«Détenir des données devient une responsabilité»

Avez-vous des cas concrets d’attaques informatiques et les coûts qu’elles ont générés?

Raoul Diez: Les études au niveau mondial estiment le coût d’une attaque à environ 2 millions de dollars. Dans le détail, cela va dépendre du type d’attaque et de la taille de l’entreprise. J’ai effectué un bilan des cyberattaques de ces 20 dernières années. Je me suis aperçu que la Suisse est encore relativement peu touchée. Les pays les plus concernés (entre attaquants et attaqués) sont la Russie, les Etats-Unis, la Chine et l’Inde.

Et en Suisse?

Eduardo Geraldi: J’estime qu’une entreprise sur deux a déjà subi un dommage. La grande majorité de ces attaques sont des cryptages de données, via des ransomware. Pour une PME suisse, cela représente un dommage de 80 à 125’000 francs.

Une entreprise sur deux! Cela paraît énorme!

Eduardo Geraldi: Oui, c’est assez important. Cela dit, quand vous posez la question lors d’un événement public, personne ne lève la main. Ce n’est qu’au moment du cocktail que les langues se délient. Mais ce chiffre de 50% est assez juste. Et nous ne parlons que des attaques visibles. Il existe aussi plusieurs failles qui n’ont pas encore été détectées. Je pense notamment à l’exfiltration de données dans le secteur bancaire.

La majorité des attaques sont des ransomware?

Eduardo Geraldi: Oui, pour les attaques visibles, car il y a un intérêt économique à se faire rapidement de l’argent. Ces attaques arrivent en principe par le biais du phishing.

Séverine Lafont: Au-delà du coût financier, il faut mentionner le coût énorme en termes de réputation. Raison pour laquelle les entreprises n’en parlent pas.

Michel Jaccard: Et il faut distinguer entre les coûts directs et indirects. En Suisse, les coûts directs s’élèvent rapidement à plusieurs dizaines de milliers de francs, même pour des attaques de petite envergure. Ces coûts recouvrent les actions à mettre en place en urgence, souvent via des prestataires externes: les avocats, les experts informatiques ou les experts en relations publiques. Puis il faut mener des analyses forensiques pour comprendre ce qu’il s’est passé. Pas forcément pour trouver des responsables, mais plutôt pour identifier la faille et la corriger. A cela, il faut ajouter les coûts de dédoublement des équipes pour réparer le dommage subi et assurer la remise à niveau des opérations. Pour les coûts indirects, la perte de productivité peut être énorme. Cela dépend des industries et si les outils opérationnels ont été touchés. Cela dit, ces pertes de revenus sont beaucoup plus difficiles à faire valoir au niveau juridique.

Comment évaluer le dommage réputationnel?

Michel Jaccard: Il est clairement le plus important. A noter qu’il dénote souvent une absence de préparation. Je constate énormément d’erreurs de communication de la part des victimes de cyberattaques. Leur premier réflexe sera souvent de ne rien dire, mis à part à certains clients et fournisseurs. Mais comme tout finit par se savoir, cette stratégie est à double tranchant.

Les failles sont souvent humaines alors que les entreprises investissent énormément dans l’infrastructure IT pour se protéger. Comment évaluer la part de cette responsabilité humaine?

Eduardo Geraldi: C’est souvent une vulnérabilité technique qui est exploitée. Les failles humaines sont utilisées comme des portes d’entrée. Les attaques purement technologiques sont rares. Les équipements IT sont devenus très robustes, mais c’est lors de la configuration que l’humain (IT) introduit des failles dans les systèmes.

Quel est le pourcentage des failles humaines dans ces dispositifs de protection?

Eduardo Geraldi: Pour les ransomeware, c’est la grande majorité. Ce chiffre baisse pour tout ce qui concerne l’espionnage économique.

Séverine Lafont: Il faut également nuancer les différents types de comportement humain. Parfois, c’est un comportement déviant, donc un complice de la fraude. Parfois, c’est simplement de l’ignorance, de la maladresse. Et parfois, les hackers manipulent les collaborateurs pour obtenir des informations.

Quel genre de manipulation?

Séverine Lafont: Je pense au cas très courant connu sous le nom d’«arnaque du président».

Raoul Diez: Oui. C’est une arnaque classique. J’ai connu le cas d’entreprise qui s’est faite défalquer un million de francs... Les escrocs étudient l’organigramme et utilisent cette connaissance pour manipuler le service comptable en se faisant passer pour un dirigeant de la société.

Michel Jaccard: Précisons aussi que ce ne sont pas toujours les travailleurs temporaires ou les collaborateurs en bas de l’échelle hiérarchique qui sont les populations les plus à risque. J’ai le souvenir d’une opération de phishing – qui était en réalité une simulation – où tous les collaborateurs ont reçu un e-mail leur promettant un iPad s’ils cliquaient sur le lien. Résultats: les employés les moins formés et les moins impliqués sont tombés dans le piège à hauteur de 30%. Et plus on montait dans la hiérarchie, plus ce pourcentage augmentait! 40% de la direction a cliqué sur le lien...

Eduardo Geraldi: Quand nous effectuons des phishing pour simuler des attaques, lors des premiers envois, nous atteignons 70% de clics. Etonnamment, les équipes IT sont les plus vulnérables.

Quelles sont les autres menaces?

Raoul Diez: Elles sont multiples. A la FER Genève, nous recevons par exemple des factures de sociétés qui n’existent pas, pour des faux paiements. On nous envoie aussi des (fausses) demandes de changements de bulletins de versement, de salaire ou de loyer par exemple. Nous procédons donc systématiquement à des vérifications.

Séverine Lafont, vous avez vécu de près les conséquences de l’affaire Falciani puisque vous étiez DRH à la banque HSBC en Suisse dès 2013. Pour mémoire, l’informaticien Hervé Falciani a livré en 2008 plus de 130’000 comptes bancaires au fisc français. Quels apprentissages RH la banque a-t-elle tiré de cette affaire?

Séverine Lafont: Depuis cette affaire, HSBC est probablement la banque qui est allé le plus vite, le plus loin et le plus fort dans la mise en place de contrôles et la prévention des cyberattaques.

Et en termes RH?

Séverine Lafont: Je n’ai pas participé directement à la remédiation de l’affaire Falciani, par contre j’ai contribué au remodelage de la culture d’entreprise qui a suivi. Je dirais d’abord que les RH ne peuvent pas à eux seuls changer les mentalités. Cela doit passer par une alliance de toutes les fonctions de contrôle: juridique, risque, compliance, RH et Comité Exécutif. C’est la direction générale qui doit donner le ton. Ensemble, les fonctions Contrôle établissent une cartographie des risques afin de monitorer les collaborateurs en fonction des risques. Concrètement, tous les e-mails envoyés à une adresse externe sont contrôlés, grâce à des outils sophistiqués qui opèrent par mots clés et qui contrôlent les pièces jointes. La banque observe aussi les comportements compulsifs d’impression de documents et la présence dans les bureaux à des heures inhabituelles. L’enjeu est d’être dans la transversalité. Car c’est en croisant les différents types d’informations qu’on identifie les comportements anormaux et donc de possibles suspects.

Michel Jaccard: Si je comprends bien, votre effort a été concentré sur les employés. Mais contrôlez-vous également les fournisseurs?

Séverine Lafont: Oui, absolument. Nous avons mis en place les mêmes contrôles pour les externes, notamment les intérimaires et les consultants. A noter aussi que l’utilisation de clés USB a été supprimée. C’est d’ailleurs le cas dans de nombreuses entreprises aujourd’hui.

Michel Jaccard: Ces mesures sont très efficaces, mais elles peuvent aussi avoir l’effet d’encourager les gens à utiliser des moyens alternatifs. J’ai pu constater auprès de clients institutionnels que des employés utilisaient leurs mails privés pour contourner les mesures de sécurité. Je le vois aussi avec des directions générales.

Séverin Lafont: Chez HSBC, il n’y a aucune exception, même le directeur général est contrôlé et doit compléter ses e-learning obligatoires! En revanche, je pense qu’il faudra remettre l’humain au cœur du système et recommencer à faire confiance aux collaborateurs.

Quelle autre tâche incombe aux RH dans ce changement culturel?

Séverine Lafont: Il est très important de donner les bons identifiants aux bonnes personnes. C’est un travail énorme.

D’autres actions à entreprendre?

Eduardo Geraldi: Dans la phase de recrutement, le screening des candidats devient de plus en plus courant. Ces enquêtes vont bien au-delà de l’extrait du casier judiciaire et d’une attestation de non poursuite.

Séverine Lafont: Oui, absolument. Cela dit, dans certains pays – en France par exemple – vous n’avez pas le droit de ne pas engager quelqu’un parce qu’il ne paie pas ses dettes. Ce n’est pas le cas en Suisse.

Ce screening des candidats est-il en train de se généraliser?

Eduardo Geraldi: Oui, mais cela dépend des fonctions.

Michel Jaccard: Le problème du screening est qu’il représente la situation d’un collaborateur à un moment donné. Pour être conséquent, il faudrait le faire régulièrement et sur la durée. A mon avis, cette tendance du screening va dans le mauvais sens. Car on ne pourra jamais acheter la confiance et la loyauté d’un employé. Cela dit, pour certaines fonctions clés il est absolument nécessaire.

Raoul Diez: Une autre question sensible est la véracité des diplômes. Nous avons eu parfois des surprises à ce niveau. Cela dit, la formation des collaborateurs à l’entrée me semble la voie la plus judicieuse pour minimiser les risques. La loi ne protège pas les entreprises, c’est à elles de mettre en place des directives et des plans de formation pour se prémunir.

Michel Jaccard: Oui, c’est un élément essentiel du dispositif. Et ces formations doivent être mises à jour régulièrement et de façon répétée dans la durée. C’est un tellement bon investissement pour l’employeur par rapport aux investissements informatiques, qui sont nécessaires aussi bien sûr.

Pouvez-vous nous en dire un peu plus sur ces formations?

Raoul Diez: Chez nous, tous les collaborateurs suivent une formation d’une demi-journée à leur arrivée.

Eduardo Geraldi: Nous conseillons à nos clients de former les nouveaux employés avant leur premier jour de travail, par des modules en e-learning. Ensuite, nous mettons en place avec les RH un plan de formation global à toute l’entreprise. Ce plan dure au minimum 12 mois, avec différents cycles. Parmi les thèmes abordés: comment gérer les mots de passe, comment se comporter sur les réseaux sociaux, comment transférer des fichiers, comment se comporter en voyage, dans les aéroports... C’est vraiment une démarche continue dans la durée qui permet d’élever le niveau de maturité des collaborateurs.

Parlons de la protection des données. Les RH ont accès à des données très sensibles. Quelle serait leur responsabilité en cas de vol de données?

Michel Jaccard: Nous traitons actuellement une vingtaine de dossiers en lien avec le RGPD (Règlement général sur la protection des données, ndlr).

Cette réglementation européenne a été bénéfique dans le sens qu’elle a permis aux différents acteurs de l’entreprise de mieux comprendre l’importance des données personnelles.

En quoi est-elle si bénéfique?

Michel Jaccard: Car cela a forcé une discussion entre le juridique, les RH et l’IT. La nouveauté principale de cette réglementation à mon sens est le «privacy by design and by default». En clair, l’entreprise doit apprendre à travailler avec moins de données et se poser la question du caractère indispensable des données qu’elle entend traiter, avant de les récolter. L’esprit du RGPD est là, soit de limiter le nombre de données qui circulent et qui sont donc accessibles en cas d’attaque. Mais l’erreur du RGPD est d’avoir défini la «donnée personnelle» de façon tellement large qu’elle s’applique finalement à toutes les données de l’entreprise. On se retrouve donc à mettre en place un carcan très strict pour l’ensemble des données quand bien même elles ne méritent pas toutes ce statut.

En termes de cybersécurité, plus on limite le nombre de données à l’entrée, plus la possibilité de voler des données est limitée?

Michel Jaccard: Exactement. Les entreprises n’ont pas encore compris que détenir des données devient une responsabilité. Elles sont encore dans l’idée que les données sont nécessairement un actif, et leur récolte à tout va un avantage.

Si vous aviez un conseil à donner aux RH en termes de cybersécurité, lequel serait-il?

Raoul Diez: Concentrez-vous sur la formation des collaborateurs.

Eduardo Geraldi: Rendez la cybersécurité attractive. Et cette responsabilité n’incombe pas qu’aux informaticiens, elle devrait être partagée par l’ensemble de la direction.

Séverine Lafont: Gardez votre bon sens et gardez votre capacité à vous laisser surprendre. J’ai quelques fois l’impression qu’on construit des usines à gaz pour contrôler certaines choses alors qu’il y a des trous dans la raquette sur d’autres sujets majeurs.

Michel Jaccard: Partez du principe que l’employé a envie de faire juste. Le collaborateur est demandeur de formation et de compréhension des risques. Appuyez-vous sur ce désir de faire le juste, à tous les niveaux.