Raiffeisen PME eServices

Cyberattaques: les PME croient être en sécurité

Imprimer

Un bon tiers des PME suisses ont déjà été victimes d'une cyberattaque, mais seulement une sur sept considère les cyberattaques comme dangereuses pour elle. Markus Beck, responsable du trafic des paiements de la clientèle entreprises chez Raiffeisen et Andreas Hölzli, responsable du Centre de compétences Cyber Risk de la Mobilière, discutent de cette contradiction pour la sécurité de votre entreprise.

 

Le trafic des paiements ne cesse de se digitaliser, ce qui augmente les cyberrisques pour les PME. Quelle est l'ampleur de la menace?

Andreas Hölzli: Selon une étude représentative, 36 % des PME suisses ont déjà été victimes d'une cyberattaque provoquant des dommages significatifs.

 

Ce taux est élevé. Les entrepreneurs sont-ils conscients de ce risque?

A. H.: Non, ils le sous-estiment. Selon la même étude, seulement 15% des entrepreneurs ont déclaré considérer les cyberattaques comme présentant un risque élevé ou accru. Les petites entreprises se croient souvent en sécurité parce qu'elles pensent que cela ne concerne que les «grandes entreprises».

Markus Beck: D'après les contacts que j'ai avec certains entrepreneurs, je constate qu'ils ont pris conscience de ce danger depuis ces dernières années.

A. H.: Nous nous en rendons également compte: la demande en cyberassurances, que nous avons lancées en 2017, ne cesse d'augmenter.

 

Cyberschutzversicherung

L'assurance cyberprotection est un bon complément aux mesures préventives contre les cyberrisques. En plus de la restauration des données et de la suppression des malwares, elle couvre également une perte de revenus, par exemple.

Intéressé? En coopération avec la Mobilière, Raiffeisen propose une assurance cyberprotection complète.

 

A quels dangers les PME sont-elles concrètement exposées?

A. H.: Elles sont souvent victimes de «ransomware»; les pirates bloquent leurs systèmes informatiques et réclament une rançon pour les débloquer. La fraude sur internet vient en deuxième position. Une forme fréquente est la fraude au CEO: les pirates se font passer pour des supérieurs hiérarchiques et demandent aux collaborateurs d'effectuer des paiements en urgence.

 

Il est quand même possible de savoir s'il s'agit vraiment du supérieur hiérarchique qui appelle ou qui écrit un e-mail.

M. B.: Autrefois, on pouvait peut-être déceler rapidement les tentatives de manœuvre. Mais entre-temps, nous avons déjà entendu parler de cas où un logiciel d'imitation vocale avait été utilisé afin de duper les collaborateurs.

A. H.: Il ne faut en aucun cas s'imaginer que la cybercriminalité est une opération émanant d'une personne. L'image du pirate informatique solitaire à capuche, assis en face de son écran est obsolète: aujourd'hui, des centres d'appel professionnels lancent de telles attaques. Une recherche intensive précède généralement l'attaque à proprement parler. Des acteurs malveillants peuvent relativement facilement intercepter certains e-mails. Ils en profitent pour reproduire le style d'écriture du supérieur hiérarchique.

 

Comment puis-je me protéger contre ces attaques?

A. H.: Il est important d'agir avant que quelque chose ne se produise. Les quatre aspects suivants sont importants. Premièrement, il faut protéger techniquement l'infrastructure informatique avec des antivirus et des pare-feu. Deuxièmement, il est impératif d'effectuer des sauvegardes séparées du système. Troisièmement, les collaborateurs doivent être formés. Et quatrièmement, il faut établir un plan d'urgence au cas où il se passerait quelque chose.

M. B.: Ce sont justement ces deux derniers points qui sont primordiaux: limiter la protection contre les cyberattaques à la technique ne suffit pas. Nous avons besoin de mesures organisationnelles – de règles et d'accords sur la manière de procéder, par exemple, si le supérieur hiérarchique demande de passer un ordre de paiement urgent.

 

Des mesures doivent-elles encore être prises dans les PME suisses?

A. H.: Oui, en particulier dans le domaine organisationnel. La plupart des PME travaillent avec des prestataires informatiques qui remplissent déjà les principales normes de sécurité techniques. «Ce sont eux qui s'en occupent» est une phrase que l'on entend souvent. De nombreuses PME redoutent les coûts engendrés par tout ce qui dépasse ces simples mesures.

M. B.: Pourtant, le calcul est simple. Certes, un audit de sécurité professionnel n'est pas gratuit mais si on le compare aux dommages qui peuvent se produire si toute l'entreprise est paralysée ou si des paiements non autorisés sont effectués, l'investissement est faible.

 

En qualité de responsable de PME, comment savoir si les mesures que je prends suffisent?

A. H.: Le test rapide proposé par la Confédération et différents partenaires technologiques pour les PME est une bonne méthode pour évaluer la situation. Il permet non seulement aux entreprises de se rendre compte à quel point elles sont exposées aux cyberrisques, mais leur donne également des conseils pour augmenter la sécurité.

 

Exception faite des spécialistes et des outils de protection, comment chaque personne peut-elle contribuer à la sécurité?

M. B.: Il est important que chacun prenne conscience des risques. Ce sont typiquement les e-mails qui représentent les plus grosses menaces. Chacun doit savoir qu'il ne faut pas cliquer sur des liens inconnus ou envoyer des informations sensibles, telles que des données de facturation, par e-mail.

A. H.: Nous sommes issus d'un monde analogique. Alors qu'il est tout à fait naturel de fermer sa porte d'entrée à clé, cette prise de conscience fait défaut lorsqu'il s'agit de verrouiller le PC avant de quitter son poste de travail. Cet automatisme doit s'établir. Tout le monde peut contribuer à la sécurité en n'utilisant pas de mots de passe aussi simples que «123456». S'il compte au moins huit caractères, des majuscules, des minuscules et des caractères spéciaux, un mot de passe est déjà très sûr, à condition bien sûr de ne pas l'écrire sur un Post-it que l'on colle sur l'écran de son PC.

 

Et quelles sont les mesures en rapport avec le trafic des paiements?

A. H.: Ici, il est impératif que chaque utilisateur dispose de son propre compte. Il est interdit de partager ses comptes et ses mots de passe.

M. B.: Sur Raiffeisen PME eServices, par exemple, ceci est même impossible.

 

Parlons de cette plateforme. Elle offre une forte protection contre les cyberattaques. Comment y parvient-elle?

M. B.: Nous séparons la saisie d'un paiement de sa validation. Concrètement, les paiements sont saisis dans le logiciel de comptabilité ou dans le système ERP de l'entreprise et transmis automatiquement au serveur de la Banque Raiffeisen. Pour valider ces paiements, il faut se connecter à PME eServices. Là, nous disposons d'un élément de sécurité supplémentaire qui nous permet de mettre en place une signature multiple, c'est-à-dire que deux personnes ou plus sont nécessaires pour valider le paiement. Le tout se base sur le protocole multibancaire EBICS qui est déjà très sûr en lui-même.

 

Qu'est-ce qu'une PME doit faire si elle est victime d'une attaque malgré toutes ces précautions? Par exemple, si un paiement est effectué alors qu'il n'aurait pas dû l'être?

M. B.: Il faut qu'elle contacte sans délai la banque! Si le paiement est encore en suspens, la banque peut éventuellement encore le stopper. Mais il faut savoir que les personnes qui se cachent derrière les cyberattaques sont très bien informées et savent exactement à quel moment les banques traitent leurs paiements. L'argent se retrouve donc très rapidement sur le compte de la banque bénéficiaire.

 

Une cyberassurance peut-elle offrir un recours dans ce cas précis?

A. H.: Ja. Oui. L'assurance couvre les dommages matériels, de même que les pertes de revenus si les systèmes sont bloqués, les coûts de restauration des données et le nettoyage des systèmes si des programmes malveillants se sont infiltrés. Mais ici le principe est toujours le même: une PME ne doit pas investir dans une assurance ou dans des mesures de protection, mais dans les deux.

 

Markus Beck est responsable Trafic des paiements Clientèle entreprises chez Raiffeisen

Markus Beck est responsable Trafic des paiements Clientèle entreprises chez Raiffeisen.

Andreas Hölzli est responsable du Centre de compétences Cyber Risk de la Mobilière

Andreas Hölzli est responsable du Centre de compétences Cyber Risk de la Mobilière.