Thèmes du moment
Titulaire d’un master de l’EPFL en informatique, Nicolas Frey a obtenu un post-grade en gestion du risque. Il s’est ensuite spécialisé en cybersécurité, à travers notamment une certification CEH («Certified Ethical Hacker») et une formation à l’audit ISO 27001 (Lead Auditor). Il participe à des compétitions de hacking, avec notamment la première place au Hacky Easter 2016 et 2017. Nicolas Frey est aussi co-fondateur de Seculting SA, dont la mission est de répondre aux besoins en cybersécurité des PME et des organismes publics de Suisse romande.
La semaine passée, le Secrétariat à l'économie a révélé que les données de quelque 130 000 entreprises ayant demandé un prêt Covid en 2020 ont été piratées. Que risquent-elles?
Nicolas Frey: Pour information, dans le cadre de la labellisation d'organisations de petite et moyenne taille, notre entreprise Cyber Safe a envoyé plus de 18 000 courriels de phishing pour évaluer le niveau de sensibilité des candidats. Nous avons ainsi pu constater que les courriels utilisant des informations comme le nom, le prénom ou le nom de l'entreprise des destinataires obtiennent deux fois plus de clics. Il est ainsi facile d'imaginer qu'une campagne de phishing ciblant spécifiquement les entreprises ayant obtenu un prêt Covid puisse provoquer des dégâts en utilisant une information sensible.
Le Seco révèle des attaques en août avec un pic de requêtes jusqu'à 544 000 en un jour. Avec une telle fréquence, les warnings ne devraient-ils pas se déclencher?
On est toujours plus intelligent après... Cet adage s'applique aussi dans ce cas. Il est extrêmement difficile de différencier une requête légitime d'une requête malveillante. Lorsque j'effectue moi-même des tests d'intrusions sur certains systèmes, je maquille mes essais. Ils sont alors d'apparence légitime. Ainsi, le gestionnaire du service n'a que deux choix: arrêter le service concerné (ce qui aura un impact sur l'utilisateur) ou le renforcer (ce qui prend du temps). Dans ce cas précis, si on peut noter une vulnérabilité dans le système proposé en ligne (la possibilité de faire la différence entre une entreprise ayant obtenu un prêt covid, d'une autre), je relève aussi la responsabilité assumée du Seco, qui a communiqué de manière rapide et transparente, limitant ainsi sensiblement les impacts de la fuite.
Peut-on parler de sécurité défaillante?
Les erreurs sont fréquentes dans l'informatique. Nous pouvons observer que même les entreprises les plus matures subissent des fuites de données. D'un côté, les vulnérabilités sont presque inévitables lorsqu'un service est fourni en ligne, de l'autre côté des assaillants redoublent d'efforts et de perversité pour attaquer notre démocratie. De manière générale, je raisonne en termes de risques/bénéfices. Je crois que dans le cas présent, le risque de mettre rapidement en ligne un outil pour aider les entreprises en difficulté dans un contexte de pandémie était justifié.
Rolle, Montreux, EasyGov... Quelle est la parade efficace contre ces hackings de structures publiques, qui se multiplient ces derniers temps?
Dans le cas des communes, nous constatons une vigoureuse prise de conscience. Il y a quelques années, il manquait un référentiel neutre sur lequel se baser pour identifier les mesures à prendre. C'est en partant de ce constat que nous avons élaboré notre label, qui pose des exigences neutres et indépendantes, qui sont publiquement accessibles à tous en licence «creative commons». De plus, lorsqu'une organisation décide d'entreprendre une démarche de labellisation, un de nos auditeurs l'accompagne pour mieux identifier les faiblesses existantes. Toute la démarche est indépendante des produits et services utilisés et nous travaillons main dans main avec les prestataires existants.
Mais comment faire pour une efficacité accrue?
Nous avons pu constater que le mécanisme le plus efficace pour que les démarches de sécurisation fonctionnent dans une organisation est de désigner une personne responsable de la cybersécurité au niveau de la direction ou des dicastères. Ainsi les décisions concernant la cybersécurité sont prises au même niveau que celles concernant le budget ou les risques opérationnels.
Et si la Suisse formait une alliance avec les hackers éthiques?
Cette pratique est déjà utilisée par certaines entreprises. L'utilisation de services de hackers éthiques, souvent dans le cadre de «bug bounties», permet d'avoir une multitude de compétences à disposition en un temps record. Ils ne sont rémunérés que lorsqu'ils découvrent des vulnérabilités dans le système qui leur est soumis. Ce qui offre une certaine garantie à l'organisation qui soumet son système. Je pense que tous les services proposés par les organisations publiques devraient automatiquement faire partie d'un tel programme, afin de garantir une certaine sécurité.
Lorsque ce n'est pas le cas, un hacker éthique ne pourrait pas légalement tester une telle application car il pourrait faire l'objet de poursuites pénales, pendant que les vulnérabilités restent accessibles à des pirates cachés derrière d'autres juridictions ou par des stratagèmes techniques. Dans le cadre du programme Tech4Trust de la Trustvalley de l'année passée, nous avons vu Yeswehack et Bug Bounty, deux sociétés qui gèrent ce type de programme présenter leurs activités. Ce qui est encourageant.
