Parmi les plus de 30 000 clients de l’entreprise américaine SolarWinds qui utilisent son logiciel Orion, environ 18 000 ont téléchargé et installé la mise à jour infectée. Sans surprise, le logiciel d’analyse des réseaux Orion est utilisé par de nombreuses entreprises suisses, telles que Swisscom, Novartis, Credit Suisse ou encore Nestlé. Ces multinationales sont peu loquaces sur un sujet sensible.

Swisscom est celle qui s’ouvre le plus sur ce sujet. «Notre service de sécurité est au courant de l’attaque de hackers à SolarWinds. Nous pouvons confirmer que Swisscom est un client de SolarWinds, répond un porte-parole. Le vendeur a fourni deux hotfixes. Swisscom a déjà installé ces correctifs. Indépendamment de cela, nous avons étendu sa surveillance. Nos experts en sécurité analysent les systèmes concernés et n’ont trouvé aucun indice d’utilisation abusive. Les analyses se poursuivent.»

De son côté, Credit Suisse répond qu’il ne fait, par principe, aucun commentaire concernant les questions relatives à la cybersécurité. Nestlé n’a pas répondu à nos questions, alors que Novartis nous a demandé de contacter SolarWinds.

Lire également: Pourquoi autant de cyberattaques en Suisse?

Il paraît certain que toutes ces entreprises analysent actuellement leurs systèmes internes. De son côté, le Centre national pour la cybersécurité (NCSC) est mobilisé. «Les enquêtes menées par le NCSC en collaboration avec les opérateurs des infrastructures d’information vitales suisses sont en cours. Les premières évaluations indiquent qu’il s’agit d’une forme d’attaque grave», affirme Max Klaus, responsable adjoint cybersécurité opérationnelle au NCSC.

Des mesures ont été prises, poursuit le responsable: «Le NCSC a immédiatement informé les exploitants des infrastructures d’information vitales suisses et a formulé des recommandations. Les clarifications correspondantes sont en cours avec ces entreprises.» Mais le centre ne veut pas donner davantage d’informations: «En raison des accords de confidentialité conclus entre les opérateurs des infrastructures d’information vitales et le NCSC, ce dernier ne fait aucun commentaire sur le résultat de ces clarifications, sur les entreprises concernées, etc.», conclut Max Klaus.