Swiss Cyber Security Days: les mesures que doivent prendre les PME pour leur sécurité IT

La quatrième édition des Swiss Cyber Security Days a eu lieu les 6 et 7 avril 2022. près de 2000 visiteurs au total se sont rendus au Forum Fribourg pour assister à plus de 130 exposés et discussions. Si la première journée était consacrée aux questions de sécurité globales importantes pour la Suisse, le seconde s’est focalisée sur la cybersécurité des PME.

Après une brève allocution de bienvenue de la conseillère nationale et présidente des SCSD Doris Fiala, la journée a débuté par un discours de Gerhard Andrey, cofondateur de Liip et également membre du Conseil national. Il a expliqué comment l'industrie aéronautique réagit aux défaillances techniques dans des systèmes complexes en adoptant une culture de la sécurité transparente.

«L'ensemble du secteur numérique devrait s'inspirer de cette culture», a déclaré Gerhard Andrey. Pour qui une transmission précise et complète des informations devrait également devenir la norme dans le traitement des questions de cybersécurité. Il a également abordé la question de l'open source, soulignant que trop de gens en profitent, mais que trop peu y contribuent. Et d'ajouter: «Soutenir de telles approches doit devenir une évidence pour le secteur.»

C'est l'organisation qui pose problème, pas la technique

La compagnie d'assurance La Mobilière a ensuite donné une conférence. Le groupe a mis en place son propre centre de cyberdéfense. «Nous avons délibérément choisi de ne pas externaliser cette fonction critique», a déclaré le CIO Thomas Kühne. La Mobilière a aussi donné un aperçu de deux études qu’elle a mandaté en matière de sécurité IT.

Les études présentées révèlent que les PME suisses sont globalement bien préparées en ce qui concerne les mesures techniques. Ainsi, la plupart d’entre elles installent régulièrement des mises à jour de logiciels, sécurisent leur réseau local sans fil avec des mots de passe et utilisent un pare-feu.

Du côté des mesures organisationnelles, «le tableau est sensiblement différent», a fait remarquer Andreas Hölzli, responsable du centre de compétences Cyber Risk à la Mobilière. On constate en effet qu’une PME sur quatre ne contrôle pas si elle peut restaurer ses données à partir de sauvegardes. A peine plus de la moitié a un plan d’urgence et seuls 39% des responsables interrogés organisent des formations régulières pour leurs collaborateurs.

Ne pas oublier d'imprimer le plan d'urgence

«Le plus gros problème, c'est l'être humain», a rappelé Thomas Kühne. Pour qui la sensibilisation ne doit pas être perçue comme une sanction. «Les collaborateurs doivent être motivés à signaler quelque chose», a-t-il ajouté. Il est important de garantir la capacité de réaction en cas de situation d'urgence, a ajouté Andreas Hölzli, précisant que le plan doit définir clairement qui est responsable de quoi et comment atteindre ces personnes. Il convient aussi définir la procédure à suivre étape par étape. «Je rédigerais toutefois le plan d'urgence sur papier ou l'imprimerais au moins», a conseillé Andreas Hölzli. Car en cas d'attaque, il pourrait ne pas être accessible.

De gauche à droite: Le CIO de la Mobilière Thomas Kühne en compagnie de Susanne Maurer (communication d'entreprise) et d'Andreas Hölzli, responsable du centre de compétences Cyber Risk à la Mobilière. (Source: Netzmedien)

Utilité et limites des cyberassurances

Plus tard, une session a abordé le label Cyber-Safe. Dans ce cadre, Tobias Seitz, responsable Underwriting d’une division de l’assureur Helvetia, a évoqué l'utilité et les limites d'une cyberassurance. «Les cyber-attaques peuvent menacer l'existence d'une entreprise, a-t-il déclaré. Une simple cyberassurance n'est pas d'une grande aide.» Les données ou la réputation perdues ne peuvent pas non plus être récupérées par une assurance, a-t-il ajouté.

«Les mesures organisationnelles et techniques sont importantes. Mais même celles-ci ne peuvent pas offrir une protection à 100%”, a déclaré Tobias Seitz. Une cyberassurance peut, en tant que protection complémentaire, prendre en charge une grande partie du risque résiduel. La compagnie d'assurance collabore avec le label Cyber-Safe pour évaluer la maturité des entreprises assurées en matière de cybersécurité.

Tobias Seitz, responsable Underwriting Région Est Assurances techniques chez Helvetia. (Source: Netzmedien)

Cette édition 2022 des SCSD a aussi été l’ocaasion de découvrir le projet SCION de l'EPFZ. Adrian Perrig (EPFZ), Martin Bosshardt (Anapaya), Florian Schütz (NCSC), August Benz (SBA), Urs Fischer (HIN), Stefan Berg (Swisscom) et Robert Wigger (Sunrise Impulse) ont présenté ce projet d’internet sécurité pour la première fois au public.

Start-up récompensées

Autres temps forts de la deuxième journée des SCSD: la remise des prix aux gagnants du troisième programme Tech4Trust. En outre, Hestia Labs a reçu le «Social Impact Award» de la Herbert & Audrey Rosenfield Foundation. C’est Charles Foucault-Dumas, responsable de la communication de Hestia Labs et ancien journaliste d’ICTjournal, qui est venu réceptionner le prix.

Les gagnants du troisième programme Tech4Trust, ainsi que Charles Foucault-Dumas (à droite), venu réceptionner le prix «Social Impact Award» de la Herbert & Audrey Rosenfield Foundation. (Source: Netzmedien)