A la différence d’un vol ou d’un cambriolage, une effraction commise dans le cyberespace n’est souvent constatée que plusieurs mois après les faits. «En moyenne, une société met encore trois mois à se rendre compte qu’elle a subi un incident de sécurité. Et dans un cas sur deux, ce n’est pas l’entreprise ou l’institution concernée qui se rend compte en premier lieu de l’incident. L’alerte est souvent lancée par des clients ou des partenaires», illustre Paul Such, directeur de Hacknowledge, une société vaudoise spécialisée dans la cybersécurité et qui est aussi membre du comité de programme des Swiss Cyber Security Days.

Les exemples récents de tels incidents ne manquent pas. Début octobre, l’Université de Fribourg a ainsi informé qu’elle avait fait l’objet d’une cyberattaque qui a permis aux pirates informatiques d’avoir accès au profil de sept de ses collaborateurs et à leurs coordonnées bancaires. L’intrusion s’était toutefois déjà produite fin août. En septembre, le géant horloger Swatch a aussi admis avoir été victime d’une attaque informatique de grande ampleur.

Le télétravail, une pratique solidement installée

La pandémie de Covid-19 a obligé les entreprises à s’adapter en un temps record à la pratique du télétravail, qui s’est désormais solidement installée dans le monde professionnel. Selon un sondage publié en mai par le cabinet de conseil Deloitte, près de la moitié (48%) des personnes actives en Suisse travaillaient à domicile à la mi-avril. Cette pratique devrait rester ancrée dans les habitudes: plus du tiers (34%) des quelque 1500 personnes interrogées ont indiqué qu’elles travailleraient régulièrement à partir de leur domicile même après la crise.

Double exposition aux cyberrisques

La mise en réseau des réseaux informatiques et la possibilité d’avoir accès aux ressources de l’entreprise à partir de n’importe quel endroit et à tout moment ont multiplié les points d’entrée pour de potentielles cyberattaques. Réseaux wi-fi non protégés à domicile, travail à l’aide d’un ordinateur personnel dépourvu de mot de passe ou utilisation du mot de passe par défaut sont autant de failles supplémentaires qui peuvent être exploitées par des pirates informatiques.

Du côté des autorités responsables de la prévention, on insiste non seulement sur les aspects techniques – comme la nécessité de procéder à des mises à jour régulières des systèmes ou de protéger son réseau wi-fi à domicile à l’aide d’un mot de passe – mais également sur l’importance d’adopter les bons comportements. Les experts en cybersécurité distinguent ici entre plusieurs types d’attaques qui ciblent les utilisateurs eux-mêmes: ingénierie sociale, hameçonnage (phishing) ou harponnage (spear fishing) sont quelques-unes de ces pratiques. La Prévention suisse de la criminalité (PSC) met en garde en particulier contre les attaques dites d’ingénierie sociale. Parmi les signes qui doivent inciter à la méfiance, la PSC mentionne, par exemple, les situations où une personne inconnue évoque des situations d’urgence ou exerce une pression sur des employés pour les inciter à ignorer certaines procédures de sécurité définies par l’entreprise.

Les risques ne sont pas que de nature informatique

S’adaptant à la nouvelle réalité du télétravail, des opérateurs télécoms, des sociétés informatiques mais aussi des assureurs proposent désormais différentes offres destinées aux individus et aux PME qui intègrent d’emblée des aspects liés à la cybersécurité. Les risques pouvant être occasionnés à une entreprise en cas de vol ou de perte de données faisant suite à une cyberattaque vont en effet bien au-delà des seuls coûts liés aux équipements informatiques. Les assureurs sont aujourd’hui bien conscients de ces enjeux.

Chez Vaudoise Assurances, on rappelle d’abord l’importance de la prévention: «Il est important pour nous de sensibiliser les clients sur des mesures simples qui peuvent être prises afin d’éviter un dommage. Mais même en faisant preuve de toute la diligence possible, il n’est pas toujours possible d’éviter un dommage», admet Jesus Pampin, chef du service souscription choses chez Vaudoise Assurances.

Si une cyberattaque ne parvient pas à être empêchée, les conséquences ne sont pas seulement d’ordre technique mais elles affectent les entreprises sur plusieurs plans. Car, d’une part, en cas de piratage de données, une entreprise ou une institution doit souvent consacrer beaucoup d’efforts à informer et rassurer ses clients sur les conséquences potentielles du vol de ses données.

Rétablir la réputation des entreprises

D’autre part, toute attaque informatique porte, plus généralement, atteinte à la réputation d’une entreprise ou d’une institution. Vaudoise Assurances tient compte de cette dimension dans ses offres incluant la cybersécurité: dans son extension Cyber de son produit d’assurance inventaire pour entreprise Business One, l’assureur prend en charge non seulement les dommages informatiques proprement dits mais aussi de nombreux autres risques, comme les frais de notification visant à informer les clients dont les données ont été affectées par une cyberattaque. L’extension Cyber – qui est aussi valable dans un contexte de télétravail – couvre également les frais visant la préservation ou le rétablissement de la réputation de l’entreprise, souligne Vaudoise Assurances. Comment mesure-t-on un dommage lié à la réputation? «Le calcul du dommage se fait au cas par cas. Cela dépendra, entre autres, du type d’activité et de l’attaque subie. Dans le cadre de la couverture Cyber, le plafond dépendra de la somme d’assurance choisie par le client», explique Jesus Pampin de Vaudoise Assurances.

La cybersécurité fait désormais partie intégrante des offres de services IT

Dans les télécommunications, la plupart des opérateurs proposent des offres qui intègrent des aspects liés à la cybersécurité. En la matière, Swisscom fait l’article pour différentes offres centrées sur les réseaux informatiques, les centres de données, l’informatique en nuage (cloud) ou des outils de détection des menaces informatiques.

De son côté, Infomaniak, une société genevoise spécialisée dans les solutions d’hébergement, insiste aussi sur cet aspect: «Tous les services que nous proposons intègrent d’emblée la problématique de la cybersécurité», souligne son porte-parole. Il insiste sur la nécessité d’être proactif sur ce plan: «Dès que nous suspectons une activité malveillante sur un compte de l'un de nos clients, nous modifions le mot de passe du compte concerné et entrons en contact avec notre client pour lui expliquer la situation et lui donner des conseils afin d’éviter que cela ne puisse se reproduire», explique-t-il.

La sécurité est un tout

D’une manière générale, le télétravail entraîne de nouveaux risques, observe Paul Such, directeur de Hacknowledge. Pour autant, en matière de cybersécurité, il n’est, selon lui, pas forcément nécessaire d’acheter des solutions spécifiquement adaptées aux situations de télétravail. «La sécurité, c’est un tout, c’est un projet transverse», souligne-t-il. Il existe, certes, de nombreuses solutions techniques permettant d’aborder le télétravail plus sereinement, notamment concernant le cloud ou l’usage de réseaux VPN. Cependant, il insiste sur les risques comportementaux. «Les solutions techniques sont une nécessité pour assurer une sécurité de base mais un mauvais comportement des utilisateurs peut complètement anéantir tous les efforts techniques», rappelle-t-il. «Il faut re-responsabiliser les utilisateurs, leur rappeler qu’ils ont un rôle clé à jouer, notamment dans la détection des problèmes», souligne Paul Such.

Télétravail depuis l’étranger: un défi plus légal que technique

Dans les régions frontalières, le télétravail complique encore un peu plus la donne. Les employés qui travaillent à distance à partir d’un pays voisin sont-ils plus exposés aux risques informatiques que ceux qui pratiquent le télétravail en Suisse? «Non, à partir du moment où un réseau VPN est utilisé», relativise Infomaniak.

«S’il s’agit des mêmes outils et de la même société, il n’y aura, d’un point de vue technique, pas vraiment de différences entre un employé qui réside sur sol suisse et un employé à l’étranger», estime aussi Paul Such de Hacknowledge. Les difficultés se situent plutôt sur le plan légal: «On ne devrait pas, par exemple, accéder à certaines données depuis l’étranger. Il existe deux cadres juridiques différents et c’est donc un aspect auquel il faut, dans certains cas, faire attention», juge-t-il. S’agissant des services proposés par Hacknowledge, la société garantit à ses clients que tous ses analystes sont résidents sur sol suisse. «C’est une demande assez classique de la part des clients bancaires», précise-t-il.


Plus d'informations sur : www.vaudoise.ch