Les entrepreneurs combiers se penchent sur la cybersécurité

Qui a peur des pirates informatiques? Trois experts conviés le 24 novembre dans le cadre de la SIC ont confronté l’assistance aux réalités de cette dimension toujours plus présente et préoccupante.

Vingt mois, c’est le laps de temps écoulé depuis le dernier « 6 à 8 des entrepreneurs », afterwork mêlant conférences et apéro proposé aux membres de la Société Industrielle et Commerciale (SIC). Le 24 novembre, le salle du Conseil communal du Chenit accueillait trois experts pour traiter d’un thème qui défraie la chronique, d’autant plus depuis qu’une commune de la Côte, attaquée par un collectif de pirates, a vu les données personnelles de cinq mille habitants dérobées ce printemps.

S’IMMISCER DANS UNE RELATION COMMERCIALE

Le secteur bancaire est l’un des plus concernés par le problème, puisqu’en définitive, les hackers (pirates) visent en définitive et le plus souvent à gagner de l’argent. Pour ce faire, ceux-ci vont toujours chercher à s’immiscer dans une relation commerciale au moyen de faux e-mails, de fausses demandes ou de faux sites imitant l’original et vers lesquels ils cherchent à rediriger leurs victimes. Fabien Mooser, responsable de la sécurité de l’information à la Banque Cantonale Vaudoise, recommandait ici une vigilance renouvelée et une vérification de plus: « Est-ce bien vous qui m’avez adressé ceci ou cela ? » « C’est une course en permanence, dans laquelle nous cherchons toujours à améliorer nos systèmes et à avoir un peu d’avance sur les pirates, sans y parvenir toujours », résumait encore le spécialiste (lire encadré).

DARKWEB DES DISSIDENTS POLITIQUES ET DES ACTIVITÉS ILLICITES

Deuxième orateur, Laurent Casteil de chez Kudelski, a mené son auditoire dans une visite (sans y entrer toutefois) du darkweb : ces réseaux accessibles grâce à des outils dédiés, où l’anonymat est le maître-mot. Si le darkweb est le repère des trafiquants et des pirates vendant leurs services, il est aussi celui de militants des droits de l’homme et de lanceurs d’alerte. On y trouve ainsi des faux certificats Covid, des Panama Papers et… ce qui a été volé comme données à Rolle. En réponse à la question d’un participant Laurent Casteil a affirmé qu’il était virtuellement impossible de réglementer ce fourre-tout. 

Mais c’est sur un autre plan que l’expert a alerté ses auditeurs : « Vos téléphones mobiles sont plus exposés que vos ordinateurs portables. Il y a un retard dans leur sécurisation. »

UNE «ASSURANCE CYBER» EST DÉSORMAIS À L’ORDRE DU JOUR

Dernier intervenant de la soirée, un spécialiste en assurances, elles aussi pleinement confrontées à ces nouvelles réalités. La perte d’un outil de production physique ou électronique (un site de vente en ligne rendu inopérant) est typiquement une situation dans laquelle intervient un assureur. D’autant plus si ensuite tel collaborateur peut être accusé de négligence à l’interne ou… à l’externe, à cause des dommages à un tiers. « Notre branche a été réactive» se félicitait ainsi Cyrille Trallero (Axa). Ici comme ailleurs, l’assureur intervient d’abord sur la prévention, en proposant des analyses de sécurité et des formations.

«Les assurances cyber sont nouvelles et peu d’entreprises sont couvertes. Pour l’heure, donc, ces produits sont encore bon marché », concluait en son nom Bill Muirhead, président
de la SIC.

La nouvelle sécurité est informatique

Très instructive, cette soirée aura toutefois soulevé davantage de problèmes et de questions que de solutions applicables à la réalité combière, son tissu économique et ses communes, lui aussi déjà ciblé par plus d’une attaque. D’investir plus à l’avenir dans sa sécurité informatique semble un passage obligé. 

On se souvient que le Groupe sécurité Vallée de Joux avait empoigné le problème de la vulnérabilité des bijouteries et des musées horlogers dès 2007. Le cas est différent aujourd’hui avec les nouvelles réalités du cyber crime, lequel « vient de partout et cible tout le monde, en jouant sur l’effet de masse », d’après un des intervenants de la soirée, de sorte qu’il n’y ait guère d’enjeux spécifiques à notre région. En conséquence, l’économie combière réagit pour l’heure à la menace en ordre dispersé : chacun avec son propre partenaire de services internet.

LE MAILLON LE PLUS FAIBLE

Dix mille: c’est le nombre de courriels malveillants ou piégeux reçus quotidiennement à la BCV. Peu importe le taux de réussite extrêmement faible de ces tentatives, il suffit d’un ou deux «hits» sur une action de masse pour rendre celle-ci profitable, du point de vue des pirates. Parmi les cas réels cités par Fabien Mooser de la BCV, l’un aura retenu l’attention: celui d’un client de la banque par l’ordinateur duquel une cyberattaque a été portée. Rapidement identifié, ce client n’était pas responsable, mais plutôt son fils adolescent qui s’était essayé à jouer au pirate en herbe sur l’ordinateur paternel. Le net offre en effet gratuitement et en clair toutes les ressources pour le faire. Ici ou comme ailleurs, un système de défense n’est jamais plus fort que son point le plus faible. «Et des failles, il y en aura toujours. Il faut rester humble devant la menace», a observé le spécialiste.