Les cyberattaques sont régulièrement traitées dans les médias. Que pensez-vous de cette évolution ?
Dominique Trachsel : Nous enregistrons en moyenne environ 700 incidents cybernétiques par semaine, ce qui correspond actuellement à un niveau élevé. D’une part, nous pensons que la population est plus sensible à ce problème. D’autre part, nous constatons aussi une légère augmentation des cyberattaques. Actuellement, les arnaques et les attaques « Ransomware » sont les genres de cyberincidents les plus fréquents. Environ un tiers des messages reçus par le NCSC sont des courriels de menaces prétendument envoyés par les autorités de poursuite pénale et appelés « fake extorsion e-mails ».
Ce qui motive et motivera toujours les cybercriminels est de faire le plus de profit possible avec le moins d’efforts possibles. Pour cela, leurs attaques ne visent pas une institution, une entreprise, une personne ou un secteur particulier, mais ils cherchent des failles à exploiter.
La sensibilisation joue donc un rĂ´le important. Dans ce contexte, quelle est exactement la fonction du NCSC ?
La sensibilisation se concentre essentiellement sur trois domaines : le grand public, les autorités et les administrations publiques en tant qu’infrastructures critiques et l’économie. Pour cette dernière, l’accent est actuellement mis sur les entreprises familiales et les associations. Les premières citées sont des employeurs importants en Suisse et contribuent très largement au PIB, et environ un tiers de ces entreprises sont cotées en bourse. De plus, il n’est pas compliqué d’intégrer des mesures de sensibilisation dans le système d’organisation existant d’une entreprise.
Dans le cadre de l’élaboration de la stratégie actuelle NCS (National Cyberstrategy), à laquelle ont participé activement des représentants des institutions de formation, des autorités et de l’économie, nous avons clairement constaté qu’il fallait regrouper les mesures de sensibilisation destinées à l’économie, notamment par le biais des associations. Le NCSC peut donc apporter aux programmes en cours, par exemple de Swissmem, les enseignements des informations qu’il obtient en tant que centre de compétences pour la cybersécurité grâce à son étroite collaboration avec d’autres institutions et organisations et, par conséquent, soutenir des projets existants. Les connaissances sont ainsi transmises au sein de l’association en fonction des groupes cibles.
Comment Ă©valuez-vous la sensibilisation des entreprises aux dangers ?
Il y a des entreprises qui gèrent déjà très bien le problème de la cybersécurité. Il s’agit souvent d’entreprises dans lesquelles le chef s’occupe personnellement de ce problème. Mais il existe aussi des entreprises qui ont encore du retard à rattraper. En principe, la sensibilisation comprend deux aspects : des mesures organisationnelles pour renforcer la conscience des risques chez les collaborateurs et définir des processus clairement réglementés ainsi que des solutions techniques pour optimiser la protection également à ce niveau.
Pour obtenir un premier aperçu, le NCSC met à disposition sur son site Internet de nombreuses informations et instructions pour les particuliers, les spécialistes en informatique, les autorités et les entreprises. Si l’entreprise n’a pas les connaissances informatiques nécessaires, nous recommandons de les acquérir à l’aide d’experts. Toutefois, le NCSC ne fait pas de recommandations concernant des fournisseurs de services correspondants.
Vous avez réalisé un projet pilote de sensibilisation en coopération avec PB Swiss Tools. Pouvez-vous expliquer concrètement quelles sont les étapes que vous avez accomplies ensemble ?
Une condition importante était que toutes les personnes concernées, y compris la direction, soient impliquées dès le début et que nous puissions compter sur leur soutien. Concernant la procédure : les besoins en matière de sensibilisation variaient en fonction de l’environnement de travail des collaborateurs. La situation de départ dans la comptabilité n’est pas la même que dans la production qui utilise des ordinateurs pour faire marcher les machines. Il faut également prendre en considération le travail en équipe. Nous avons donc développé un concept qui comprenait un calendrier, ce qui nous a permis de contacter les quelque 200 collaborateurs en fonction de leur tâche sans devoir interrompre la production.
En quoi cela a-t-il consisté ?
Nous avons effectué trois modules :
- Dans le module de base, il s’agissait d’informer chaque collaborateur. Pour cela, nous avons donné une introduction de base sur les thèmes de la cybersécurité, des vulnérabilités potentielles et la manière dont les collaborateurs doivent réagir en cas de soupçon.
- Le deuxième module était consacré à la sécurité au niveau du travail délégué, par exemple les déplacements professionnels, les visites de salons ou le travail à domicile. Nous avons expliqué les risques liés aux appareils emportés et défini la manière de sécuriser au maximum l’accès aux données à l’étranger.
- Le troisième module était consacré à la technique et s’adressait aux ingénieurs et techniciens qui travaillent avec des machines et les logiciels correspondants.
Quelle a été la méthode avec laquelle vous avez effectué le travail de sensibilisation ?
Le nombre de participants était relativement élevé. Par conséquent et après leur avoir donné des informations détaillées, nous les avons laissés travailler de manière autonome sur des thèmes en groupes. Ensuite, ils ont présenté leurs conclusions en plénum. Il a ainsi été possible de transférer des connaissances dans un laps de temps raisonnable. Finalement, il est important de pouvoir mesurer le succès. Avant de transmettre les connaissances, nous avons réalisé un petit sondage et avons laissé les collaborateurs résoudre un quiz. Pour terminer la séance, nous avons organisé un nouveau sondage à l’aide d’une échelle traditionnelle pour savoir si les enseignements peuvent être appliqués dans le quotidien. De plus, PB Swiss Tools nous a informés que les collaborateurs contactent désormais plus souvent le service informatique lorsque quelque chose leur semble suspect.
Est-ce que d’autres entreprises industrielles peuvent profiter de l’expérience acquise dans le cadre de ce projet pilote ?
Oui, il est important que tout le secteur profite et ces enseignements. Dans une certaine mesure, de nombreuses entreprises industrielles doivent relever des défis semblables.
Nous avons l’intention d’établir une graduation. C’est pourquoi nous souhaitons collaborer davantage avec des associations comme Swissmem et diffuser les connaissances de manière spécifique aux différents secteurs. Les compétences du NCSC résident dans la méthodologie de planification et de mise en œuvre des mesures de sensibilisation ainsi que dans ses connaissances approfondies des menaces qui subsistent et dans l’échange permanent d’informations avec d’autres acteurs. Cette circonstance permet notamment de détecter très tôt les tendances liées aux cyberattaques. Grâce aux informations d’actualité que nous recevons régulièrement sur un domaine très dynamique, nous sommes en mesure de créer une valeur ajoutée pour les entreprises.
Pour terminer, avez-vous des conseils Ă donner aux entreprises ?
- Il ne suffit pas de confier la responsabilité de la cybersécurité uniquement au responsable de l’informatique. Les entreprises devraient se pencher régulièrement sur le sujet et en faire une priorité.
- Il existe quelques mesures fondamentales qui sont relativement faciles à mettre en œuvre. Par exemple adapter régulièrement les systèmes afin de corriger les points vulnérables et effectuer régulièrement des sauvegardes.
- Chaque entreprise devrait déjà réfléchir à la manière dont elle entend réagir en cas d’urgence. Cela permet de savoir rapidement si l’entreprise est capable de réagir en cas de crise. Il est impératif d’avoir un plan d’urgence, un concept de communication de crise, une organisation de crise et de mettre en place un contact d’urgence.
- Un comportement prudent de tous les collaborateurs contribue fortement à diminuer les risques de cyberattaques. Il est donc important d’informer les collaborateurs sur les risques et de leur proposer de l’assistance si nécessaire.
Le Centre national pour la cybersécurité (NCSC) est le centre de compétence de la Confédération en matière de cybersécurité et donc le premier point de contact pour l’économie, l’administration, les institutions de formation et la population en ce qui concerne la cybersécurité. Le site Internet du NCSC fournit des informations complètes sur les cybermenaces actuelles ainsi que des recommandations et des instructions en cas de dommage pour différents groupes cibles, notamment les entreprises. En outre, vous avez la possibilité de déclarer au NCSC des incidents liés aux cyberattaques par l’intermédiaire d’un formulaire en ligne.
https://www.ncsc.admin.ch