Parce qu’on est de plus en plus connecté. C’est du pain bénit pour les hackers. Aujourd’hui, même les personnes âgées ont un téléphone ! On est de plus en plus dépendant de la technologie. Ce n’est pas nouveau, mais la pandémie a accéléré les choses.

Les entreprises ont profité des avantages de la transformation numérique, c’était super : la rapidité, l’interconnexion, la communication… mais sans se rendre compte qu’ils allaient devoir faire de leur cybersécurité une priorité. Quand on voit le nombre d’entreprises victimes de cyberattaques, pour moi, dans ce domaine, la Suisse a un train de retard.

Je pense que la plupart des personnes n’ont pas encore compris que le profil des hackers a changé. Ce ne sont plus juste des geeks qui ont du talent. C’est devenu une industrie, avec des bandes organisées avec d’importants moyens financiers. Ils sont soutenus par des entreprises et même des États !

Ils se sont professionnalisés et utilisent eux aussi les nouvelles technologies (intelligence artificielle, internet des objets) à leur avantage. Vous avez sûrement déjà entendu parler des ransomwares ?

Et bien on a maintenant des groupes de cybercriminels professionnels qui ciblent les entreprises capables de payer d’importantes rançons. On appelle ces attaques des « Big Game Hunting », la chasse au gros gibier, ça veut tout dire ! Et puis, lorsque l’on sait qu’on peut même embaucher des entreprises pour hacker des concurrents… la menace est réelle.

Il y en aurait à plusieurs niveaux. Tout d’abord, je pense tout de suite aux sociétés spécialisées dans le e-commerce, mais aussi celles de trading et les banques. Il y aurait également les administrations et les sociétés étatiques qui possèdent des données sensibles.

On ne le répétera jamais assez, il est important d’avoir la maitrise de ses données, de connaître leur emplacement et de les répliquer le plus possible dans des environnements sécurisés. Sans oublier de sécuriser les liens entre ces différentes sauvegardes.

Enfin, d’une manière générale, les entreprises seraient des cibles de choix en cas de pandémie numérique. Il faut imaginer que les virus informatiques sont comme le covid : ils se promènent au hasard. S’ils trouvent une porte d’entrée, ils s’y engouffrent.

Le fait que vous soyez une petite entreprise sans donnée sensible ne vous protègera pas. Et comme je le disais, en Suisse plus qu’ailleurs, on manque de protections, de connaissances et de bonnes pratiques en matière de cybersécurité.

On imagine toujours que ce sont les autres qui seront touchés. Et c’est malheureusement encore plus le cas quand on considère son entreprise comme trop petite et inintéressante pour les hackers.

Alors, sachez que les hackers sont très ouverts, ils ne font aucune discrimination ! Surtout que nous le voyons dans notre pratique, les PME sont souvent des cibles plutôt attractives : assez grandes pour être intéressantes, mais avec souvent un budget bien plus petit que les grandes entreprises.

Il faut vraiment voir la cybercriminalité comme une industrie. On peut alors imaginer que comme dans toute industrie, chaque entreprise cybercriminelle aura sa « clientèle cible ». Vous serez forcément le client de quelqu’un.

Je pense qu’il faut arrêter de se demander si on sera victime d’une attaque. Je peux vous répondre : oui, vous le serez. C’est une responsabilité de chacun de se protéger, pour son entreprise, mais aussi pour ses clients.

J’espère que les gens prendront conscience qu’il est important d’héberger leurs données dans leur pays. Si je prends l’exemple d’e-novinfo, en cas de problème, nous pouvons accéder à nos données relativement rapidement. Nous avons également un plan de reconduite d’activité bien ficelé qui nous garantit une paralysie minimale de l’entreprise.

S’il devait y avoir une véritable pandémie numérique, je pense que ce serait une prise de conscience pour beaucoup. Après cela, posséder un plan de reconduite d’activité sera peut-être aussi naturel (et obligatoire) qu’avoir un plan d’évacuation en cas d’incendie.

Il est difficile de répondre à cette question, car c’est une situation hypothétique avec un virus fictif. Mais pour moi mieux vaut prévenir : il faut commencer par maitriser toute la chaine de valeurs et éviter d’avoir vos données hébergées à l’étranger.

Mon deuxième conseil peut paraître étrange, mais variez les technologies, en particulier celles pour la communication. En fait, c’est pragmatique : imaginez qu’en cas de problème informatique, vous ne puissiez même pas communiquer pour le résoudre ? Il faut vraiment imaginer tous les scénarios possibles.

Du point de vue humain, il faut éduquer le Suisse. L’informatique et le digital ont pris une place très importante dans notre vie. Les bonnes pratiques devraient être connues de tous et être abordées dès l’école.

Du point de vue technologique, j’aimerais vraiment faire un appel aux PME et en particulier aux sociétés familiales : renseignez-vous. Auprès de nous ou de nos confrères, peu importe, il est vital que vous preniez vos précautions.

L’assurance n’intervient, par définition, qu’après l’attaque. Elle peut donc être complémentaire à d’autres mesures de sécurité mais elle n’empêche pas l’attaque de se produire. C’est pour cette raison que, personnellement, je conseille en priorité d’investir dans des solutions de sécurité, afin d’éviter un maximum d’attaques et leurs conséquences.

L’assurance vous protègera des pertes financières, mais vous allez perdre des clients et votre réputation en prendra un coup. Sans compter une éventuelle perte de données ou des données divulguées au public… donc une assurance pourquoi pas mais, à mes yeux, elle est un complément aux mesures de sécurité. Elle ne les remplace pas.

En ce qui concerne les mesures de sécurité, voici ce que je dis à tout le monde, clients, proches, peu importe : vous souhaitez investir dans la sécurité de votre entreprise, c’est très bien. Il vous faut créer un plan de reprise d’activité au sens large (PRA).
On ne parle pas uniquement d’informatique, je ne vous dis pas d’appeler e-novinfo. C’est une réflexion globale de l’entreprise. Mettez-vous autour d’une table, tous les départements, et envisagez le pire. Cela vous permettra de lister les points vitaux de votre entreprise et de réfléchir aux manières de les protéger.

C’est exactement comme quelqu’un qui souhaite rester en bonne santé pour qu’en cas de maladie, il s’en sorte avec le moins de dommage possible. Vous listez vos organes vitaux et ensuite vous établissez une manière d’éviter un maximum les maladies : manger sainement, avoir une bonne hygiène de vie, éviter les produits chimiques… sans oublier de faire des check-up réguliers. Cela vous permet de vérifier qu’aucune maladie n’est en train d’agir sans que vous vous en rendiez compte.

Pour en revenir à l’assurance, dans cette métaphore, l’assurance serait un médicament. Elle agit après la maladie. On voit bien qu’avoir une bonne hygiène de vie n’empêche pas la prise de médicament et inversément. Sécurité et assurance protègent donc de manière complémentaire.