1. La Petite Cave du Chablais: victime collatérale du piratage chez Winbiz
«A notre arrivée le matin, il était impossible de se connecter à nos bases de données. Nous ne pouvions plus émettre de factures, de bulletins de commande, d’encaissement, de fiches de salaire. Nous n’avions plus les contacts ni de nos clients ni de nos fournisseurs, se rappelle Bertrand Berthoud, directeur de La Petite Cave du Chablais, entreprise spécialisée dans la livraison de boissons auprès des professionnels et particuliers. Toutes les références des articles et leur prix étaient inaccessibles, un vrai problème pour nos magasins. Nous avons réalisé combien il est impossible de travailler sans ordinateur aujourd’hui.»
La PME de 28 employés basée à Collombey (VS) et à Villeneuve (VD) a alors continué à livrer en indiquant par lettre que les facturations seraient repoussées. Pour les commandes, tout s’est fait par téléphone avec des bons écrits à la main. L’entreprise reste encore aujourd’hui profondément impactée par la cyberattaque. «Nous ne sommes toujours pas revenus à la normale. Notre trésorerie a été complètement décalée. Une personne travaille quotidiennement pour remettre en place le système, et notamment pour enregistrer et certifier toutes les opérations notées sur papier.»
Le stress et la frustration accompagnent la période de crise. «Nous avions fait confiance à Winbiz, cru leurs promesses de sécurité. Ils nous avaient incités à passer sur le cloud et à ne pas nous préoccuper des sauvegardes, dont ils étaient censés se charger. Or nous n’avons pas pu les retrouver avant des semaines.» Aujourd’hui, Bertrand Berthoud va changer de fournisseur. «Un investissement de 45 000 francs, c’est un coût important. Et d’autant plus que rien ne nous assure que ça n’arrivera pas une nouvelle fois. Mais maintenant, nous avons mis en place nos propres sauvegardes plusieurs fois par jour, débranchées du réseau.»
2. Fiduciaire GRF: l’importance d’une communication transparente
«Ce lundi matin, nous avons constaté un accès non autorisé à notre serveur interne, accompagné d’un message nous invitant à prendre contact par e-mail», explique Virgile Rochat, directeur de GRF, qui compte 14 collaborateurs. Les hackeurs menacent de publier les données récupérées si la société ne paie pas une rançon de 200 000 francs.
La fiduciaire contacte immédiatement son prestataire informatique pour réaliser une restauration du serveur. «Nous avons compris plus tard qu’il aurait mieux valu ne toucher à rien pour faciliter l’enquête forensique.» Par ailleurs, les échanges avec les hackeurs montrent que ceux-ci n’ont pas eu accès à des données sensibles, ce qui encourage la société à ne pas payer la rançon.
Une communication franche et régulière s’est avérée essentielle pour gérer au mieux l’intrusion. «Le recours à un avocat et à un consultant spécialisé nous a permis d’être bien appuyés pour répondre aux questions.» La société organise notamment une séance d’information destinée à ses clients issus des collectivités publiques.
«L’attaque a aussi été l’occasion de comprendre que l’informatique réseau et la cybersécurité sont des domaines qui requièrent chacun des compétences distinctes.» A la suite de cet incident, GRF a engagé un prestataire en cybersécurité pour réaliser un audit de son infrastructure et émettre des recommandations en vue d’un renforcement des mesures de sécurité. «Il est aussi essentiel de former et d’informer les collaborateurs aux risques et aux bonnes pratiques. Enfin, la transparence dont nous avons fait preuve a été un élément que nos clients ont beaucoup apprécié.»
3. L'Epicentre: faire appel à l’analyse d’une société externe
«Tout a commencé par un appel du National Cyber Security Centre (NCSC), qui nous a alertés: il avait trouvé des copies de cartes d’identité de nos abonnées sur le darkweb.» Benoît Chobaz, administrateur au Cycle d’orientation de la Glâne, à Romont (FR), s’occupe de la gestion du centre culturel et sportif l’Epicentre. Créé en 2020, l’établissement a mis en place un système d’abonnement avec inscription en ligne. Pour vérifier l’identité de ses membres, le centre demande un selfie, qui sert de photo d’utilisateur, et une copie du recto de la carte d’identité. Le vendredi 10 février 2023, il constate donc que les copies des papiers d’identité de 377 abonnés, sur plus de 10 000 en tout, ont été hackées.
Benoît Chobaz bloque immédiatement le site. «Nous ne pouvions plus créer de compte, mais, au moins, tout était arrêté et la base de données générale protégée. La police de cybersécurité fribourgeoise est ensuite intervenue, puis nous avons porté plainte. Le site est resté fermé dix jours. Heureusement, nous avions souscrit à une assurance cybersécurité.»
L’Epicentre a contacté personnellement chacune des personnes dont la carte avait fuité, tout en avertissant la presse. «La transparence est toujours à privilégier. Toute fuite de données est un sujet sensible qui aurait fini par se savoir. Autant être francs, que nos utilisateurs apprennent la nouvelle de notre part, et expliquer ce que nous avons mis en place pour gérer l’attaque.»
Pour l’administrateur, les réactions ont été globalement bienveillantes: «Le public comprend que les cyberrisques sont désormais inhérents à nos sociétés.» Depuis, l’Epicentre a fait appel à une société extérieure pour analyser son système et a mis en place une suppression automatique des photos après vérification de l’identité.
En Suisse, une PME sur trois a déjà été victime d’une cyberattaque. Les cas explosent et les dégâts se chiffrent en millions. Retrouvez des témoignages et des conseils d'experts pour lutter contre ce fléau. A lire sur le même sujet: