#Cybercrime
De bonnes défenses pour éloigner les cybercriminels ne suffisent plus. Il faut aussi se préparer à survivre à une attaque.
En quinze ans à la tête de l'entreprise Parkgest, Thierry d'Autheville a déjà vécu quatre attaques informatiques. «Je ne me demande plus si nous allons encore être ciblés, mais quand», remarque-t-il. Plus aucune entreprise n'est à l'abri, quels que soient sa taille et son secteur d'activité, comme l'a montré le forum de l'économie numérique qui s'est tenu le 12 décembre à la FER Genève. Les efforts des grandes entreprises pour se protéger incitent les criminels à se tourner vers les plus petites. Les méthodes des hackers se sont améliorées. «On assiste à une industrialisation de la cybercriminalité», constate Patrick Ghion, chef de la cyberstratégie de la Police cantonale de Genève.
L'intelligence artificielle offre de nouvelles possibilités. On peut identifier très facilement les vulnérabilités d'un système ou produire des imitations convaincantes de la voix ou de l'image d'une personne.
Réalisme
Ce contexte oblige à adopter une stratégie réaliste. Eriger de bonnes défenses ne suffit plus. «Si des criminels vous ciblent, il y a de fortes chances qu'ils parviennent à leurs fins», note Cédric Nabe, partner et spécialiste de la cybersécurité chez Deloitte. Il faut donc se préparer à se tirer d'une attaque avec le moins de dommage possible et à pouvoir continuer à assurer les fonctions essentielles, même si les serveurs sont paralysés. C'est ce qu'on appelle la cyberrésilience.
Celle-ci s'incarne dans un plan de continuité des activités, qui peut être utile aussi bien en cas de cyberattaque que de panne ou d'événement extraordinaire, comme la pandémie de covid. Comment l'élaborer? La démarche se divise en plusieurs étapes. a
Déterminer ce qui est vraiment essentiel Parmi toutes les activités exercées par une organisation, lesquelles sont-elles véritablement essentielles à sa survie à court terme? La prise de commandes des clients? La capacité à verser les salaires? A encaisser des paiements? Des ateliers peuvent être organisés pour les déterminer. «Il faut s’en tenir à ce qui est réellement essentiel», conseille Anastasija Collen, professeure associée à la Haute école de gestion de Genève. «Je recommande de s'en tenir à trois à cinq activités.» Une fois ce strict minimum défini, déterminez combien de temps vous pouvez tenir sans pouvoir les exercer (c'est ce que les spécialistes appellent l’objectif de délai de restauration). Deux heures? Une journée? Plus longtemps? Cela donnera une indication sur les mesures à adopter.
Déterminer comment continuer à assurer l'essentiel Demandez-vous ensuite comment continuer à exercer ces activités essentielles même si vos serveurs sont indisponibles. Grâce à une sauvegarde conservée hors ligne? Des formulaires papier? Un tableau Excel sur un ordinateur indépendant de votre système? Des sauvegardes peuvent être effectuées sur des supports qui ne peuvent pas être altérés. «Des solutions de ce type sont accessibles aux PME, mais elles ont un coût», prévient Cédric Nabe. Il faut donc déterminer le juste milieu entre le besoin de protection et les impératifs financiers.
Parkgest fonctionne avec trois réseaux informatiques séparés, pour l'administration, les opérations et l'affichage des écrans de publicité ou d'information aux usagers des parkings. La chute de l'un n'empêche pas les autres de continuer à fonctionner.
Penser aux dépendances cachées Un élément est à garder en tête: les relations des différents éléments de votre système, qui ne sautent pas toujours aux yeux. Une seule personne a accès à un service clé et elle est injoignable ce jour-là? La solution informatique de rechange repose sur le réseau wifi, qui est hors service? Ou du cloud, qui est inaccessible? «Soyez très attentifs à ces dépendances cachées», conseille Anastasija Collen.
Savoir qui fait quoi Si, le jour J, les responsabilités ne sont pas clairement attribuées, vous risquez de perdre un temps précieux à déterminer qui fait quoi. Un peu comme une équipe de football qui entrerait sur le terrain sans avoir déterminé qui jouera en défense, au milieu de terrain et en attaque. Or, ce jour-là est l'un de ceux où vous aurez le moins de temps à perdre. «Pendant les cinq jours de blocage, nous n'avons pas beaucoup dormi», témoigne Thomas Terrier, responsable infrastructure et sécurité informatique des Laiteries réunies. L'entreprise a été victime d'une attaque en 2022, qui lui a coûté au moins 1,5 million de francs. Il est donc primordial de déterminer à l'avance qui fait quoi en cas de pépin et qui doit trancher en cas de désaccord. Il est aussi vivement recommandé de choisir à l'avance les prestataires externes à qui l'on peut et doit s'adresser en cas d'attaque: société de sécurité informatique, avocat, police, etc. Les clients et partenaires doivent également être prévenus – déterminez comment à l'avance.
Tester, actualiser La plus belle des stratégies peut s'avérer inadaptée à l'épreuve de la réalité. Testez régulièrement votre organisation et vos mesures – on conseille de le faire une fois par année. On peut en tirer des enseignements qui permettront d'améliorer sa préparation.
«La menace évolue en permanence», constate Thierry d'Autheville. «Notre préparation doit le faire également.»
Vous vous sentez perdu? C'est normal. Tout le monde ne peut pas être expert en sécurité informatique. C'est la raison pour laquelle la FER Genève met à la disposition de ses membres un service1 pour les aider à appréhender ces questions, en partenariat avec le label Cyber Safe. Elle propose notamment un questionnaire gratuit permettant de mesurer son degré de cybermaturité et de recevoir des conseils personnalisés. «On peut le remplir en vingt minutes», assure Pascal Rochat, responsable conseil cybersécurité de la FER Genève. «Et si vous êtes attaqués, nous pouvons vous mettre en relation avec des spécialistes dans des délais très courts.»
Une charte pour l'IA en entreprise
L'utilisation de l'intelligence artificielle (IA) présente aux entreprises à la fois une occasion de gagner en efficacité qu'un risque, par exemple pour la protection des données. C'est pour les aider à en tirer le meilleur que le canton a publié un modèle de charte Intelligence artificielle. Il a été élaboré en collaboration avec plusieurs partenaires, dont la FER Genève.
Le modèle de charte passe en revue des questions telles que les précautions d'utilisation, la responsabilité, le cadre légal ou l'impact environnemental. Il liste aussi les questions de base à se poser avant d'intégrer l'IA dans ses processus et liste des bonnes pratiques. Chaque entreprise peut l'adapter à ses besoins et ses spécificités.
Il est accessible gratuitement en ligne (taper Modèle de charte intelligence artificielle à destination des entreprises Genève dans un moteur de recherches). D'autres outils sont à disposition sur la même page, comme un modèle de questionnaire ou la présentation de cas d'usage.
En autorisant les services tiers, vous acceptez le dépôt et la lecture
de cookies et l'utilisation de technologies de suivi nécessaires à leur
bon fonctionnement. Voir notre politique de confidentialité.
