Page d’accueil Connaissances Technologies Cybersécurité Les cybercriminels sont rusés
Interlocuteur  Adam Gontarz Adam Gontarz
Chef de la division « Numérisation, Innovation et Technologie »
+41 44 384 48 44 +41 44 384 48 44 a.gontarznoSpam@swissmem.ch
Partager

Les cybercriminels sont rusés

Le nombre de cyberattaques augmente et elles sont de plus en plus sophistiquées. Personne n’est à l’abri. Une mesure efficace pour diminuer ce risque consiste à sensibiliser les collaborateurs dans les entreprises. Dans ce contexte et en coopération avec une entreprise industrielle, le Centre national pour la cybersécurité (NCSC) a réalisé un projet pilote. Dominique Trachsel, responsable de la sensibilisation et de la prévention au NCSC, donne des informations sur les enseignements de ce projet.

Les cyberattaques sont régulièrement traitées dans les médias. Que pensez-vous de cette évolution ?

Dominique Trachsel : Nous enregistrons en moyenne environ 700 incidents cybernétiques par semaine, ce qui correspond actuellement à un niveau élevé. D’une part, nous pensons que la population est plus sensible à ce problème. D’autre part, nous constatons aussi une légère augmentation des cyberattaques. Actuellement, les arnaques et les attaques « Ransomware » sont les genres de cyberincidents les plus fréquents. Environ un tiers des messages reçus par le NCSC sont des courriels de menaces prétendument envoyés par les autorités de poursuite pénale et appelés « fake extorsion e-mails ».

Ce qui motive et motivera toujours les cybercriminels est de faire le plus de profit possible avec le moins d’efforts possibles. Pour cela, leurs attaques ne visent pas une institution, une entreprise, une personne ou un secteur particulier, mais ils cherchent des failles à exploiter.

La sensibilisation joue donc un rĂ´le important. Dans ce contexte, quelle est exactement la fonction du NCSC ?

La sensibilisation se concentre essentiellement sur trois domaines : le grand public, les autorités et les administrations publiques en tant qu’infrastructures critiques et l’économie. Pour cette dernière, l’accent est actuellement mis sur les entreprises familiales et les associations. Les premières citées sont des employeurs importants en Suisse et contribuent très largement au PIB, et environ un tiers de ces entreprises sont cotées en bourse. De plus, il n’est pas compliqué d’intégrer des mesures de sensibilisation dans le système d’organisation existant d’une entreprise.

Dans le cadre de l’élaboration de la stratĂ©gie actuelle NCS (National Cyberstrategy), Ă  laquelle ont participĂ© activement des reprĂ©sentants des institutions de formation, des autoritĂ©s et de l’économie, nous avons clairement constatĂ© qu’il fallait regrouper les mesures de sensibilisation destinĂ©es Ă  l’économie, notamment par le biais des associations. Le NCSC peut donc apporter aux programmes en cours, par exemple de Swissmem, les enseignements des informations qu’il obtient en tant que centre de compĂ©tences pour la cybersĂ©curitĂ© grâce Ă  son Ă©troite collaboration avec d’autres institutions et organisations et, par consĂ©quent, soutenir des projets existants. Les connaissances sont ainsi transmises au sein de l’association en fonction des groupes cibles. 

Comment Ă©valuez-vous la sensibilisation des entreprises aux dangers ?

Il y a des entreprises qui gèrent déjà très bien le problème de la cybersécurité. Il s’agit souvent d’entreprises dans lesquelles le chef s’occupe personnellement de ce problème. Mais il existe aussi des entreprises qui ont encore du retard à rattraper. En principe, la sensibilisation comprend deux aspects : des mesures organisationnelles pour renforcer la conscience des risques chez les collaborateurs et définir des processus clairement réglementés ainsi que des solutions techniques pour optimiser la protection également à ce niveau.

Pour obtenir un premier aperçu, le NCSC met à disposition sur son site Internet de nombreuses informations et instructions pour les particuliers, les spécialistes en informatique, les autorités et les entreprises. Si l’entreprise n’a pas les connaissances informatiques nécessaires, nous recommandons de les acquérir à l’aide d’experts. Toutefois, le NCSC ne fait pas de recommandations concernant des fournisseurs de services correspondants.

Vous avez réalisé un projet pilote de sensibilisation en coopération avec PB Swiss Tools. Pouvez-vous expliquer concrètement quelles sont les étapes que vous avez accomplies ensemble ?

Une condition importante était que toutes les personnes concernées, y compris la direction, soient impliquées dès le début et que nous puissions compter sur leur soutien. Concernant la procédure : les besoins en matière de sensibilisation variaient en fonction de l’environnement de travail des collaborateurs. La situation de départ dans la comptabilité n’est pas la même que dans la production qui utilise des ordinateurs pour faire marcher les machines. Il faut également prendre en considération le travail en équipe. Nous avons donc développé un concept qui comprenait un calendrier, ce qui nous a permis de contacter les quelque 200 collaborateurs en fonction de leur tâche sans devoir interrompre la production.

En quoi cela a-t-il consisté ?

Nous avons effectué trois modules :

  • Dans le module de base, il s’agissait d’informer chaque collaborateur. Pour cela, nous avons donnĂ© une introduction de base sur les thèmes de la cybersĂ©curitĂ©, des vulnĂ©rabilitĂ©s potentielles et la manière dont les collaborateurs doivent rĂ©agir en cas de soupçon.
     
  • Le deuxième module Ă©tait consacrĂ© Ă  la sĂ©curitĂ© au niveau du travail dĂ©lĂ©guĂ©, par exemple les dĂ©placements professionnels, les visites de salons ou le travail Ă  domicile. Nous avons expliquĂ© les risques liĂ©s aux appareils emportĂ©s et dĂ©fini la manière de sĂ©curiser au maximum l’accès aux donnĂ©es Ă  l’étranger.
     
  • Le troisième module Ă©tait consacrĂ© Ă  la technique et s’adressait aux ingĂ©nieurs et techniciens qui travaillent avec des machines et les logiciels correspondants.

Quelle a été la méthode avec laquelle vous avez effectué le travail de sensibilisation ?

Le nombre de participants était relativement élevé. Par conséquent et après leur avoir donné des informations détaillées, nous les avons laissés travailler de manière autonome sur des thèmes en groupes. Ensuite, ils ont présenté leurs conclusions en plénum. Il a ainsi été possible de transférer des connaissances dans un laps de temps raisonnable. Finalement, il est important de pouvoir mesurer le succès. Avant de transmettre les connaissances, nous avons réalisé un petit sondage et avons laissé les collaborateurs résoudre un quiz. Pour terminer la séance, nous avons organisé un nouveau sondage à l’aide d’une échelle traditionnelle pour savoir si les enseignements peuvent être appliqués dans le quotidien. De plus, PB Swiss Tools nous a informés que les collaborateurs contactent désormais plus souvent le service informatique lorsque quelque chose leur semble suspect.

Est-ce que d’autres entreprises industrielles peuvent profiter de l’expérience acquise dans le cadre de ce projet pilote ?

Oui, il est important que tout le secteur profite et ces enseignements. Dans une certaine mesure, de nombreuses entreprises industrielles doivent relever des défis semblables.

Nous avons l’intention d’établir une graduation. C’est pourquoi nous souhaitons collaborer davantage avec des associations comme Swissmem et diffuser les connaissances de manière spécifique aux différents secteurs. Les compétences du NCSC résident dans la méthodologie de planification et de mise en œuvre des mesures de sensibilisation ainsi que dans ses connaissances approfondies des menaces qui subsistent et dans l’échange permanent d’informations avec d’autres acteurs. Cette circonstance permet notamment de détecter très tôt les tendances liées aux cyberattaques. Grâce aux informations d’actualité que nous recevons régulièrement sur un domaine très dynamique, nous sommes en mesure de créer une valeur ajoutée pour les entreprises.

Pour terminer, avez-vous des conseils Ă  donner aux entreprises ?

  • Il ne suffit pas de confier la responsabilitĂ© de la cybersĂ©curitĂ© uniquement au responsable de l’informatique. Les entreprises devraient se pencher rĂ©gulièrement sur le sujet et en faire une prioritĂ©.
     
  • Il existe quelques mesures fondamentales qui sont relativement faciles Ă  mettre en Ĺ“uvre. Par exemple adapter rĂ©gulièrement les systèmes afin de corriger les points vulnĂ©rables et effectuer rĂ©gulièrement des sauvegardes.
     
  • Chaque entreprise devrait dĂ©jĂ  rĂ©flĂ©chir Ă  la manière dont elle entend rĂ©agir en cas d’urgence. Cela permet de savoir rapidement si l’entreprise est capable de rĂ©agir en cas de crise. Il est impĂ©ratif d’avoir un plan d’urgence, un concept de communication de crise, une organisation de crise et de mettre en place un contact d’urgence.
     
  • Un comportement prudent de tous les collaborateurs contribue fortement Ă  diminuer les risques de cyberattaques. Il est donc important d’informer les collaborateurs sur les risques et de leur proposer de l’assistance si nĂ©cessaire.

Centre national pour la cybersécurité NCSC

Informations, recommandations, instructions

Le Centre national pour la cybersĂ©curitĂ© (NCSC) est le centre de compĂ©tence de la ConfĂ©dĂ©ration en matière de cybersĂ©curitĂ© et donc le premier point de contact pour l’économie, l’administration, les institutions de formation et la population en ce qui concerne la cybersĂ©curitĂ©. Le site Internet du NCSC fournit des informations complètes sur les cybermenaces actuelles ainsi que des recommandations et des instructions en cas de dommage pour diffĂ©rents groupes cibles, notamment les entreprises. En outre, vous avez la possibilitĂ© de dĂ©clarer au NCSC des incidents liĂ©s aux cyberattaques par l’intermĂ©diaire d’un formulaire en ligne.
https://www.ncsc.admin.ch

Cet article vaut-il la peine d'ĂŞtre lu?

Ces articles peuvent vous intéresser

Dernière mise à jour: 26.06.2023