swissVR Monitor : Comment l’importance de la cyberrésilience a-t-elle évolué pour les entreprises au cours des dernières années ? Et comment évaluez-vous le niveau général de menace en 2023 ?
Florian Schütz : La sensibilisation aux questions de cybersécurité s’est accrue ces dernières années et de nombreuses entreprises sont conscientes des cyberrisques. Il existe toutefois de grandes disparités entre les entreprises : certaines prennent la cybersécurité très au sérieux et mettent en œuvre les mesures de protection nécessaires alors que d’autres ne s’en préoccupent guère.
Le nombre de cyberincidents signalés au NCSC a atteint aujourd’hui un niveau élevé, avec une moyenne d’environ 700 signalements par semaine. Cette hausse est, selon nous, en partie liée à une plus grande sensibilisation de la population. Mais nous constatons également une légère augmentation du nombre de cyberattaques. Actuellement, les signalements d’escroqueries sont particulièrement fréquents. Ainsi, les courriels de pseudo-extorsion prétendument envoyés par des autorités et contenant des menaces de poursuite pénale (fake extortion e-mails), représentent environ un tiers des signalements reçus par le NCSC.
Le NCSC a également observé une légère augmentation du nombre d’attaques par ransomware au cours des dernières semaines. Un redoublement est à craindre à l’avenir. Cela s’explique notamment par le fait que la guerre en Ukraine a provoqué un certain ralentissement des attaques par ransomware car certains groupes de hackeurs se sont engagés dans la guerre et n’ont ainsi plus eu de temps à consacrer aux tentatives de chantage à l’étranger. Mais les attaques par ransomware devraient désormais regagner en intensité, car ces groupes auront très probablement besoin de générer de nouvelles ressources financières.
swissVR Monitor : La cyberrésilience des petites et moyennes entreprises (PME) est moins médiatisée. Les PME sont-elles moins souvent visées par des cyberattaques ?
Florian Schütz : En principe, toutes les entreprises sont menacées, quels que soient leur taille et leur secteur d’activité.
Toutefois, de nombreuses PME sont confrontées au problème suivant : en raison de leurs moyens financiers et humains restreints, le savoir-faire et l’infrastructure nécessaires en matière de cybersécurité sont très limités, voire inexistants.
Par ailleurs, les pirates informatiques effectuent, eux aussi, des calculs coûts-bénéfices. Ils veulent obtenir le maximum avec le moins d’efforts possible. Ainsi, les PME sont plutôt dans la ligne de mire des pirates, car les attaques contre les infrastructures informatiques complexes des grandes entreprises nécessitent souvent des dépenses plus importantes de la part des pirates.
En outre, de nombreuses PME décident de ne pas communiquer publiquement après une cyberattaque. Les craintes de voir leur réputation ternie jouent souvent un rôle important. Les entreprises de plus grande taille ont modifié leur façon de voir les choses à ce propos. Récemment, certaines d’entre elles ont rendu leurs affaires publiques et les médias se sont emparés du sujet.
swissVR Monitor : Quelles mesures recommandez-vous aux entreprises qui souhaitent développer ou renforcer leur cyberrésilience ?
Florian Schütz : La cybersécurité est une affaire de chefs ! Elle doit être abordée au niveau de la direction et chaque entreprise doit adopter une politique de gestion des cyberrisques. Les éventuels risques résiduels doivent être signalés à la direction. La direction de l’entreprise doit connaître les risques résiduels et les consigner par écrit. Le financement des principales mesures doit être défini et leur mise en œuvre assurée.
Les investissements nécessaires à cet effet semblent conséquents. Mais toutes les mesures ne doivent pas être mises en œuvre en même temps. Il est important d’établir des priorités. La priorité numéro un est le maintien des systèmes à jour. La plupart des attaques par ransomware réussies exploitent des failles connues pour lesquelles des mesures correctives existent déjà.
Hormis les mesures techniques de protection élémentaire, la création de sauvegardes et l’installation de mises à jour, ainsi que la sensibilisation des collaborateurs jouent également un rôle important. En effet, souvent, les cyberattaques ne visent pas l’infrastructure dans un premier temps mais s’adressent à une personne travaillant pour l’entreprise. Au moyen de procédés d’« ingénierie sociale », les collaborateurs sont incités, par exemple, à ouvrir une pièce jointe à un courriel malveillant ou à divulguer un mot de passe.
swissVR Monitor : Dans quelle mesure la Confédération et plus précisément le Centre national pour la cybersécurité (NCSC) soutiennent-ils les entreprises en matière de cyberrésilience ?
Florian Schütz : Sur son site web, le NCSC met à disposition de nombreuses directives et listes de contrôle expliquant comment se protéger contre les cyberattaques et réagir en cas d’attaque effective. Par ailleurs, le NCSC publie régulièrement des informations notamment sur les nouvelles formes d’attaques et les failles de sécurité par le biais de ses canaux comme son site web et LinkedIn.
La campagne nationale de sensibilisation S-U-P-E-R, que la Confédération mène avec divers partenaires, reprend les cinq thèmes « Sauvegarder », « Utiliser ses mises à jour », « Protéger », « Équiper ses accès d’un mot de passe fort » et « Réduire ». Elle fournit de nombreux conseils sur la manière de se protéger contre les cybermenaces.
swissVR Monitor : La nouvelle loi sur la protection des données entrera en vigueur le 1er septembre 2023 sans période transitoire. Qu’est-ce qui va changer pour les entreprises en matière de cyberrésilience ?
Florian Schütz : La nouvelle loi sur la protection des données assurera l’adéquation entre la législation suisse et le droit européen. C’est important pour que l’UE continue à considérer la Suisse comme un État tiers disposant d’un niveau conforme de protection des données et pour que les flux transfrontaliers de données restent possibles à l’avenir sans exigences supplémentaires. Cette évolution est cruciale pour la Suisse si elle veut conserver sa position sur le marché et sa compétitivité.
Florian Schütz
Délégué fédéral à la cybersécurité et directeur du Centre national pour la cybersécurité (NCSC) ; futur directeur de l’Office fédéral de la cybersécurité à compter du 1er janvier 2024
Florian Schütz, délégué fédéral à la cybersécurité, est responsable de la mise en œuvre de la stratégie nationale de protection de la Suisse contre les cyberrisques et de la coordination de toutes les cyberactivités de l’administration fédérale. Il joue le rôle d’interlocuteur auprès des cantons, des entreprises et des universités sur les questions cybernétiques et préside le centre de compétences de la Confédération, le Centre national pour la cybersécurité (NCSC). Florian Schütz est titulaire d’un master en informatique et d’un master of advanced studies en politique de sécurité et gestion de crise de l’EPF de Zurich. Il a plus de dix ans d’expérience en tant que dirigeant dans le domaine de la sécurité informatique dans le secteur privé.