« La cy­ber­sé­cu­rité, c’est l’af­faire des chefs »

L’automne dernier, des pirates ont réussi à accéder à la banque de données de la plus importante assurancemaladie australienne, Medibank. Lors de l’attaque, des informations sensibles concernant des millions de clients ont été volées. Comme Medibank a refusé de payer la rançon demandée, les malfaiteurs ont commencé à publier certaines informations sensibles sur le Darknet. À la suite de cette attaque, le cours de la bourse s’est effondré et les transactions ont dû y être suspendues pendant plusieurs jours. « Les hauts dirigeants et le Conseil d’administration ont eu du mal à expliquer qu’ils n’étaient tout simplement pas préparés à une telle situation », déclare Gabor Jaimes, chargé des assurances de choses, de la cyberassurance et des dommages naturels au sein de l’ASA. Des attaques comme celle-ci ne se produisent toutefois pas uniquement de l’autre côté du globe : en novembre 2022, le fournisseur de logiciels suisse Winbiz a par exemple lui aussi été victime d’une cyberattaque. Par la suite, quelque 50 000 (!) de ses clients ont été privés d’hébergement en nuage ou encore de logiciels de facturation, de comptabilité et de gestion salariale.  

« Celui qui surfe encore aujourd’hui sans sauvegarde de données, sans pare-feu et sans mots de passe forts fait preuve de négligence. » 

Gabor Jaimes

La liste pourrait encore s’allonger, car il ne se passe guère de jour sans qu’une cyberattaque de grande ampleur ne fasse la une des journaux quelque part dans le monde. « Des cas comme Winbiz ou Medibank devraient être un signal d’alarme pour toutes les entreprises suisses », souligne Gabor Jaimes. Pour lui, c’est clair : « Chaque entreprise est une future victime potentielle d’une attaque. » Il est d’autant plus étonnant, poursuit-il, qu’en matière de prévention et de normes de sécurité, nombre d’entreprises aient encore un énorme retard à rattraper. Gabor Jaimes tire un parallèle avec la circulation routière : « Autrefois, les gens roulaient sans ceinture ni airbag ; depuis, nous avons appris à mieux nous protéger. » Il en va de même dans le cyberespace : « Même si cela est contraignant : celui qui surfe encore aujourd’hui sans sauvegarde de données, sans pare-feu et sans mots de passe forts fait preuve de négligence ».

Or, en Suisse aussi, la problématique de la cybersécurité est passée au centre de l’attention ces dernières années. C’est en tout cas ce que souligne Florian Schütz, directeur du Centre national pour la cybersécurité NCSC. Cette attention redoublée est pour lui bon signe : « Du fait de la prise de conscience croissante et de l’intensification de la couverture médiatique, nombre d’entreprises victimes d’une cyberattaque hésitent moins aujourd’hui à le faire savoir au public ». Pour d’autres, cependant, cela reste tabou. « Les choses devraient évoluer », souligne le directeur du NCSC. En effet, plus les attaques sont documentées en toute transparence et plus les méthodes des pirates sont précisées, plus il est possible d’avertir d’autres victimes potentielles. « Une plus grande transparence pourrait s’avérer fort utile dans ce domaine », estime Florian Schütz.

Le Centre national pour la cybersécurité NCSC reçoit actuellement 700 signalements environ par semaine, ce qui est beaucoup, estime Florian Schütz. De nos jours, les tentatives d’escroquerie et les attaques de rançongiciel sont particulièrement fréquentes. Les courriels de menaces soi-disant adressés par les autorités de poursuite pénale – appelés fake-extorsion e-mails – représentent environ un tiers des signalements reçus par le NCSC. « La motivation de la plupart des cybercriminels est et restera probablement de réaliser le maximum de profit avec le minimum d’efforts possible », constate Florian Schütz. « C’est pourquoi les attaques ne visent pas une institution, une entreprise, des personnes ou un secteur particulier. Les malfaiteurs cherchent plutôt des failles qu’ils peuvent exploiter à leurs fins. » 

« La prise de mesures de protection appropriées permet d’éviter de nombreuses cyberattaques. »

Florian Schütz

Selon le délégué fédéral à la cybersécurité, les assurances ont également un rôle important à jouer en matière de cybersécurité. « Une assurance est toujours utile », affirme Florian Schütz. Toutefois, « elle ne vous protège pas des dommages de réputation. » En matière de cybersécurité, la question centrale ne devrait donc pas être de savoir comment une entreprise peut s’assurer au mieux contre les cyberattaques, mais comment elle peut s’en protéger le plus possible. « Les assurances sont à même d’aider les entreprises à identifier les risques auxquels celles-ci sont exposées et de veiller à ce que ces dernières appliquent les mesures de protection de base. » Pour Florian Schütz, les assurances ont aussi un rôle à jouer en matière de prévention : « La prise de mesures de protection appropriées permet d’éviter de nombreuses cyberattaques. »

Florian Schütz souhaite qu’à l’avenir, les directions des entreprises comptent davantage de personnes connaissant cette matière. « Il faut absolument que les hauts dirigeants aient parmi eux des spécialistes de l’informatique. » La Suisse dispose de suffisamment de talents – « or, nous les voyons encore très peu à des postes de direction ». Au sein des entreprises, il est essentiel que les dirigeants aient conscience des cybermenaces, qu’ils prennent les mesures d’ordres organisationnel et technique qui s’imposent en la matière et allouent les moyens correspondants. « La cybersécurité, c’est l’affaire des chefs ! » 

Tel est également l’avis de Maya Bundt, membre du conseil d’administration de la Baloise. Cette titulaire d’un doctorat en sciences de l’environnement s’intéresse depuis plusieurs années déjà aux cyberrisques mais aussi aux solutions d’assurance dans ce domaine. Elle estime d’ailleurs que les directions opérationnelles ne devraient pas être les seules à se pencher sur le sujet. « La problématique des cyberrisques doit également figurer à l’ordre du jour des conseils d’administration. » Pour Maya Bundt, il est clair que : « De nos jours, les entreprises devraient absolument définir aussi une stratégie sur la manière dont elles entendent accroître leur cyber-résilience à long terme ». Car, cette problématique restera à n’en pas douter brûlante d’actualité à l’avenir, estime-t-elle.