Économie de la scène de crime

Les experts sont d'accord : la cybersécurité doit être massivement améliorée à de nombreux égards. Rien qu'en Suisse, il existe des milliers de systèmes vulnérables connus - allant des machines commandées à distance avec des interfaces ouvertes aux fournisseurs de services financiers qui n'ont pas équipé leurs systèmes d'exploitation des dernières mises à jour de sécurité. Nicolas Mayencourt de Dreamlab Technologies AG l'a déjà souligné lors des Journées suisses de la cybersécurité, qui se sont déroulées les 27 et 28 février à Fre- burg. Lors de la Journée suisse de la qualité, il parlera de la sécurité informatique au niveau mondial et local. Et il peut fournir des chiffres impressionnants : "Les dix premières sociétés Internet réalisent 500 milliards de dollars de bénéfices par an. Les profits du narcotrafic sont estimés à 750 milliards de dollars US par an. La cybercriminalité "rapporte" 1500 milliards, soit trois fois plus que ces entreprises Internet avec tous leurs beaux produits". En bref : la cybercriminalité est effectivement un facteur économique, bien que du "mauvais côté".

Un crime bien organisé
Nicolas Mayencourt est en fait un hacker. Il, ou plutôt sa société Dreamlab Technologies AG, pénètre les systèmes informatiques étrangers. Cependant, Nicolas Mayencourt incarne le "bon côté" et teste les systèmes pour leur sécurité avec ses hacks. Et cette sécurité n'est pas la même partout. Mais qui sont les personnes qui exploitent ces lacunes en matière de sécurité pour des activités criminelles ? Que cherchent-ils ? "Généralement de l'argent", dit Nicolas Mayencourt. Il fait la distinction entre différents types de cybercriminels. Tout d'abord, il y a le cyber-activiste. "Il développe des activités criminelles pour des motifs divers. Il s'agit notamment de ce que l'on appelle la "défiguration du web", c'est-à-dire la modification non autorisée de sites web, par exemple avec des messages politiques pertinents. C'est ce que nous avons vécu lors de la préparation de l'initiative sur les minarets ou en 2017, par exemple". C'est tout à fait différent pour ceux qui se contentent de pirater les systèmes informatiques d'autres personnes et de les scanner à la recherche d'informations utilisables. Avec de telles informations - données de cartes de crédit, identités internet, adresses IP "ouvertes", fuites de profils de médias sociaux et autres - les réseaux de type mafieux gagnent beaucoup d'argent sur le darknet, par exemple.

"Ces organisations sont très professionnelles et dotées des meilleures compétences en matière de qualité et de résilience", sait Nicolas Mayencourt. "On pourrait aussi apprendre d'eux."

Petite cause, grands dégâts
L'expert en cybersécurité qualifie de "perpétuels" le phishing et les escroqueries de toutes sortes : "Les auteurs sont de plus en plus sophistiqués. Ils peuvent utiliser des profils de médias sociaux ayant fait l'objet d'une fuite pour se faire passer pour un PDG, par exemple, imiter son choix de mots et obtenir ainsi qu'un directeur financier transfère rapidement un million d'euros à un certain endroit", explique Nicolas Mayencourt, en décrivant un scénario de plus en plus courant. Et les PME sont souvent touchées par cette situation. Ils sont victimes d'une approche parfois trop peu chalante des informations personnelles sur Internet. Mais on peut aussi contracter une infection "stupide" par accident, comme ce fut le cas pour le groupe logistique Maersk en 2017 : le virus informatique "Notpetya" a entraîné une perte totale de données. L'entreprise était complètement paralysée. Avec l'aide des clients - qui dépendaient des livraisons - chaque conteneur individuel a dû être réattribué correctement à la main et sous forme analogique. "En trois mois, Maersk a dû investir 250 millions d'euros dans la seule gestion des dommages. Et il s'agissait juste de remettre l'informatique en marche, rien de plus", explique M. Mayencourt. Une raison suffisante pour que le PDG de Maersk rende publique cette affaire et en fasse la démonstration : Réveillez-vous, cela pourrait arriver à n'importe quelle entreprise, alors investissez davantage dans la cybersécurité !

La cybersécurité est un avantage concurrentiel
Un appel que Nicolas Mayencourt ne saurait assez répéter : La sécurité informatique ne doit plus être considérée comme un simple facteur de coût, mais comme un investissement dans un avantage concurrentiel. "Bien sûr, les gens n'aiment pas voir quelque chose qui coûte 1000 francs de plus juste pour le rendre vraiment sûr. Mais la qualité en matière de sécurité est aussi un avantage concurrentiel". L'État, les médias et l'économie ont le devoir de sensibiliser à la cybersécurité. Il prévient : "Nous sommes en plein dans l'ère numérique, la 5G est sur le point d'être introduite, rien ne fonctionnera plus sans le monde numérique. Et si ce monde numérique n'est pas sûr, il s'effondrera". La Suisse serait donc bien avisée de ne pas mettre en péril sa réputation de qualité en matière de cybersécurité.

Nicolas Mayencourt en conversation
En Suisse, la responsabilité personnelle est écrite en grand. Mais vos exemples d'absence de cybersécurité montrent que le chemin de la négligence n'est pas loin et que le risque pour l'ensemble de l'économie est considérable. Qu'est-ce que cela signifierait si l'État devait "ordonner" certaines mesures qui devraient en fait relever de la responsabilité personnelle ?

Nicolas MayencourtLa cybernétique ne s'arrête pas aux frontières cantonales. Il n'est pas non plus important de savoir si vous êtes un civil ou un militaire. Notre protection des données est très bien développée, presque l'étalon-or, et la séparation des pouvoirs fonctionne également très bien. Nous avons un système politique très stable. Mais le fait est que la cybernétique remet en question ces concepts de base. Nous ne devons pas permettre que cela se produise. En d'autres termes, nous devons partager davantage d'informations entre nous et nous devons établir des normes communes. Si cette

Le "faire" peut être délégué, la responsabilité ne peut pas l'être".

Qu'elle vienne par décret d'en haut ou d'en bas est d'une importance secondaire. Le cyberespace nous relie tous. Si nous n'avons pas tous le même niveau et ne nous aidons pas les uns les autres, alors toute mesure sera inutile. Si, par exemple, j'ai un niveau de sécurité élevé dans mon entreprise, mais que l'approvisionnement en électricité dans notre canton est défaillant, alors cette sécurité ne m'est plus d'aucune utilité. Nous devrions donc lancer un débat public sur la manière dont nous pouvons continuer à maintenir notre séparation des pouvoirs, tout en partageant certaines informations, y compris avec le monde des affaires, et en autorisant la circulation des informations - dans les deux sens. Il s'agit de savoir comment atteindre un niveau de sécurité commun.

Il s'agit donc de l'échange d'informations, du transfert de données également. Vous avez mentionné notre protection des données bien développée. Mais nous nous gênons mutuellement, n'est-ce pas ?
C'est vrai, c'est une contradiction. Nous n'allons pas nous contenter de définir certaines exceptions et règles qui sont en contradiction avec la protection des données - pour certains usages.

En d'autres termes, il s'agit de peser les avantages : que faut-il privilégier : la protection des données ou la sécurité ?
C'est là le grand défi.

Si vous regardez la "carte des risques" d'une PME moyenne, par exemple, de quelles directions le plus grand danger menace-t-il ?
Les rançons, les attaques de phishing et les tromperies ne cesseront pas. Cependant, avec la progression de la numérisation, les effets deviennent de plus en plus fatals. La probabilité de contracter accidentellement une infection augmente.

Ainsi, se cacher derrière des programmes antivirus et des pare-feu fonctionnera de moins en moins longtemps ...
... qui n'a jamais fonctionné à 100% et ne fonctionnera jamais. Vous venez de décrire le concept de sécurité de première génération que nous pratiquons depuis 1994. Nous avons maintenant atteint la quatrième génération. Les gens jouent un rôle très important. Toutes les PME devraient maintenant se réveiller et être sensibilisées, en commençant par le conseil d'administration jusqu'à l'employé ordinaire. Tout le monde doit développer une cyber-sensibilisation. Sinon, vous serez tout simplement victime de la fraude ou du phishing des PDG. Il n'y a toujours pas assez de réponses ou de produits efficaces dans l'industrie qui nous permettent de cesser de penser par nous-mêmes.

Mais il me semble que cette prise de conscience n'est pas encore présente partout. Les questions de cybersécurité sont simplement déléguées au département informatique ou au fournisseur d'accès Internet ...
Bien sûr, cela ne fonctionne pas de cette façon. "Faire" peut être délégué, mais pas la responsabilité. Je ne comprends pas pourquoi notre société n'a pas encore fait de progrès. Nous disposons de technologies fantastiques. Mais depuis 30 ans, nous appliquons ces technologies dans les domaines les plus sensibles, sans tenir compte de ce que nous faisons réellement. Si cela suffit, "verhebt's", pour le mettre en suisse allemand. Maintenant que la technologie est là, elle ne peut plus être retirée. Mais il serait sage de la rendre plus sûre. En fin de compte, la sécurité est une question de survie, qu'elle soit économique ou absolue.

Comment la gestion des risques doit-elle être structurée ?
Formation, sensibilisation, contrôle. En fait, il n'y a plus de menace "extérieure" ou "intérieure". Les frontières deviennent floues. Si j'ai une infection sur mon smartphone privé et que je vais dans l'entreprise avec, alors "dehors" est la même chose que "dedans". Dans un plan de protection, il est donc important de considérer l'"intérieur" comme l'"extérieur" et d'agir en conséquence. Les profils de risque doivent être zonés de manière à ce que les transitions entre les zones puissent être surveillées. Un système de protection distingue également les rôles. Il ne s'agit en fait de rien d'autre qu'une organisation professionnelle qui est également adaptée au cyber secteur. C'est là que nous sommes en retard sur la réalité. Tout ce que nous avons déjà bien fait dans le monde réel, nous ne l'appliquons pas assez dans le monde cybernétique. Ce serait en fait si simple : si je représente aussi techniquement mon organigramme avec des zones de sécurité, alors j'ai déjà une grande longueur d'avance. Le fait qu'un assistant marketing ne devrait pas avoir accès aux transactions financières est logique dans le "monde analogique", mais devrait également aller de soi dans le monde cybernétique. Le meilleur scénario est de se concentrer sur la qualité et la sécurité en ralentissant un peu, c'est-à-dire en prenant une année ou deux de plus pour faire quelque chose et en le faisant correctement jusqu'à ce qu'il soit stable et sûr et qu'il nous apporte les avantages que nous attendons sans dommages collatéraux. Les recettes sont pour la plupart connues.