en plus certaines informations n’étaient pas lisibles sans nos logiciels. C’est un poste informatique de contrôleur de gestion qui a été attaqué initialement, et l’attaque a été très vite circonscrite. C’est l’un de nos collaborateurs qui a cliqué sur un lien contenu dans un e-mail envoyé par un partenaire externe. C’était très bien fait, et nos antivirus n’ont pas donné l’alerte. Le serveur de messagerie de ce partenaire avait été infecté et piloté à distance par les hackers.

Des données peu sensibles, dites-vous, mais certains de vos clients n’ont pas dû apprécier que vous vous fassiez pirater?

Détrompez-vous. Nous avons pris la peine d’écrire à nos clients, via plusieurs milliers de lettres, pour leur expliquer ce qui s’était passé. Seuls trois clients nous ont ensuite écrit pour nous demander si leurs coordonnées bancaires avaient fuité, ce qui n’avait pas été le cas. Envers nos gros clients institutionnels, nous avons établi un contact plus étroit, plus documenté, et tous ont été très compréhensifs et satisfaits de notre partage d’expérience. Car ce qui nous est arrivé peut aussi leur arriver, évidemment.

Pourquoi n’avez-vous pas payé de rançon pour tenter d’éviter toute fuite de données en ligne?

C’était exclu, car payer ne nous aurait évidemment pas assuré que ces données n’allaient pas être publiées et ne nous garantit pas d’être protégés contre le piratage. De plus, ces données étaient limitées et pas sensibles. Nous possédions une copie de sauvegarde de toutes nos informations. Enfin, nous aurions de toute façon dû réinstaller toute notre informatique pour être certains de ne laisser aucune porte ouverte aux pirates. Payer n’a donc jamais été une option, nous n’avons même jamais voulu savoir combien les pirates auraient voulu nous demander. Aucun contact n’a été établi avec eux.

Avez-vous fortement augmenté vos dépenses en informatique et en cybersécurité?

Oui. Le budget était déjà très élevé, il a augmenté encore. Il y a le matériel, les logiciels, la migration accélérée vers le cloud. Et il y a la formation du personnel, qui ne cesse jamais. Nous avions déjà des formations continues en place au sein du groupe, nous les avons renforcées, un seul clic pouvant permettre à une attaque d’avoir lieu… Le problème, c’est qu’il faut trouver le bon dosage: car au bout d’un certain temps, et c’est humain et normal, des discours de prévention ne sont plus guère écoutés. Il faut donc trouver de nouvelles manières de former les collaborateurs. Nous avons aussi mis en place des systèmes de double authentification pour l’accès, et bien sûr cela complique un peu le travail de tous, et nécessite d’être expliqué.

Aviez-vous souscrit une assurance contre les cyberattaques?

Oui, et elle a pris en charge une partie des frais. Je ne donnerai pas de chiffre précis. Je peux juste dire que la prime d’assurance est élevée, mais que la franchise est raisonnable. Et l’assurance a donc payé pour une partie des centaines de milliers de francs que nous a coûté cette attaque en termes de restauration de nos systèmes informatiques.

Quels conseils donneriez-vous à d’autres entreprises face à ces cyberattaques?

Effectuez des sauvegardes régulières de vos données dans des endroits sécurisés et hors ligne, formez en permanence votre personnel, communiquez ensuite de manière transparente et rapide avec vos collaborateurs, vos clients, vos fournisseurs… Et l’histoire n’est jamais finie, je pars du principe que nous serons à nouveau attaqués. Mais nous serons plus solides encore pour y faire face.