Paul Such, Swiss Post Cybersecurity: «En 2025, considérez que vous allez être piraté à un moment ou à un autre»

Vous êtes dans le domaine depuis plus de vingt ans. Comment votre regard sur la cybersécurité a-t-il évolué depuis vos débuts, notamment depuis la création de SCRT?

Ça a beaucoup évolué. Le marché a changé et ma vision personnelle aussi. La cybersécurité était encore un sujet véritablement de niche au début des années 2000. Il fallait convaincre les prospects, leur expliquer pourquoi faire un test d’intrusion, pourquoi la sécurité importait, quels étaient les risques, etc. Il y a vingt ans, travailler dans la cybersécurité, c’était vendre des antivirus. Aujourd’hui, les gens sont conscients des menaces. Ils savent qu’il faut investir un peu de temps, d’énergie et de budget. La perception du public a changé, la couverture médiatique aussi. A l’époque, on en parlait à peine dans les médias. Aujourd’hui, pas une semaine ne passe sans qu’on parle d’une attaque ou d’un incident. De mon côté aussi, le positionnement a changé. Quand j’ai démarré, je sortais tout juste de l’école. Je ne me voyais pas du tout entrepreneur. J’ai eu un, deux, puis trois employés, jusqu’à fonder SCRT.  Aujourd’hui,  j’exerce à la fois un travail d’ingénieur et, de plus en plus, des fonctions de direction.  Mais dans le fond, je reste passionné par ce que je fais et je reste un ingénieur dans l’âme.

Qu’est-ce qui vous anime encore aujourd’hui dans ce domaine?

Il y a un petit côté excitant à protéger des données ultra-confidentielles ou, lors d’un test d’intrusion, à accéder à des informations que personne n’est censé consulter. J’ai la chance immense de vivre de ma passion et c’est génial. Il y a vingt ans, la majorité des personnes qui travaillaient dans la cybersécurité le faisaient par passion, par envie d’apprendre. On ne comptait pas ses heures, on se formait à côté, on participait à des conférences et on adorait ça. Aujourd’hui, le secteur attire aussi pour des raisons économiques: les salaires sont bons, la demande est forte. Donc, on y retrouve parfois des profils un peu moins passionnés qu’avant.

Globalement, quels types d’attaques observez-vous aujourd’hui le plus souvent? Y a-t-il des tendances émergentes ou des évolutions marquantes dans les méthodes des attaquants?

Globalement, ces dernières années, ce sont surtout les mêmes types d’attaques qui reviennent: le ransomware, encore et toujours. On voit aussi des attaques par déni de service ou de l’exfiltration de données. En revanche, ce qui a changé, c’est que la criminalité informatique s’est professionnalisée, ce qui n’était pas forcément le cas avant. Aujourd’hui, on voit vraiment que c’est devenu le gagne-pain des organisations criminelles. C’est extrêmement bien préparé. Certaines attaques peuvent être préparées pendant six mois, un an, voire dix-huit mois. Elles ciblent parfois un fournisseur de l’entreprise visée, avec un niveau de détail et de précision beaucoup plus élevé. On voit probablement un peu moins de hacking idéaliste. Il y a dix ans, il y avait les Anonymous qui faisaient beaucoup plus parler d’eux. Désormais, c’est davantage des enjeux financiers que des enjeux idéologiques et ce sont des pros.

La récente attaque contre Chain IQ aurait impliqué un ransomware utilisant des techniques inédites, conçu pour passer sous les radars et s’autodétruire. Quelles sont les implications d’un tel niveau de sophistication pour la cybersécurité des prestataires IT suisses?

Il s’agit typiquement d’une attaque où le pirate va cibler une entreprise qui détient des informations critiques sur des clients intéressants. Et c’est souvent plus facile d’attaquer un fournisseur que la cible principale elle-même. C’est ça qu’on appelle une supply chain attack: on rentre «par l’autre côté». Ce genre d’incident pousse les entreprises à porter davantage d’attention à la sécurité de leurs fournisseurs. C’est déjà exigé par certaines normes comme l’ISO 27001, qui recommande justement de vérifier qu’un fournisseur à qui vous donnez des accès critiques ou des données sensibles dispose d’un niveau minimum de sécurité et d’une hygiène de base.

Selon vous, quels sont les principaux défis en matière de cybersécurité que rencontrent aujourd’hui les PME romandes?

Il y en a plusieurs. D’abord, il y a un défi de coût. Il faut pouvoir justifier pourquoi on va dépenser plusieurs milliers de francs dans la cybersécurité. Et tant que les entreprises n’ont pas été confrontées à un problème, elles ont souvent du mal à en percevoir la valeur. Ensuite, il y a un problème de compréhension. La cybersécurité reste un domaine technique, et aujourd’hui, c’est un secteur porteur. Donc les PME sont de plus en plus confrontées à des vendeurs qui leur promettent des solutions miracles… alors que bien souvent, elles n’ont besoin que d’appliquer les principes de base: faire les mises à jour, utiliser de bons mots de passe, former le personnel. Il faut commencer par ça avant d’investir dans des solutions coûteuses. Et surtout, avoir le bon interlocuteur, qui ne vend pas du vent. Ce que je vois aussi — et ce n’est pas propre aux PME — c’est une attente de retour sur investissement. Les directions et les conseils d’administration commencent à demander des comptes. Ils veulent des preuves des progrès réalisés. Et ça, c’est un nouveau défi: les PME doivent désormais être capables de mesurer ce qu’elles font. Être en mesure de dire: «En 2024, on était ici, en 2025 on est là.» Que ce soit sur les temps de réponse, le nombre d’incidents… il faut des indicateurs clairs.

Observez-vous des différences majeures de maturité entre secteurs (finance, santé, industrie…)?

Oui, certains secteurs n’ont pas le choix. Par exemple, dans la finance, que je connais bien, étant au conseil d’administration d’une banque, il y a des obligations de conformité. La FINMA contrôle que certaines mesures soient mises en place, il y a des audits, etc. C’est pris au sérieux, parce qu’ils n’ont pas d’autre option. D’autres secteurs comme la santé sont également partiellement régulés. Et plus généralement, toutes les entreprises qui traitent des données sensibles — RH, brevets, données bancaires — ont en général une culture de la sécurité un peu plus développée. Ce qui est plus problématique, ce sont les entreprises qui ne réalisent pas qu’elles restent des cibles intéressantes. Aujourd'hui, toutes les structures dépendantes de l’IT sont des cibles potentielles. Un  groupe de criminels qui installe un crypto-locker dans une société – que ce soit un garage ou une entreprise industrielle – si elle n’a plus de compta, plus de système de facturation, plus de téléphone… ça reste une cible très intéressante et elle est surtout susceptible de payer pour récupérer ses données.

En dehors des entreprises, on voit aussi que le secteur public n’est pas épargné, une enquête récente révèle que près de la moitié des communes suisses ne disposent pas d’un inventaire complet de leurs systèmes informatiques. Comment expliquez-vous qu’un tel manque de visibilité persiste en 2025?

Je n’ai pas la réponse exacte, honnêtement. Mais j’ai quelques suppositions. Souvent, dans les communes ou les petites administrations, la digitalisation s’est faite petit à petit, sans vraie stratégie claire. Et ça se voit encoreaujourd’hui: dans certaines petites structures, la personne qui s’occupe de l’IT, c’est aussi celle qui gère d’autres secteurs. Ces administrations sont souvent trop petites pour avoir un vrai département IT, ou même une personne dédiée. Elles font ce qu’elles peuvent, avec les moyens et les connaissances qu’elles ont. Peut-être qu’une des pistes serait justement de s’appuyer davantage sur des prestataires spécialisés. Confier leur IT à des gens dont c’est vraiment le métier.

Peut-on externaliser la cybersécurité sans perdre le contrôle des risques?

Oui, on peut externaliser la sécurité, mais les risques, eux, restent chez vous. Par contre, si vous avez bien cadré l’externalisation, normalement vous êtes conscient des risques que vous prenez. C’est le but: maîtriser les risques, même s’ils sont gérés par un tiers. C’est une erreur de croire que parce qu’on outsource, on s’absout des risques.

Que propose concrètement Swiss Post Cybersecurity pour répondre à ces enjeux? En quoi votre approche est-elle différente?

Nous couvrons l’ensemble de la Suisse sur les questions de cybersécurité. Et nous sommes aussi un des seuls acteurs vraiment nationaux, dans le sens où l’ownership de la société est 100% suisse. Nous sommes une filiale indépendante de la Poste Suisse, une institution particulièrement stable et pleinement nationale. Sur les services, on propose aussi bien du conseil ponctuel que du suivi régulier, via du monitoring sécurité, ou encore de la réponse à incident, même quand il est déjà trop tard. On est capable d’intervenir auprès de tout type de structure: banques, assurances, administrations, PME, industriels… Nous sommes actuellement un des gros acteurs en Suisse. Avec 160 collaborateurs, ça nous donne un panel de compétences relativement large. Et comme la cybersécurité nécessite parfois des expertises très pointues, notre taille nous permet de disposer des bons spécialistes capables d’intervenir localement sur des thématiques très spécifiques.

Quels conseils donneriez-vous aux dirigeants d’entreprise qui souhaiteraient renforcer efficacement leur cybersécurité?

Tout d’abord, ne pas croire aux produits miracles. Ça n’existe pas. Il faut commencer par la base, avec une bonne hygiène de sécurité donc des mots de passe robustes, l’application de patchs et une analyse de risques. Ensuite, responsabiliser l’ensemble du personnel. Il ne faut pas croire que la sécurité va être réglée par une seule personne. Ce n’est pas le cas et ça ne le sera jamais. Ce n’est pas juste l’affaire du CISO. Il faut aussi y mettre un minimum de budget. Vous pouvez avoir d’excellentes personnes mais si vous ne leur donnez pas les moyens d’agir, elles ne pourront rien faire. En règle générale, on considère qu’au moins 10% du budget IT devrait être consacré à la cybersécurité. C’est un bon indicateur pour se situer. Parfois, considérer l’outsourcing n’est pas une mauvaise option, notamment pour les structures de petite taille.  Aujourd’hui, c’est compliqué d’attirer les bons experts, de les garder et de réunir toutes les compétences nécessaires. Par ailleurs, il faut une culture sécurité au niveau de la direction. C’est important, si la sécurité n’est pas portée par la direction, on ne peut pas espérer que d’autres personnes dans l’entreprise s’en occupent. Heureusement, on voit que de plus en plus de conseils d’administration font appel à des experts en cybersécurité. Dernier point: anticipez! À mon sens, en 2025, le bon réflexe consiste à adopter le paradigme «assume breach». On ne se demande plus «si», mais «quand» ça va arriver. Considérez que vous allez être piraté à un moment ou à un autre.