Les nouveaux fronts de la guerre économique
Un simple e-mail peut suffire à mettre en danger l’activité d’une entreprise. En Suisse, beaucoup ne sont pas conscientes des dangers du réseau et de la nécessité d’une stratégie appropriée de sécurité informatique, note Solange Ghernaouti, experte internationale en cybercriminalité.
Il s’appelle Gauss et il a déjà infecté des centaines d’ordinateurs au Proche-Orient. Ce nouveau virus informatique est capable d’espionner les transactions bancaires et de voler des mots de passe. Selon l’agence de sécurité Kaspersky Lab, il aurait été créé par les mêmes laboratoires qui ont mis au point Stuxnet, le virus utilisé pour contrer le programme nucléaire iranien.
La découverte de Gauss vient encore alimenter le débat sur la prolifération et l’utilisation des instruments informatiques à des fins criminelles. Et cette évolution concerne aussi les entreprises suisses, qui, comme les autres, ont impérativement besoin d’une protection adéquate si elles veulent rester innovantes et compétitives, souligne Solange Ghernaouti.
Professeur à la faculté des Hautes Etudes commerciales de l’Université de Lausanne, elle est membre du Global Cybersecurity Agenda de l’Union internationale des télécommunications et participe actuellement à l’élaboration d’un traité international sur le cyberespace.
swissinfo.ch: L’agence de sécurité informatique Symantec relève une augmentation constante des attaques informatiques dans les six premiers mois de 2012. Et une attaque sur trois concerne désormais les petites et moyennes entreprises. Qui se cache derrière ces tentatives?
Solange Ghernaouti: Les auteurs peuvent être multiples et les attaques viennent des quatre coins du monde. Mais on remarque quand même que la plupart viennent d’ordinateurs localisés en Chine, même si je ne veux pas du tout pointer du doigt le gouvernement de Pékin.
Il faut quand même relever que ce pays veut devenir une superpuissance. Et tous les moyens sont bons, y compris les méthodes de l’espionnage industriel. Internet et le cyberespace sont devenus les nouveaux champs de bataille de la guerre économique.
Mais il n’y a pas que les Chinois. Il y a aussi d’autres acteurs étatiques ou agissant pour le compte d’un gouvernement. Sans oublier les vrais criminels, isolés ou organisés en bande, qui sont prêts à tout pour s’enrichir. Les systèmes et les procédures sont vulnérables. Celui qui cherche le point faible finit par le trouver.
Quelles sont les techniques les plus sophistiquées?
On peut citer les techniques d’ingénierie sociale, soit la manière humaine de capturer des mots de passe ou des informations confidentielles. Ici, on exploite les faiblesses de l’être humain au lieu des vulnérabilités des systèmes. Par exemple, vous contactez l’entreprise en vous faisant passer pour l’administrateur du système et vous dites qu’il y a un problème de réseau. Vous dites que vous devez reconfigurer les ordinateurs et que vous avez besoin des mots de passe. Cette méthode fonctionne toujours.
Une technique plus sophistiquée est celle dite du spear phishing, ou acquisition ciblée d’informations sensibles. Vous faites croire à un dirigeant de l’entreprise que vous êtes un collaborateur qu’il connaît et en qui il a confiance. Vous lui envoyez un document, il l’ouvre, et ainsi il installe sur son ordinateur un cheval de Troie [logiciel espion]. C’est de cette manière qu’a été piraté RSA Security, le plus grand fournisseur mondial d’outils de sécurité informatique.
Quels sont les secteurs économiques et industriels les plus exposés?
Toutes les entreprises de services, comme les banques et les assurances. En Suisse, nous avons aussi la pharma et la chimie, même si je n’ai encore jamais entendu parler de vol de données sensibles dans les grandes entreprises pharmaceutiques. Mais cela ne signifie pas forcément que ce n’est jamais arrivé: pour des raisons d’image, les gens préfèrent souvent ne rien dire.
Personnellement, ce qui m’inquiète davantage, ce sont les attaques éventuelles contre les infrastructures vitales, comme les hôpitaux, les centrales électriques ou les réseaux d’eau. Au début des années 2000, un employé mécontent a pris le contrôle d’une station d’épuration en Australie. Il a pu actionner les vannes et déverser des eaux usées dans une rivière. Les attaques qui pourraient viser des entreprises alimentaires m’inquiètent aussi. On pourrait par exemple intervenir sur une chaîne de production automatique et introduire des substances nocives dans les capsules de café.
Une enquête réalisée l’an dernier a montré qu’une entreprise suisse sur cinq avait été victime de cybercriminalité. Les entreprises sont-elles suffisamment conscientes de leur vulnérabilité?
En Suisse, les attaques les plus redoutées sont l’espionnage industriel, le vol de données, de savoir-faire ou de brevets. En ce sens, toutes les grandes banques et les grandes entreprises ont leur propre service de sécurité informatique. Mais les PME sont plus désarmées. Elles ne sont pas toutes conscientes des risques. Et quand elles s’en rendent compte, il est déjà trop tard. Le mal est fait.
Les risques informatiques évoluent constamment. Les PME qui veulent être moins vulnérables doivent donc investir. Et ce qui coûte, ce ne sont pas tant les mesures technologiques comme les pare-feu ou les anti-virus, mais plutôt la mise en œuvre de processus de gestion continue de la sécurité informatique.
Certaines entreprises préfèrent stocker leurs données informatiques sur des serveurs externes. Ce que l’on nomme «Cloud Computing». Un choix judicieux?
Externaliser le secteur informatique à un prestataire de services peut permettre de faire des économies. Mais vous perdez le contrôle de votre propre capital immatériel et numérique, qui devient totalement dépendant d’un acteur extérieur.
Il ne faut pas non plus oublier que ces prestataires de services recueillent des données de plusieurs entreprises. Toute l’information est donc concentrée sur un seul nuage, ce qui va susciter l’intérêt des criminels.
Que recommanderiez-vous aux dirigeants d’entreprises?
Je les inviterais à réfléchir sur quelles sont les valeurs de leur entreprise, son patrimoine. Combien de ces valeurs sont-ils prêts à perdre sans pour autant compromettre toute leur activité? Les entreprises devraient adopter une approche proactive, préventive, et analyser toute la chaîne de sécurité.
Configurer correctement un pare-feu, ce n’est pas suffisant. C’est toute l’organisation qui doit être réexaminée, y compris les activités des employés. Je pense par exemple aux collaborateurs qui utilisent les réseaux sociaux pendant leur temps de travail. Il faut aussi élaborer des plans de secours, qui permettront de continuer à fonctionner même après une attaque.
Dans une économie de plus en plus globalisée et compétitive, la sécurité informatique est destinée à prendre une importance croissante. Les PME qui ne sauront pas protéger leur capacité innovatrice avec une stratégie informatique appropriée seront mois concurrentielles. Aussi parce que les criminels agiront là où c’est le plus facile. Etre moins vulnérable que ses concurrents signifiera donc être plus compétitif.
Les cybercriminels se trouvent souvent à des milliers de kilomètres de leurs cibles. Peut-on dire que la coopération internationale fonctionne?
La Suisse a signé et ratifié la convention européenne sur la cybercriminalité. Elle est un acteur mondial dans la lutte contre la criminalité informatique. Oui, la coopération internationale fonctionne, comme le montrent les actions coordonnées qui débouchent sur des arrestations
Bien qu’il n’existe pas de policiers, de juges ou d’avocats spécialisés dans le crime informatique, les lacunes ne sont pas tellement dans le système actuel. Le problème, ce sont plutôt les pays qui ne veulent pas coopérer. On a ainsi de véritables «paradis numériques», depuis lesquels les cybercriminels peuvent lancer leurs attaques avec la quasi-certitude de l’impunité. Je ne peux pas citer de noms, mais je peux vous dire que certains paradis fiscaux sont aussi des paradis numériques.
La chercheuse franco-suisse a été la première femme à obtenir une chaire à la faculté des Hautes Etudes commerciales (HEC) de l’Université de Lausanne en 1987.
Directrice du Swiss Cybersecurtiy Advisory & Research Group, elle participe en qualité d’experte internationale en cybersécurité et criminalité informatique aux travaux d’instances de l’ONU, de gouvernements et d’institutions privées.
Auteur d’une trentaine de livres, elle a publié en 2009 La cybercriminalité: le visible et l’invisible, un texte qui illustre les méthodes des criminels à l’œuvre dans le monde virtuel et suggère des solutions pour se protéger le plus efficacement possible.
En 2011, la revue économique Bilan l’a classée parmi les 300 personnalité les plus influentes de Suisse.
Dans les six premiers mois de 2012, 36% des attaques informatiques répertoriées dans le monde ont visé de petites et moyennes entreprises (moins de 250 employés). Selon l’agence de sécurité informatique Symantec, à la fin 2011, cette proportion n’était encore que de 18%.
Durant les mois de mai et de juin, on a bloqué en moyenne 151 attaques ciblées par jour.
Les grandes entreprises (plus de 2500 collaborateurs) restent les plus touchées (69 attaques bloquées chaque jour en moyenne).
Les secteurs les plus visés sont l’industrie d’armement, l’industrie chimique et pharmaceutique et le secteur manufacturier.
Globalement, les entreprises du monde dépensent chaque année 877 milliards d’euros pour la gestion de leurs données numériques, indique une autre étude de Symantec.
En moyenne, les PME interrogées dans ce sondage y investissent 262’000 euros par an.
La perte de données numériques peut avoir des conséquences graves, souligne le rapport publié à fin juin. 49% des entreprises avaient perdu des clients, 47% avaient vu leur image dégradée et 41% avaient enregistré une baisse de leur chiffre d’affaires.
(Source: Symantec)
Traduction de l’italien: Marc-André Miserez
En conformité avec les normes du JTI
Plus: SWI swissinfo.ch certifiée par la Journalism Trust Initiative
Vous pouvez trouver un aperçu des conversations en cours avec nos journalistes ici. Rejoignez-nous !
Si vous souhaitez entamer une conversation sur un sujet abordé dans cet article ou si vous voulez signaler des erreurs factuelles, envoyez-nous un courriel à french@swissinfo.ch.