DE | FR
Les sites des collectivités publiques sont particulièrement ciblés par les pirates informatiques.
Les sites des collectivités publiques sont particulièrement ciblés par les pirates informatiques.Image: shutterstock/cyber-safe.ch
Interview

Cybersécurité: «En ligne, les vulnérabilités sont presque inévitables»

Des pirates informatiques ont pu accéder aux données de centaines de milliers d'entreprises suisses ayant contracté des prêts Covid. Pour améliorer sa protection, la Confédération devrait s'allier à des hackers bienveillants, selon un expert de la cybersécurité.
01.11.2021, 18:5202.11.2021, 11:32

Titulaire d’un master de l’EPFL en informatique, Nicolas Frey a obtenu un post-grade en gestion du risque. Il s’est ensuite spécialisé en cybersécurité, à travers notamment une certification CEH («Certified Ethical Hacker») et une formation à l’audit ISO 27001 (Lead Auditor). Il participe à des compétitions de hacking, avec notamment la première place au Hacky Easter 2016 et 2017. Nicolas Frey est aussi co-fondateur de Seculting SA, dont la mission est de répondre aux besoins en cybersécurité des PME et des organismes publics de Suisse romande.

La semaine passée, le Secrétariat à l'économie a révélé que les données de quelque 130 000 entreprises ayant demandé un prêt Covid en 2020 ont été piratées. Que risquent-elles?
Nicolas Frey:
Pour information, dans le cadre de la labellisation d'organisations de petite et moyenne taille, notre entreprise Cyber Safe a envoyé plus de 18 000 courriels de phishing pour évaluer le niveau de sensibilité des candidats. Nous avons ainsi pu constater que les courriels utilisant des informations comme le nom, le prénom ou le nom de l'entreprise des destinataires obtiennent deux fois plus de clics. Il est ainsi facile d'imaginer qu'une campagne de phishing ciblant spécifiquement les entreprises ayant obtenu un prêt Covid puisse provoquer des dégâts en utilisant une information sensible.

Le Seco révèle des attaques en août avec un pic de requêtes jusqu'à 544 000 en un jour. Avec une telle fréquence, les warnings ne devraient-ils pas se déclencher?
On est toujours plus intelligent après... Cet adage s'applique aussi dans ce cas. Il est extrêmement difficile de différencier une requête légitime d'une requête malveillante. Lorsque j'effectue moi-même des tests d'intrusions sur certains systèmes, je maquille mes essais. Ils sont alors d'apparence légitime. Ainsi, le gestionnaire du service n'a que deux choix: arrêter le service concerné (ce qui aura un impact sur l'utilisateur) ou le renforcer (ce qui prend du temps). Dans ce cas précis, si on peut noter une vulnérabilité dans le système proposé en ligne (la possibilité de faire la différence entre une entreprise ayant obtenu un prêt covid, d'une autre), je relève aussi la responsabilité assumée du Seco, qui a communiqué de manière rapide et transparente, limitant ainsi sensiblement les impacts de la fuite.

Peut-on parler de sécurité défaillante?
Les erreurs sont fréquentes dans l'informatique. Nous pouvons observer que même les entreprises les plus matures subissent des fuites de données. D'un côté, les vulnérabilités sont presque inévitables lorsqu'un service est fourni en ligne, de l'autre côté des assaillants redoublent d'efforts et de perversité pour attaquer notre démocratie. De manière générale, je raisonne en termes de risques/bénéfices. Je crois que dans le cas présent, le risque de mettre rapidement en ligne un outil pour aider les entreprises en difficulté dans un contexte de pandémie était justifié.

Rolle, Montreux, EasyGov... Quelle est la parade efficace contre ces hackings de structures publiques, qui se multiplient ces derniers temps?
Dans le cas des communes, nous constatons une vigoureuse prise de conscience. Il y a quelques années, il manquait un référentiel neutre sur lequel se baser pour identifier les mesures à prendre. C'est en partant de ce constat que nous avons élaboré notre label, qui pose des exigences neutres et indépendantes, qui sont publiquement accessibles à tous en licence «creative commons». De plus, lorsqu'une organisation décide d'entreprendre une démarche de labellisation, un de nos auditeurs l'accompagne pour mieux identifier les faiblesses existantes. Toute la démarche est indépendante des produits et services utilisés et nous travaillons main dans main avec les prestataires existants.

Mais comment faire pour une efficacité accrue?
Nous avons pu constater que le mécanisme le plus efficace pour que les démarches de sécurisation fonctionnent dans une organisation est de désigner une personne responsable de la cybersécurité au niveau de la direction ou des dicastères. Ainsi les décisions concernant la cybersécurité sont prises au même niveau que celles concernant le budget ou les risques opérationnels.

Et si la Suisse formait une alliance avec les hackers éthiques?
Cette pratique est déjà utilisée par certaines entreprises. L'utilisation de services de hackers éthiques, souvent dans le cadre de «bug bounties», permet d'avoir une multitude de compétences à disposition en un temps record. Ils ne sont rémunérés que lorsqu'ils découvrent des vulnérabilités dans le système qui leur est soumis. Ce qui offre une certaine garantie à l'organisation qui soumet son système. Je pense que tous les services proposés par les organisations publiques devraient automatiquement faire partie d'un tel programme, afin de garantir une certaine sécurité.

Lorsque ce n'est pas le cas, un hacker éthique ne pourrait pas légalement tester une telle application car il pourrait faire l'objet de poursuites pénales, pendant que les vulnérabilités restent accessibles à des pirates cachés derrière d'autres juridictions ou par des stratagèmes techniques. Dans le cadre du programme Tech4Trust de la Trustvalley de l'année passée, nous avons vu Yeswehack et Bug Bounty, deux sociétés qui gèrent ce type de programme présenter leurs activités. Ce qui est encourageant.

Stratégie nationale de protection de la Suisse
Pas de panique à bord! «La Suisse est fondamentalement bien protégée contre les cyberattaques.» C'est l'avis du Centre national pour la cybersécurité (NCSC). Cette structure a mis en place un guichet unique chargé de centraliser les «cyberincidents» ou l'expansion de la gestion des vulnérabilités. Le NCSC relativise les faits de piratage dont a été victime EasyGov. «La protection de base n'a pas été mise en œuvre de manière cohérente», relève le NCSC sans en dire davantage. «Des normes minimales pour la sécurité informatique ont été introduites en coopération avec des associations industrielles des secteurs concernés. Des labels pour les communes suisses et les partenaires informatiques ont également été lancés en collaboration avec des représentants des milieux économiques», annonce le NCSC.
Les malfaiteurs ne désarment pas
Des SMS annonçant de pseudo-messages vocaux qui renferment un logiciel malveillant, des pourriels qui incitent à investir dans les bitcoins. Ou encore un faux jeu-concours au nom de Coop faisant miroiter une carte-cadeau d'une valeur de 1000 francs, mais qui débouche sur un abonnement au tarif hebdmadaire de 10 francs... Les malfaiteurs ne manquent pas d'ingéniosité pour ferrer des victimes. L'attitude la plus prudente est d'ignorer les messages d'inconnus avec des liens à télécharger ou à transférer. Le site de prévention https://www.skppsc.ch/fr/sujets/internet/piratage-logicielsmalveillants/

Alors lui, c’est un pas un voleur très malin…

Plus d'articles sur les dernières cyberattaques

Une nouvelle commune vaudoise a été victime de cyberattaque

Link zum Artikel

Rolle a été piratée: des gigaoctets de données disponibles sur le darknet

Link zum Artikel

Le site suisse Comparis à son tour victime d'une cyberattaque

Link zum Artikel

Vous vous êtes fait pirater vos données? Voici comment vous en sortir

Link zum Artikel
Entre Smood et ses livreurs, la guerre est (toujours) ouverte
Aucun accord n'a été trouvé entre l'entreprise Smood et ses livreurs. La recherche d'une conciliation entre la plateforme de livraison et ses employés, entamée mardi à Genève, a été un échec.

Le fossé séparant la direction du site de livraison de repas et ses livreurs n'a pas pu être comblé.

L’article