En 2023, les entreprises suisses ont été confrontées à une hausse de 61% des cyberattaques. Comment se prémunir d’une telle menace? Le point avec Sandro Nafzger, "hacker éthique" et co-fondateur de l’entreprise Bug Bounty Switzerland.
La tendance devrait certainement alimenter les débats des Swiss Cyber Security Days qui se tiendront du 20 au 21 février à Berne: de 2019 à 2023, la Suisse est passée de la 14e à la 27e place au National Cybersecurity Index. Cet indicateur international mesure la résilience des différents pays aux menaces informatiques. Très marqué, ce recul touche particulièrement les entreprises: en 2023, le fournisseur de cybersécurité Check Point a recensé une augmentation de 61% des cyberattaques. Une PME sur trois dit par ailleurs avoir déjà subi une attaque, avec de sérieux dommages dans 11% des cas. Comment sensibiliser ses employés et limiter les risques d’une telle menace? Les conseils de l’expert Sandro Nafzger.
La Suisse recule dans les classements consacrés à la cybersécurité. Pourquoi?
Sandro Nafzger: Les défis liés au monde numérique progressent très vite. Des technologies comme l'IA tendent à faire augmenter la fréquence et la gravité des attaques. Or, la Suisse ne fait pas évoluer ses réponses assez vite, ou du moins pas de manière aussi agile et rapide que dans d'autres pays. Ceci s’explique sans doute en grande partie par des aspects culturels, notamment liés à des exigences élevées en termes de qualité. Notre peur de commettre des erreurs tend à nous priver de nombreuses innovations ou à ralentir leur adoption.
Les attaques réussies sont souvent le résultat d'une erreur humaine. En quoi ce facteur constitue-t-il la principale faiblesse des entreprises?
Nafzger: Il est trop facile de blâmer les utilisateurs. Si des employés cliquent par exemple régulièrement sur des liens malveillants, mais que l'entreprise ne réagit pas, c'est que le problème est aussi d’ordre technique. Il est important qu'une organisation parvienne à un haut niveau de résilience. Les mesures de prévention doivent aller au-delà des simples opérations de formation ou de sensibilisation.
Qu'elles soient humaines ou techniques, les vulnérabilités constituent le terreau des cyberattaques. Il s’agit d’anticiper en permanence afin de les identifier et de les réparer. Recommandé dans le cadre de notre stratégie nationale de cybersécurité, le piratage éthique sous forme de "Bug Bounty Programs" – autrement dit de "primes aux bugs" – consiste à offrir des récompenses aux développeurs et aux experts qui repèrent des vulnérabilités avant que les pirates informatiques ne le fassent.
Pourquoi les PME suisses sont-elles des cibles privilégiées?
Nafzger: Les grandes entreprises constituent des cibles souvent plus lucratives, mais elles disposent en général des compétences et des ressources nécessaires pour bien se protéger. Il est donc souvent intéressant pour les cybercriminels de s'attaquer à des entreprises plus petites. Leurs cibles idéales sont les entreprises qui disposent de suffisamment de fonds pour accepter un chantage, mais qui ne se protègent pas encore assez. De nombreuses PME suisses correspondent à cette catégorie et se trouvent donc chaque jour un peu plus exposées.
Certains secteurs économiques sont-ils plus touchés que d'autres?
Nafzger: La menace augmente dans tous les domaines. Ce serait donc une grave erreur pour une entreprise de croire que sa taille ou son secteur d’activité la prémunit d’une cyber-attaque. Certains secteurs doivent toutefois particulièrement bien se protéger. Il s'agit notamment des soins et de la santé, qui utilisent des données sensibles, du secteur public ainsi que des infrastructures indispensables à la survie du pays. Un autre aspect essentiel concerne les tiers et les chaînes d'approvisionnement. Les entreprises doivent sécuriser l'ensemble de leur écosystème, ce qui englobe aussi leurs partenaires et fournisseurs externes. Il s’agit d’imaginer de nouvelles formes de collaboration, qui dépassent l’organisation interne de l’entreprise.
Plusieurs crises récentes ont marqué les esprits. Les entreprises sont-elles bien conscientes de l'ampleur de la menace?
Nafzger: Malheureusement, la plupart des entreprises n’ont pas encore réalisé qu’elles deviennent de plus en plus vulnérables. Elles l’apprennent souvent à leurs dépens, après une cyberattaque. Bug Bounty Switzerland a été créé pour prévenir de telles situations. Grâce aux cyberattaques légales que nous menons avec nos hackers éthiques, nous favorisons cette prise de conscience, évidemment sans causer de dommages.
Est-il possible pour une PME d'assurer un bon niveau de protection?
Nafzger: Absolument. Ce sont même souvent les entreprises aux ressources limitées qui prennent les décisions les plus intelligentes. Avec une bonne organisation et un minimum de protection technique, les PME peuvent déjà faire beaucoup. Travailler en lien étroit avec ses équipes en développant une intelligence collective permet aussi de s'améliorer un peu plus chaque jour.
Les nouveaux outils d'IA générative se démocratisent. Créent-ils de nouveaux risques spécifiques?
Nafzger: L'IA est un formidable accélérateur de vitesse et d'efficacité. Ces nouveaux outils sont évidemment utilisés des deux côtés, tant pour attaquer que pour protéger les systèmes informatiques. Nous utilisons d’ailleurs l'IA pour notre plateforme collaborative sur les vulnérabilités. Cela nous permet de rendre notre solution toujours plus efficace.
