Le travail à domicile a prouvé son efficacité pour lutter contre le coronavirus. En revanche, il est une véritable aubaine pour les virus informatiques, puisqu’il multiplie les points d’entrée dans les systèmes des entreprises. Des entreprises qui sont encore mal armées pour se protéger des cybercriminels.
Fin septembre, le géant horloger Swatch Group a été pris pour cible par des pirates informatiques. La brèche: un cadre supérieur qui aurait branché une clé USB infectée dans un ordinateur professionnel aux États-Unis, provoquant un effet domino, selon les informations de l’agence AWP.
Le groupe affirme que «tout est désormais sous contrôle» et qu’aucune rançon n’a dû être payée. Toutefois, la cyberattaque a passablement perturbé les activités du numéro un mondial de l’horlogerie, affectant jusqu’à la production de la manufacture Omega, la marque la plus touchée du groupe. Des problèmes d’accès à Internet au sein de l’entreprise ont également perduré pendant au moins un mois, relatent des sources internes.
Emblématique, le cas du célèbre groupe horloger n’est cependant pas isolé. La compagnie d’aviation britannique EasyJet s’est fait dérober, en mai, les données de neuf millions de clients. Début octobre, des pirates ont réussi à détourner les salaires d’employés de plusieurs universités alémaniques. Le constructeur ferroviaire Stadler Rail s’est récemment vu réclamer une rançon de 6 millions de francs, victime d’un logiciel malveillant qui prend en otage les données.
Dans un monde toujours plus connecté, les cas de cyberattaques augmentent de manière exponentielle. Celles-ci sont capables de paralyser complètement une entreprise: plus d’e-mails, plus de téléphone, plus de système de gestion, de livraison, de paiement ou de réservation. Quant aux conséquences, elles peuvent se révéler désastreuses. En Norvège, le géant de l'aluminium Norsk Hydro a, par exemple, été contraint de déconnecter ses différents sites et usines. Les pertes ont été estimées à 30 millions de francs.
Un pic d’attaques durant le confinement
Lorsque la première vague de coronavirus a commencé à semer un chaos planétaire, de nombreuses entreprises ont passé au télétravail, quasiment du jour au lendemain. Encouragée par les gouvernements, la mesure a contribué à freiner le nombre de cas de Covid-19, mais a aussi créé de nouvelles failles de sécurité informatique, dans lesquelles les pirates se sont empressés de se faufiler.
Les chiffres sont révélateurs. Durant le semi-confinement à la mi-avril, alors que près de la moitié des personnes actives en Suisse travaillaient à domicile, le Centre national pour la cybersécurité (NCSC, anciennement Melani) a recensé un nombre accru d’incidents, près de 400 par semaine contre un peu plus de 100 en début d’année.
Des chiffres qui ne surprennent pas Solange Ghernaouti, professeure à l'Université de Lausanne et experte internationale en cybersécurité: «Le télétravail augmente les points d’entrée dans le système informatique d’une entreprise, mais aussi l’attractivité des flux pour les pirates, car davantage d’informations stratégiques se trouvent en circulation.»
Mis en place dans l’urgence, le travail à domicile n’a pas toujours été pensé de manière sécurisée. Utilisation d’ordinateurs personnels, connexions non sécurisées, faiblesses en matière d’authentification pour accéder au système interne sont autant de portes d’entrée que les pirates n’hésiteront pas à forcer. Mais il y a aussi des risques physiques plus élevés, comme celui de se faire voler du matériel ou de laisser échapper des informations stratégiques, captées par des yeux ou des oreilles indiscrets.
La Suisse n’est ni plus vulnérable que ses voisins ni mieux armée pour prévenir les attaques informatiques, estime Solange Ghernaouti. «Les cybercriminels voient des opportunités partout.» La sécurité est avant tout une affaire de culture et d’éducation, insiste la spécialiste, mais celle-ci ne se construit pas en un jour. «Les plus grandes entreprises, qui autorisaient déjà le télétravail ou avaient des employés nomades, étaient évidemment mieux armées que les PME qui ont dû passer au travail à distance dans la précipitation», précise-t-elle.
Savoir renoncer pour se protéger
En matière de cybersécurité, facilité ne rime pas avec sécurité. «Si on utilise des logiciels simples et gratuits comme Zoom pour faire des visioconférences, on en a pour son argent, c’est-à-dire qu’on n’a aucune sécurité», souligne Solange Ghernaouti. Se protéger implique parfois des renoncements. «Être en sécurité, c’est fermer, restreindre. Pour lutter contre une pandémie, on se confine, on porte un masque. Pour lutter contre les virus informatiques et les cyberattaques, il faut renoncer à certaines pratiques qui ne sont pas sécurisées et anticiper», image l’experte.
La maîtrise des risques passe par la sensibilisation des employés, des chefs d’entreprise et par la formation des plus jeunes. Solange Ghernaouti estime que la cybersécurité devrait faire partie intégrante de l’enseignement de l’informatique à l’école. Elle plaide pour la mise en place de politique de sécurité à long terme: «Le plus grand problème est que nous réagissons toujours dans l’urgence, comme des pompiers. Nous n’avons pas assez anticipé les contraintes et les besoins sécuritaires, nous ne sommes pas assez proactifs, nous ne disposons pas de vision prospective à long terme. Il faudra encore des décennies avant que cela entre dans les pratiques.»
Stéphane Koch, vice-président d’Immuniweb, une entreprise suisse spécialisée dans la cybersécurité, met le doigt sur un autre problème: la législation suisse n’est pas adaptée à l’ère du tout numérique. «Au sein de l’Union européenne, une entreprise qui a une faille de sécurité s’expose à une amende, qui équivaut à une partie de son chiffre d’affaires. En Suisse, les entreprises ne sont pas assez responsabilisées sur le plan juridique pour qu’elles assument les conséquences en cas de laxisme en matière de sécurité informatique», explique l’expert.
Une attaque informatique peut être fatale
L’enjeu d’une protection efficace contre le piratage n’est pas des moindres, puisque le coût total de la cybercriminalité représente approximativement 1% du produit intérieur brut des pays, comme le souligne Solange Ghernaouti. Dans les cas les plus dramatiques, une attaque peut mener à la faillite d’une entreprise. Stéphane Koch cite l’exemple d’une entreprise française qui a dû mettre la clé sous la porte à la suite d’une attaque au président. «Quelqu’un s’est fait passer pour le dirigeant de l’entreprise et a réussi à obtenir le versement de 1,6 million d’euros à l’étranger», raconte ce dernier. Une année après, la société s’est retrouvée en liquidation judiciaire, et 44 employés ont perdu leur emploi.
Au-delà de l’impact financier, c’est aussi la réputation d’une entreprise qui est en jeu. Les sociétés sont souvent réticentes à évoquer les cyberincidents, par crainte d'un dégât d'image. Raison pour laquelle en Suisse, il n’y a pas de chiffres précis sur les retombées économiques de ces attaques. Le gouvernement examine la possibilité d’introduire une obligation de déclaration dans ce domaine. Il devrait prendre une décision de principe d’ici à la fin de l’année.
Des mesures d’hygiène… numériques
La pandémie nous a appris à mettre en application des mesures d’hygiène stricte pour chasser le virus. Nous enseignera-t-elle également à adopter une meilleure hygiène numérique pour protéger nos données? Stéphane Koch en doute. Il craint que de nombreuses entreprises soient trop préoccupées par leur survie pour investir dans la cybersécurité. «De petites boutiques pourraient être tentées de créer un site Internet pour continuer de vendre leur marchandise, sans se préoccuper de le sécuriser», note-t-il.
Une question plus fondamentale se pose: le numérique est-il la solution à tout? Non, répond Solange Ghernaouti. «Il va résoudre une partie du problème lié à la pandémie. Toutefois, en nous dirigeant vers plus de numérisation, nous fragilisons aussi l’économie et les infrastructures.»
Moralité pour l’experte en cybersécurité: «À défaut de mesures de sécurités efficaces, il y a des choses qu’il ne faut pas faire en ligne!»
Katy Romy