La cybersécurité des entreprises n'est pas ce qu'elle devrait être Les failles de la digitalisation de l'industrie

Auteur: Marina Hofstetter

La digitalisation de l'industrie offre de nombreux avantages, mais un inconvénient bien réel et pourtant fortement sous-estimé : la vulnérabilité des systèmes industriels aux cyberattaques. En effet, la sécurisation des systèmes industriels connectés devrait automatiquement aller de pair avec leur mise en place, or, ce n'est que bien rarement le cas. Nous avons pu approfondir ce sujet avec Steven Meyer, directeur et co-fondateur de Zendata, spécialiste en cybersécurité.

Entreprises liées

Les cyberattaques peuvent toucher à tout ce qui intègre de l'informatique, soit tous les systèmes industriels connectés ou OT (Operationnal Technology) et tous les objets connectés ou IdO (Internet des Objets).
Les cyberattaques peuvent toucher à tout ce qui intègre de l'informatique, soit tous les systèmes industriels connectés ou OT (Operationnal Technology) et tous les objets connectés ou IdO (Internet des Objets).
(Source : Blue Planet Studio / Adobe Stock)

Quelle est la mission de Zendata ?

S. Meyer : Nous avons fondé Zendata il y a une dizaine d'année, avec pour but original d'offrir aux PME une cybersécurité aussi efficace que celle des grandes entreprises. Les petites entreprises sont essentielles en Suisse, or elles sont souvent le maillon faible de la chaîne de collaboration. Prenez par exemple une multinationale qui souhaite transférer de l'argent à la banque. L'ordre va passer par un gestionnaire de fortune, un cabinet comptable ou une étude d'avocats. La multinationale est bien protégée en termes de cybersécurité, la banque aussi, mais la petite entreprise de gestion qui agit en tant qu'intermédiaire ne l'est, elle, probablement pas, ce qui met en péril la sécurité de tous les intervenants. Nous avons donc cherché à proposer à ces intervenants des niveaux de sécurité équivalents à ceux des entreprises avec qui elles sont en contact, à des prix raisonnables. Depuis lors, beaucoup de choses ont changé. Nous proposons toujours nos services de protection, mais nous nous occupons également de grandes entreprises, nous avons un service de formation, un service d'intervention post-attaque, un service d'audit… nous couvrons tout ce qui se fait dans le monde de la cybersécurité.

Pouvez-vous justement nous expliquer ce que l'on entend exactement par cybersécurité ?

S. Meyer : Pour faire très simple, la cybersécurité est la protection de tout ce qui se trouve dans notre environnement digital. Cela couvre donc beaucoup de choses. Le plus évident, ce sont les ordinateurs. Comment être surs qu'un ordinateur ne peut pas être utilisé de façon malveillante contre l'utilisateur, l'entreprise ou même un tiers. Le danger peut provenir du crime organisé, en particulier dans le cas de ransomware, mais le but peut également être l'espionnage industriel, la corruption de données, la falsification de documents, l'espionnage gouvernemental, le piratage activiste ou géopolitique. On parle donc bien de criminalité, ce qui n'est en soit pas un sujet sympathique. Alors les ordinateurs sont l'exemple le plus probants, mais les attaques peuvent toucher à tout ce qui intègre de l'informatique, soit tous les systèmes industriels connectés ou OT (Operationnal Technology) et tous les objets connectés ou IdO (Internet des Objets). Avec la disponibilité et l'implémentation croissante de ce type de systèmes ou objets, la cybersécurité est devenue une préoccupation du quotidien, et ce pour une raison légitime.

Galerie d'images

Les petites et moyennes entreprises doivent-elles réellement craindre une cyberattaque ?

S. Meyer : Tout dépend des collaborations et implications de l'entreprise. Une petite entreprise de sous-traitance mécanique peut très bien être la cible d'une attaque pour servir de porte d'entrée à un autre système ou à une autre entreprise avec laquelle elle travaille. Les petites start-ups du domaine de l'innovation sont par exemple de potentielles victimes en ce qui concerne l'espionnage industriel ou les intérêts géopolitiques. La Suisse est un pays innovant, il y a des idées à voler et à revendre. Le secteur pharmaceutique est un domaine très concurrentiel, dans lequel ce genre de choses peuvent arriver, tout comme le domaine horloger. Vol de propriété intellectuelle, vol de matériaux précieux en détournant les adresses de livraison, on voit de tout. Il faut aussi voir les choses du point de vue du criminel, sachant que 85 % des attaques sont motivées par l'argent. Entre un effort de développement de 6 mois pour demander une rançon de 50 millions à un gros groupe, et un investissement d'une heure qui pourra rapporter 100 000 francs, le choix est vite fait. Les cybercriminels sont des hommes d'affaires. Leur but est d'être le plus efficaces possible et de gagner le plus d'argent possible avec le minimum de temps investi. Les petites structures étant plus simples à attaquer que les grosses car moins bien protégées, elles sont des cibles de choix. Un ordinateur mal protégé suffit.

Les emails sont souvent diabolisés en termes de cybersécurité, qu'en est-il réellement ?

S. Meyer : L'email reste une des portes d'entrée préférées, c'est un fait établi. C'est un moyen pour n'importe qui dans le monde d'accéder directement à votre ordinateur. Tout le monde l'utilise, il peut contenir des liens, des pièces jointes… C'est pratique donc, simple et peu coûteux. En effet les hackeurs vont toujours chercher à prendre le chemin le plus simple, et s'ils voient que les emails fonctionnent, parfait pour eux. Mais ce n'est pas le seul moyen d'entrer dans un système et s'ils voient que ça ne marche pas, ils chercheront une autre porte. Si ça devient trop compliqué, ils laisseront tomber car l'investissement ne vaudra pas le coup et ils passeront à une prochaine cible, si tant est que l'attaque n'est pas ciblée pour d'autres raisons que monétaire.

Email et ordinateurs sont donc des évidences, qu'en est-il des systèmes industriels connectés ?

S. Meyer : La digitalisation de l'industrie augmente énormément les sources potentielles de problèmes liés à la cybersécurité. Les systèmes industriels connectés ne sont pas des ordinateurs comme on l'entend dans le sens écran-souris-clavier, néanmoins, il y a des ordinateurs dedans. Ils sont connectés au réseau ou à internet, et peuvent communiquer avec certains protocoles. Or ces installations ne sont pas mises en réseau correctement et les gens ne voient pas les risques inhérents. Dans le monde réel, par opposition au digital, les risques sont toujours pris en compte dans l'étude d'un projet ou d'une nouvelle organisation ! Prenons l'exemple d'une entreprise de livraison. Elle décide de faire passer ses livreurs du vélo à la voiture afin d'augmenter ses capacités de livraison. Mais elle fait alors attention à ce que tous les livreurs aient bien le permis de conduire, que les voitures soient assurées, d'avoir un contrat de maintenance avec un garage… l'entreprise évalue les risques et les conséquences liées à ce changement et agit en conséquence pour se protéger. C'est exactement ce qui devrait être fait à chaque nouvelle installation de systèmes industriels connectés. Or ce n'est pas le cas. Les règles de protection sont survolées ou ignorées et les systèmes sont exposés. Les pirates le savent et en profitent, avec des conséquences qui peuvent être parfois dramatiques.

Avez-vous un exemple à nous donner ?

S. Meyer : Nous avons eu à faire à une entreprise qui travaillait avec des métaux précieux. Si pour une quelconque raison leur four avait un incident, l'entreprise ne pouvait plus produire pendant 4 mois. Le piratage de leur four, pour des prétextes qui pouvaient être liées à la concurrence, au crime organisé ou à des activistes, aurait des conséquences catastrophiques sur eux-mêmes et leur clientèle. Alors l'entreprise peut décider d'isoler le système critique d'Internet par exemple, mais une simple synchronisation au système de production de l'entreprise, qui lui se trouve sur un serveur externe, peut suffire à rendre le système critique vulnérable.

Un système peut-il être infecté sans être connecté en réseau ?

S. Meyer : Oui, avec des clés USB par exemple. Les clés USB sont un outil puissant. Il y a eu il y a quelques années une opération dans un pays avec présence militaire américaine. Les soldats avaient obligation d'utiliser à chaque connexion des clés USB neuves. Donc à chaque fois qu'ils en avaient besoin ils devaient aller en acheter. Alors les russes, qui voulaient pénétrer dans le système américain, on fourni à la petite boutique à côté de la base militaire des clés USB piratées et emballées comme des neuves. Quand quelqu'un a envie de rentrer, il trouvera un moyen. Lorsque nous travaillons sur des systèmes critiques, nous avons une machine spéciale qui vérifie les clés USB avant qu'on ne puisse les brancher sur le système. Car rien que le fait de la brancher est suffisant pour infecter un système, sans même ouvrir un quelconque fichier. Pour la RTS nous avions également fait la démonstration de la prise de contrôle d'un ordinateur via un câble de chargeur de téléphone trafiqué, qui d'extérieur ressemblait en tout point à un câble classique, mais qui possédait un ordinateur à l'intérieur.

Vous avez parlé du fait qu'une entreprise peut se faire attaquer dans le but d'en atteindre une autre : comment cela fonctionne-t-il ?

S. Meyer : On parle d'attaque par pivot. Un exemple concret : il y a quelques années, le système de cartes bancaires des supermarchés Target, aux États-Unis, s'est fait pirater. Les hackeurs y sont parvenu en attaquant d'abord le système de la petite entreprise qui gérait la climatisation des magasins. De là, ils ont réussi à pivoter et à rentrer dans l'infrastructure informatique de Target et ont ainsi pu accéder au système de paiement par carte de crédit et a voler tous les numéros des cartes utilisées entre le Black Friday et Noël. La menace peut donc être directe mais aussi venir de ses partenaires, dans quel cas l'attaque viendra du maillon le plus faible. C'est pour ça qu'il est important d'avoir une chaine de confiance. Un certain nombre d'entreprises imposent déjà des diligences requises à leurs partenaires, de telles manières que les sociétés qui souhaitent travailler avec elles doivent avoir un certain niveau de sécurité, sans quoi aucun partenariat n'est possible. Une autre manière de faire consiste à faire de facto confiance à tout le monde, mais de systématiquement contrôler en interne chaque élément entrant. C'est un peu lourd à gérer, mais c'est également une façon de se protéger. Ça ne veut pas dire qu'on va pointer une entreprise du doigt, mais qu'on part du principe qu'elle pourrait peut-être servir de cheval de Troie. Comme quand à l'aéroport on vous demande si quelqu'un aurait pu mettre quelque chose dans notre sac, ou bien si quelqu'un nous a fait un cadeau. Le principe de base est que la personne est honnête, mais que quelqu'un de malveillant aurait pu abuser de sa confiance.

Votre rôle est entre autres d'aider les entreprises à se protéger. Comment détectez-vous les vulnérabilités du système ?

S. Meyer : Nous suivons une procédure très rigoureuse lorsqu'il s'agit de protéger des systèmes industriels. La première étape est l'identification, c'est-à-dire lister tout ce que possède l'entreprise, faire l'inventaire, et comprendre ce qui est critique et les interactions entre les différentes machines. Figurez-vous qu'une grande majorité des entreprises ne savent pas exactement ce qu'elles ont. Une procédure d'identification a permis de découvrir sur un bateau de transport des ordinateurs connectés au réseau, sachant que personne ne savait que ces ordinateurs étaient connectés, et pire encore, à quoi ils servaient. Ils avaient semble-t-il été installés par un prestataire il y a plusieurs années, puis le prestataire avait changé, ensuite le capitaine du bateau avait changé, enfin le bateau avait été racheté par une autre entreprise, et on se retrouvait avec des machines informatiques reliées au moteur de la pompe du bateau, sans que personne ne sache pourquoi ! La seconde étape est la protection : définir les besoins en connexion Internet, les interactions nécessaires, vérifier les vulnérabilités connues.

Comment sont gérées ces vulnérabilités ?

S. Meyer : Un des grands problèmes des systèmes industriels est lié aux mises à jour, qui justement permettraient de résoudre certaines des vulnérabilités connues. Imaginez, vous gérez un hôpital, pour lequel vous avez investi dans un scanner. Tout d'un coup Windows vous prévient que vous devriez faire une mise à jour. Mais Windows ne peut pas vous certifier que la nouvelle version sera compatible avec votre scanner et son application de contrôle. Allez-vous faire la mise à jour et risquer d'avoir un scanner hors de prix que vous ne pouvez plus opérer, ou bien allez-vous décider de laisser la version datée du système, avec ses vulnérabilités connues, mais qui vous permet de continuer à travailler ? On aurait pu prendre le cas d'un centre d'usinage, c'est pareil. C'est ainsi qu'on se retrouve dans des situations où le risque de faire une mise à jour devient plus important que le potentiel risque d'être attaqué. Voilà le grand problème de l'OT, qui lie informatique et mécanique. Il y a même des constructeurs qui disent que la garantie tombe si vous faites les mises à jour, partant du principe qu'ils vous livrent une machine fonctionnelle et ne peuvent pas garantir son bon fonctionnement en cas de changement sur le système informatique. L'industrie est en train de voir comment changer ça, mais ce n'est pas trivial. Nous travaillons actuellement sur un grand projet, pour lequel nous devons refaire de zéro un système OT mis en place il y a une quinzaine d'années. À l'époque, le système avait été installé en suivant les spécifications et était fonctionnel, et l'entreprise avait interdiction de modifier quoi que ce soit, d'autant que c'est une infrastructure critique. Ce n'est simplement pas viable sur le long terme, et c'est pourquoi cette entreprise doit maintenant refaire son système OT de A à Z. L'idéal serait de pouvoir mettre les systèmes à jour, tout en étant capables de vérifier au préalable que la mise à jour n'empêchera pas le bon fonctionnement de ce système ultra personnalisé. Un jumeau virtuel serait une solution, mais le travail inhérent est énorme. Notre rôle est donc de trouver un moyen de mitiger ces risques, en essayant de corriger la vulnérabilité sans faire la mise à jour. On appelle ça du « virtual patching », ce qui revient à faire virtuellement une mise à jour sans réellement la faire. C'est loin d'être trivial comme opération. Et c'est pour cela que de nombreux systèmes industriels sont vulnérables, et c'est comme ça.

Donc même une entreprise qui aura fait tout ce qu'il est possible de faire ne sera pas à 100 % protégée…

S. Meyer : On n'est jamais 100 % protégé. Je sais ce n'est pas rassurant ! Êtes-vous par exemple 100 % protégé contre une entrée par effraction dans votre appartement ? Ce que vous pouvez faire, c'est vous approcher au maximum de ce 100 %. La première question à se poser est la suivante : qui a envie de rentrer chez moi et pourquoi ? Qui est mon potentiel ennemi ? Il est important de commencer par comprendre qui sont ceux qui auraient un intérêt à pirater mon système. Prenons le cas du crime organisé, motivé par l'argent, et une entreprise dont la taille et l'activité, à la vue des rançons demandées à l'heure actuelle, correspondrait à une exigence jusqu'à 5 millions de francs. Cela signifie un investissement en temps du côté des hackeurs de quelques semaines pour essayer de rentrer dans le système informatique. Donc ce qu'il faut, c'est que la sécurité de ce système soit suffisamment complexe pour ne pas pouvoir être piraté dans ce laps de temps. Cependant, si la crainte d'attaque est liée à un gouvernement, chinois, russe ou nord-coréen par exemple, ce n'est plus du tout le même jeu. On parle alors de hackeurs parmi les meilleurs du monde qui s'acharneront à pirater votre système pendant un ou deux ans. Autre menace, autre niveau de sécurité. Comprendre sa menace est absolument essentielle. Une analogie en 3D : si vous voulez mettre une nouvelle porte à votre bureau parce que vous avez des documents importants dedans, vous allez mettre une porte renforcée qu'on ne pourra pas ouvrir avec un pied de biche. Alors évidemment si quelqu'un arrive avec un lance-roquette, votre porte ne tiendra pas, mais la menace semble absurde. Une banque en revanche devra avoir une porte de coffre résistance au lance-roquette. Voilà le raisonnement qu'il faut suivre pour trouver la solution adaptée à sa menace réelle.

Prenons l'exemple d'une PME suisse active dans la sous-traitance horlogère : à quoi devrait-elle faire attention ?

S. Meyer : Elle est une cible classique du crime organisé, mais elle pourrait aussi être la cible de la concurrence. Alors peut-être pas la concurrence nationale, mais celle de pays disons plus offensifs. On pourrait imaginer qu'une marque émergente de montres de luxe chinoise pourrait vouloir du mal aux montres suisses. Pirater une des machines du sous-traitant pour dégrader la qualité des pièces horlogères aurait un impact sur la qualité des montres qui tomberaient alors en panne. La qualité suisse serait remise en question.

Si l'attaque cible une marque en particulier, l'image et la réputation de la marque sera impactée, ce qui pourrait être très bénéfique à la marque chinoise. Au niveau crime organisé, les hackeurs pourraient exiger une rançon en échange des numéros de lots affectés par les pièces de mauvaise qualité. Au-delà de la qualité des montres, on a vu pendant la crise sanitaire que les horlogers ne produisaient plus de montres, simplement parce que l'usine sous-traitante était fermée. Alors l'usine était fermée à cause du COVID-19, mais la cause pourrait être le piratage, et l'effet serait le même. La dépendance de la chaîne de production entraine un effet domino assez rapide si l'un des maillons se fait attaquer. On en revient au fait qu'attaquer les PME est très intéressant pour les hackeurs, parce qu'elles sont souvent mal protégées et l'impact de l'attaque peut être énorme.

Alors admettons qu'une entreprise se soit fait voler les plans d'un nouveau développement. Elle paye pour que ces documents ne soient pas divulgués. Comment peut-elle s'assurer que ça en reste vraiment là ?

S. Meyer : Elle ne le peut pas. Globalement, les criminels n'ont que leur réputation. Nous disposons de statistiques et nous pouvons estimer dans le cadre d'une intervention post-attaque la probabilité que tel groupe de hackeurs libère les données après paiement de la rançon et que tel groupe aura plutôt tendance à ne pas le faire, avec quel groupe il est possible de négocier et avec quel groupe il ne faut pas discuter. De manière générale, les hackeurs ont tout intérêt à jouer le jeu, car s'ils ne le font pas, les gens vont arrêter de payer, et si les gens arrêtent de payer, eux n'ont plus de boulot. Néanmoins nous suspectons fortement que les données volées, si elles ne sont pas divulguées publiquement car la rançon a été payée, ne sont pas effacées pour autant. Ce ne sont à l'heure actuelle que des suspicions, mais n'oublions pas que ce sont des criminels. Nous ne pouvons pas exclure qu'ils essayent de monétiser leur coup au maximum, en revendant les documents en privé à quelqu'un que ça pourrait intéresser.

Quand une entreprise se fait pirater, sait-elle toujours par qui ?

S. Meyer : Non, pas toujours. Dans le cadre des investigations post-hacks, nous faisons le nettoyage, la protection, le blocage de la porte d'entrée, la remise en fonction. Ce faisant nous essayons de déterminer qui est la personne qui a attaqué, ce qui nous permet d'aider les forces de l'ordre dans leur travail car il est important dans ces cas de les impliquer, et nous donne des informations sur la meilleure manière de réagir. Admettons que nous découvrions que le groupe de hackeurs impliqués soit spécialisé dans la revente de propriété intellectuelle, nous irons chercher plus loin que le simple fait qu'il demande une rançon. Nous avons aussi été confronté à un cas où les gens qui se sont fait pirater étaient de confession juive, et nous avons découvert que la probabilité était grande que les hackeurs soient iraniens. Or les pirates iraniens utilisent une partie de leur argent pour financer le Hezbollah, en guerre contre Israël. Ces personnes ont alors décidé, en toute connaissance de cause, de ne pas payer la rançon.

Comment trouvez-vous la porte d'entrée d'une attaque ?

S. Meyer : C'est un point central de nos investigations. Dans la littérature spécialisée, nous avons pu lire des cas de piratage dans lesquels les gens avaient payé la rançon sans prendre de mesures correctives par la suite, et se sont fait de nouveau pirater peu de temps après. Et oui, si une porte est ouverte et que quelqu'un l'a trouvée, alors les chances sont grandes que quelqu'un d'autre la trouve aussi ou que la même personne y revienne ! Il est donc indispensable de trouver cette porte, de la fermer et de vérifier qu'aucune autre porte n'a été créée dans le système car au final c'est l'infrastructure complète qui a été corrompue. Et qu'on paye la rançon ou pas, ce qui est sûr c'est qu'on n'a pas envie que le hackeur garde une main sur notre système.

Côté IdO, quels en sont les dangers pour les entreprises ?

S. Meyer : Les employés peuvent devenir sans le savoir des portes d'entrées par le simple biais de leur smartphone. Un hackeur qui aurait piraté votre téléphone peut très bien activer le micro sans que vous vous en rendiez compte et écouter ce que vous ou les personnes près de vous sont en train de dire. Peut-être êtes-vous en train de donner un code ou de dévoiler un secret. Ou bien vous branchez ce même téléphone sur votre ordinateur pour le recharger, ce qui permet au hackeur d'accéder à votre ordinateur et donc au réseau de l'entreprise en utilisant le téléphone comme pivot. Et puis peut-être utilisez-vous votre téléphone pour travailler, en ayant accès à vos mails professionnels. Le hackeur peut alors envoyer un mail en votre nom avec des instructions de paiement ou bien d'ordre de donner un badge d'accès à une salle sécurisée à telle ou telle personne. Et puis parfois, la menace ne vient pas des employés. Vous connaissez certainement ces applications d'enregistrement de ses parcours de course à pied via les montres ou bracelets connectés. Et bien le partage automatique des cartes des personnes courant dans une région a permis de découvrir la position de bases militaires américaines secrètes dans le désert, car il est apparu que les gens tournaient en rond dans une zone où en théorie il n'y avait rien. On ne se rend donc pas compte au quotidien de l'impact de ces objets connectés et des données que l'on partage. Mais il n'y a pas que les téléphones. Prenons les sonnettes connectées d'Amazon : il y a eu une perturbation dans le data center d'Amazon, et chez eux, les gens appuyaient sur leur sonnette mais elles ne sonnaient plus, car les données transitaient par ce data center. Quand les gens ou les petites entreprises achètent ce genre de technologie, il faut bien qu'ils comprennent les implications que ça a et les éventuels problèmes de vulnérabilité. Comment le système fonctionne-t-il ? Qu'y a-t-il dedans ? Par où transitent les données ? Où sont-elles stockées ? Et la différence entre la sonnette fabriquée en Chine vendue 20 francs, et la sonnette à 200 francs fabriquée en occident par une marque réputée peut alors s'avérer avoir bien plus d'implications qu'on ne le pense.

Quel a été l'impact du télétravail sur les cyberattaques ?

S. Meyer : Le danger que je vois est celui du manque de contact humain et de communication directe, qui parfois peut permettre d'éviter une attaque. Lorsqu'on est au bureau et qu'on a besoin de demander à un collègue de payer une facture, on va probablement le lui dire de vive voix. La personne trouvera ça plutôt étrange si on le lui demande par email alors qu'on est assis à quelques mètres l'un de l'autre. Mais chacun chez soi, on va être moins suspicieux et on va avoir tendance à moins remettre en cause cet email, vecteur d'une potentiellle attaque.

Qu'en est-il des outils de vidéoconférences, qui se sont particulièrement développés ces derniers mois ?

S. Meyer : Le problème était plus lié à la manière d'utiliser ces outils qu'aux outils eux-mêmes. Faire attention par exemple à ne rien avoir de confidentiel accroché derrière soi. Tilter sa caméra pour ne montrer que son visage et un fond neutre, ou bien changer son fond. Il a aussi fallu s'assurer que les salles de conférences soient sécurisées, afin que personne d'extérieur ne puisse se connecter et écouter des conversations potentiellement confidentielles. De manière générale, il est important que l'employeur définisse les outils autorisés, que ce soit Whatsapp, Teams, Zoom, peu importe.

Nous n'entendons que peu parler de cyberattaques en Suisse, alors qu'il ne semble pas que le pays soit épargné. Pourquoi ?

S. Meyer : Les entreprises victimes de cyberattaques n'en parlent pas. Nous avons des accords de confidentialités avec les entreprises qui nous mandatent, car elles ne veulent pas que ça se sache. C'est un sujet tabou. Les entreprises ont honte et pensent que ça va leur faire de la mauvaise publicité. Cependant on se heurte au problème que si personne n'en parle, on donne alors plus de moyens aux criminels, car la prise de conscience collective ne se fait pas, ou plus difficilement. Il serait important que les victimes témoignent, racontent leur expérience. Parfois nous créons des rapports anonymisés, afin de permettre aux entreprises d'apprendre de ce que d'autres ont vécu. Ce partage d'expérience est important pour avoir une industrie plus sûre.

Y a-t-il encore des gens à convaincre de l'importance de la cybersécurité ?

S. Meyer : Malheureusement oui. Nous avons eu à faire à une entreprise qui s'est fait voler il y a quelques années plus d'un million et demi de francs. À la fin de l'investigation nous avons proposé de sécuriser leur système, mais ils ont refusé en nous disant qu'ils avaient compris le problème. Or ils sont revenus récemment vers nous à la suite d'une seconde attaque dans laquelle ils ont à nouveau perdu plusieurs dizaines de milliers de francs. Nous avons proposé nos services une nouvelle fois, même réponse de leur part. Certaines personnes sont sceptiques ou n'apprennent pas et ne se rendent absolument pas compte des répercussions sur leur propre entreprise et sur les autres. C'est propre à l'être humain. Je vous donne une métaphore dans le monde réel : une personne de moins de 50 ans survit à une crise cardiaque. Son médecin lui dit de faire trois choses : arrêter de fumer, manger sainement et faire du sport. Et bien le pourcentage de gens qui font encore ces trois choses après un an est inférieur à 4 %, alors qu'on parle ici de vie et de mort ! Alors soit avec la cybersécurité, il n'y a pas de retour sur investissement. Mais avec les caméras de vidéosurveillance, les patrouilles de nuits et les assurances classiques non plus ! Sauf que comprenez bien que les voleurs ne viennent plus avec une échelle et une lampe de poche. Regardez dans les films : dans l'équipe, il y a toujours une personne avec un ordinateur. En Suisse récemment, il y a eu une fausse alarme de feu dans un data center. Du gaz pour éteindre le feu supposé a été propulsé un peu trop fort, a abimé les serveurs, créant des pannes. J'ai peut-être tendance à voir le mal partout, mais je pense tout de suite fausse alarme – perturbation ou piratage d'un data center – piratage du système de contrôle ou de surveillance d'une autre entreprise. Analogie dans le monde 3D encore un fois : imaginez une entreprise qui décide de ne pas prendre l'assurance incendie, et son bâtiment brûle… Elle peut mettre la clé sous la porte. C'est le même principe avec la cybersécurité. Tout le monde n'a certes pas besoin du même niveau de sécurité, tout comme tout le monde n'a pas besoin du même niveau d'assurance. Mais c'est une dépense nécessaire et parfois même, dans certains secteurs, obligatoire.

Existe-il une base légale en matière de cybersécurité ?

S. Meyer : La cybersécurité est déjà réglementée dans le secteur bancaire par exemple, et dans certaines infrastructures critiques telles que la distribution d'énergie. Est-ce que cette réglementation est suffisante, c'est une question de point de vue. Néanmoins la majorité des domaines de l'industrie n'ont absolument aucune référence en cybersécurité ! Récemment j'ai fait des travaux électriques chez moi et je me suis fait taper sur les doigts parce que je ne suis pas électricien certifié. Soit. Mais est-ce que mon installation informatique doit être faite par un informaticien certifié ? Non. Alors là on parle de chez moi, mais c'est pareil dans l'industrie. Le risque qu'une entreprise, qu'une chaîne de production ou de distribution s'écroule suit à un piratage est bien présent.

Que pensez-vous de l'établissement d'une base légale en matière de cybersécurité pour l'industrie ?

S. Meyer : Le problème des normes et des bases légales, c'est que soit elles sont très vagues, simplement parce que l'état des lieux est très changeant et est propre à chaque cas, en quel cas elles ne serviraient à rien, soit elles sont extrêmement spécifiques, et donc totalement déconnectées de la réalité, car les besoins d'aujourd'hui sont différents de ceux d'hier et de ceux de demain. La mise en application concrète de normes se heurterait également à des situations de partenariats et d'interactions tellement complexes qu'elles seraient quasiment impossible à mettre en place. Je pense donc qu'une base légale qui impose n'est pas la solution. En revanche, le fait qu'un grand groupe, horloger suisse par exemple, somme ses partenaires de se conformer aux règles définies en matière de cybersécurité comme étant nécessaires pour se protéger des menaces qui s'appliquent à son industrie et à sa situation, pourrait fonctionner. Ces règles seraient alors évolutives afin de s'adapter aux risques réels. Je pense que c'est le collectif industriel qui va finir par s'auto-réglementer, car il y verra les avantages en termes de résilience aux cyberattaques et vis-à-vis de sa réputation et de celle de ses produits.

MSM

(ID:47496165)

À propos de l'auteur

 Marina Hofstetter

Marina Hofstetter

Rédactrice, Vogel Communications Group AG