Cybersécurité. Il y a urgence à informer les PME

Fribourg » Cela fait maintenant plus de cinq ans que Jacques Schell gère à Marsens sa petite société, Schell Consult, active notamment dans la protection des données et dans la cybersécurité. Egalement responsable de la protection des données (un statut appelé «DPO») pour le groupe Bobst, il participe depuis hier à la deuxième édition des Swiss Cyber Security Days à Forum Fribourg.

Certifié au niveau international et actif depuis 30 ans dans le domaine de la cybersécurité, il a une bonne vision de la situation informatique des petites et moyennes entreprises (PME) en Suisse et particulièrement à Fribourg. La Liberté l’a rencontré.

En 2017, selon un sondage de l’association professionnelle swissICT, plus d’un tiers des PME helvétiques seraient touchées par des cyberattaques et 4% d’entre elles auraient déjà été rançonnées. Rapporté au canton de Fribourg, cela représente respectivement 6600 et 800 PME. En théorie, c’est énorme.

Jacques Schell: En effet, le phénomène est de grande ampleur ici aussi. Ce d’autant plus que les entreprises ne sont pas obligées de dire quand elles sont victimes de rançonnage. L’an passé, j’ai testé l’ensemble des ordinateurs en Gruyère, et j’ai découvert des éléments critiques de vulnérabilité dans les systèmes informatiques de nombreuses PME, dont certaines bien connues.

Est-ce à dire que les PME fribourgeoises ne sont pas conscientes des risques?

La cybercriminalité est une des principales craintes des PME. Malheureusement, elles ne font pas grand-chose pour s’en prémunir. Certaines considèrent qu’elles n’ont pas de valeur aux yeux des cybercriminels. C’est faux. D’autres pensent que la cybersécurité coûte trop cher et qu’il suffit d’avoir un informaticien. C’est aussi faux. Il y a des solutions de cybersécurité peu coûteuses et des «bonnes pratiques» simples qui permettent de limiter les risques.

« A Fribourg, nous pensons que nous sommes moins concernés »

Jacques Schell

Mais il n’y a pas vraiment de différence entre Fribourg et les autres cantons…

Si, quand même. Ici, nous avons l’impression d’être loin de tout et pensons que nous sommes moins concernés que ceux qui se font attaquer à Genève ou à Zurich. A Fribourg, en particulier, nous voyons encore internet comme quelque chose de gentil, de bisounours. Nous pensons que la cybercriminalité s’arrête aux frontières. Ce n’est bien sûr pas le cas. Les cybercriminels se moquent bien de la géographie et lancent des attaques contre tout le monde dans le but, par exemple, de crypter et d’immobiliser les données de la PME, puis réclamer une rançon pour leur restitution. Tout ce que regarde le cybercriminel, c’est si une machine est vulnérable ou non.

Quels sont les risques pour les PME?

Elles doivent comprendre que si elles n’ont pas accès à leurs données pendant dix jours, elles sont 90% à mettre la clé sous la porte. Si elles n’ont pas accès à leurs données pendant cinq jours, elles perdent du chiffre d’affaires, elles payent leurs employés alors qu’ils ne peuvent pas travailler, elles ne peuvent pas prendre de nouvelles commandes, etc. Sans parler – et c’est le plus dommageable – des dégâts d’image.

Récemment, certains experts affirmaient que 2020 serait une année riche en cyberattaques. Vous confirmez?

Je confirme. Pour le nombre, c’est essentiellement dû à la hausse constante des objets connectés, qui sont de nouvelles portes d’entrée vers les systèmes informatiques.

Quant à leur forme, elle ne cesse d’évoluer. Il y a quelque temps, l’attaque consistait à l’envoi d’un e-mail tout simple, avec plein de fautes d’orthographe et une pièce jointe à l’apparence douteuse. Aujourd’hui, ces e-mails sont bien faits, l’adresse d’envoi est crédible et la pièce jointe a l’air d’un fichier tout à fait normal alors qu’un programme malveillant y est caché. Les cybercriminels se masquent de mieux en mieux afin d’avoir un taux de pénétration important. Pour être franc, même moi je suis parfois surpris de la qualité visuelle de certains e-mails malveillants.

Pourquoi le Règlement général sur la protection des données (RGPD) de l’Union européenne (UE) concerne aussi certaines sociétés fribourgeoises?

En vigueur depuis mai 2018, le RGPD exige en substance que les sociétés sises ou actives sur le territoire de l’UE protègent les données qu’elles possèdent sur des citoyens de l’UE selon certains critères. Sans protection reconnue, elles s’exposent à des amendes. On parle d’un maximum de 4% du chiffre d’affaires mondial, ce qui peut être énorme.

A Fribourg, certaines PME pensent qu’elles ne sont pas concernées alors qu’elles traitent avec des clients européens. Elles doivent aujourd’hui faire une pesée d’intérêts: est-ce que cela vaut la peine d’investir pour se mettre en conformité avec le droit européen – elles doivent notamment s’attacher les services d’un DPO? Ou les PME doivent-elles renoncer à leur clientèle européenne?

Vous êtes présent depuis les débuts des Swiss Cyber Security Days. Comment ont évolué les mentalités?

Je ressens un intérêt grandissant pour la cybersécurité en Suisse, notamment sous l’impulsion de la conseillère fédérale Viola Amherd. La Confédération commence à se pencher sérieusement sur le problème. D’ailleurs, l’armée suisse et ses spécialistes informatiques sont présents à Forum Fribourg. Plus globalement, avoir les Swiss Cyber Security Days dans notre canton est une très bonne chose, même si ce dernier devrait en faire beaucoup plus pour informer les PME sur les questions de cybersécurité. Selon moi, il y a urgence.