Il ne se souvient plus exactement du nombre de sollicitations médiatiques l’invitant à raconter ses mésaventures. Ivan Slatkine, directeur de la maison d’édition homonyme, n’a pas compté. Ce qu’il sait en revanche, c’est qu’il est devenu depuis dix-huit mois le visage et la voix des cybervictimes. Nous sommes le 6 novembre 2023. Ivan Slatkine découvre le piratage de son service informatique alors que la maison d’édition procédait à une sauvegarde. Les cybercriminels parviennent à infiltrer la comptabilité et les archives de l’entreprise de Chavannes-de-Bogis (VD). Fait rare dans pareilles circonstances, Ivan Slatkine raconte publiquement son expérience «traumatisante» et le paiement d’une rançon. Une transparence pour informer et sensibiliser les PME.
Phénomène en hausse
Car, en moins d’une décennie, la Suisse connaît une recrudescence des cyber-attaques visant les PME ainsi que les administrations publiques. Pour elles, la question n’est plus de savoir si elles seront un jour attaquées. Mais quand. En août 2021, la commune de Rolle (VD) en avait fait les frais, découvrant le vol massif des données personnelles de 5393 habitants. La commune a-t-elle été trop laxiste? Comment aurait-elle pu l’éviter ou mieux réagir? A l’époque, les questions fusent et les experts en cybersécurité, tels que la professeur à HEC Lausanne Solange Ghernaouti, soulignent même que «la Suisse paie vingt ans d’attentisme».
Et puis il y a eu les communes de Montreux et Veytaux. Mais aussi Comparis, Zurich Assurance et le Secrétariat d’Etat à l’économie (Seco). On pourrait continuer la liste des entreprises et des entités touchées. Si celles-ci se passeraient bien d’une telle publicité, de plus en plus d’entre elles, et peu importe leur taille, sont moins passives. Elles ont non seulement développé des compétences internes en engageant un Chief Information Security Officer (CISO) ou responsable de la sécurité des systèmes d’information, mais elles sont également toujours plus nombreuses à déléguer ou à auditer leur sécurité à des prestataires.
Dans le jargon, ces entreprises de cybersécurité sont des sociétés de «hacking éthique». Une dénomination que Steven Meyer, expert en cybersécurité et fondateur de Zendata, désapprouve: «Hacker est un crime. Je préfère le terme de protecteur ou d’analyste de vulnérabilités. Mais c’est clair que c’est moins vendeur, sourit-il. Les TPE, les PME comme les multinationales sont nombreuses à faire appel à des prestataires externes, car il leur manque des compétences, mais elles ont aussi besoin d’un avis extérieur et de pouvoir échanger sur leur sécurité. Quand on est dans l’opérationnel, on n’a pas toujours la possibilité de prendre le recul nécessaire ou de voir ce qui se fait ailleurs.»
Renforcement en matière de cybersécurité
Mais à quelle porte frapper et quels sont les garde-fous à respecter avant de confier sa cybersécurité à l’externe? Car si les attaques augmentent, l’offre aussi: «Il n’y a pas d’annuaire officiel en la matière; et sur le marché romand, il commence à y en avoir beaucoup, car ces entreprises y voient une opportunité financière. C’est justement pour cela qu’il faut bien faire attention à leurs réputation et compétences. Généralement, on recommande aux PME de choisir une entreprise cyber qui est alignée avec ses valeurs, sa culture d’entreprise et possède une bonne maîtrise des technologies utilisées.»
C’est ainsi aux CEO par exemple de prospecter: «S’ils se posent déjà la question du besoin d’analyser et de renforcer leur sécurité, on est sur la bonne voie, souligne Steven Meyer. Le cyber est comme tous les autres risques inhérents à l’entreprise. Ce risque doit être compris et mitigé. Le directeur d’une PME doit avoir cette réflexion afin de mettre en place une stratégie, des procédures et des outils adaptés pour être correctement protégé. Mais ce n’est pas évident, et c’est dans cette mise en place que nous les accompagnons. On remarque heureusement une montée des compétences des PME pour se défendre, mais aussi une recrudescence des aptitudes des attaquants. Et pour l’instant, les attaquants progressent plus rapidement que les PME qui essaient de se protéger toutes seules.»
Un avis que partage Paul Such. Cet ingénieur quadragénaire est passionné par la cybersécurité depuis toujours. En 2002, il fonde SCRT, une des premières sociétés suisses spécialisées dans la cybersécurité. En 2017, l’entrepreneur fonde Hacknowledge, société spécialisée elle aussi dans la cybersécurité. Elle emploie désormais 50 personnes. Selon Paul Such, «la cybersécurité exige un très vaste panel de compétences à l’interne d’une PME et beaucoup de disponibilités. Ce serait assez utopique d’imaginer réunir toutes ces compétences dans une seule et même entreprise. La solution pour les PME est donc d’externaliser ce travail. C’est logique et c’est une bonne chose. Car il faut savoir que c’est très souvent le prestataire externe qui va découvrir une attaque ou une intrusion. Les chiffres n’ont pas changé en une décennie: les PME mettent environ cent jours à découvrir qu’elles ont été hackées.»
Une statistique anxiogène pour bon nombre de patrons d’entreprise qui cèdent parfois au plus pratique avec des solutions clés en main: «Une PME doit se garder de confier toute sa sécurité au même prestataire informatique, insiste Paul Such. Il faut un prestataire pour l’IT et un autre pour le contrôle de cette infrastructure. Les PME doivent donc séparer l’exécution du contrôle. C’est d’ailleurs assez sain de jongler avec plusieurs prestataires aux missions bien définies. La PME limite les risques et renforce ainsi sa sécurité.»
