Édito (3/2019)

Piratage informatique: impréparation, honte et dissimulation !

Quarante-cinq milliards de dollars ! Cette somme astronomique représente le coût du piratage informatique dans le monde tel qu’il a été évalué pour 2018 par l’Alliance pour la confiance en ligne de la société Internet. À eux seuls, selon ce calcul, les rançongiciels auraient couté la bagatelle de 8 milliards de dollars. Ce type d’attaque est très en vogue. Il consiste, grâce à des logiciels malveillants, à bloquer les données sensibles, par exemple d’une entreprise, et de ne les restituer à leur propriétaire qu’après le paiement d’une rançon.

Les grands groupes, les PME ainsi que les collectivités locales suisses ne sont évidemment pas épargnés. On estime à près de 80 % celles et ceux qui ont été au moins une fois la cible d’une tentative réussie ou ratée. Mais la vérité est que personne n’en sait rien faute de chiffres fiables. Pourquoi ? Tout simplement parce que les victimes, dans leur majorité, ne se déclarent pas et se cachent dans la crainte d’un dégât d’image; à fortiori lorsqu’elles ont cédé au chantage, ce qui arriverait plus souvent qu’on ne le croit.

L’entreprise lucernoise Meier Tobler, active dans le bâtiment, compte parmi les exceptions. Elle n’a pas eu peur de révéler les conséquences de l’attaque dont elle a été la cible en juillet dernier: le travail a été interrompu pendant des jours, ce qui entraînera une perte de chiffre d’affaire de quelque 5 millions de francs. Quant aux coûts liés à la cyberattaque, ils devraient, selon son porte-parole, peser jusqu’à 2 millions dans les résultats annuels. On ose à peine imaginer les dommages inavoués du piratage à l’échelle du pays !

La honte et la dissimulation révèlent souvent une capitulation face aux attaques en raison d’une défense minimaliste, voire d’une impréparation, peut-être par souci d’économie ou niaisement pour avoir sous-estimé le risque. Combien de PME, combien d’hôpitaux, d’instituts ou de centre d’excellence ont-ils été attentifs aux mises en garde réitérées de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) depuis le début de cette année ? Combien ont suivi ses consignes préventives, accessibles sur la Toile ? Combien lui ont-elles annoncé les attaques pour lui permettre de mettre à jour la réplique, de coordonner la défense collective et tenir à jour ses statistiques ?

La menace du piratage doit être gérée comme le risque d’incendie: un arsenal préventif adapté et professionnel, de la prudence avec les outils potentiellement à risque, une bonne assurance (beaucoup savent agir en cas, par exemple, de demande de rançon) puis, en cas de feu, l’appel aux pompiers du numérique et non aux pyromanes; sans oublier une déclaration de sinistre en bonne et due forme. Il paraît que le Conseil fédéral, tôt ou tard, finira par la rendre obligatoire.

Dans le fond, c’est aussi «simple» que ça !

 

Par Georges Pop