Qu’est-ce qu’une donnée et comment la sécuriser? Chefs d’entreprise et spécialistes de cybersécurité ont apporté des réponses à cet enjeu phare pour l’avenir des PME suisses, mercredi 4 novembre lors de la soirée organisée par Innovaud durant la CyberSec Conference, à Y-Parc (Yverdon).
«Il faut protéger ses données». L’impératif est seriné partout: médias, consultants, services cantonaux, fédéraux... Le conseil vaut pour les particuliers mais aussi et surtout pour les entreprises. Ces dernières sont plus que jamais susceptibles de subir une cyberattaque, comme le souligne Patrick Zwahlen, confondateur et responsable de Navixia, société d’Ecublens spécialisée dans la sécurité informatique. «Une entreprise de hackers spécialisée dans la saisie de données et les demandes de rançons, comme Cryptowall, réalise aujourd’hui un chiffre d’affaires de 325 millions de francs par an. Le rançonnage est un marché juteux et en croissance».
De gauche à droite: Michel Jaccard, Bruno Enten, Patrick Zwahlen, Pierre-Mikael Legris, Doron Tenne
Reste à savoir ce qu’est une donnée. Ce terme un peu vague regroupe deux grandes catégories: données personnelles et données stratégiques. Les premières concernent la plupart du temps les clients: noms, adresses, liste d’achats effectués, âge...,mais il peut aussi s’agir d’informations sur les employés de la société. Pour certaines utilisations, ces informations sont partiellement ou totalement «anonymisées», mais ce n’est pas toujours le cas. «Aujourd’hui, on ne sait plus comment définir une donnée personnelle, et la législation donne peu d’informations. Pour faire simple, aujourd’hui tout est une donnée personnelle», résume Michel Jaccard, associé de l’étude id est avocats à Lausanne.
Pour ce qui relève des données stratégiques, difficile également de faire un tri. Toute information peut se révéler cruciale. Bien entendu, une liste de clients est a priori plus importante que le mail personnel d’un employé. «Mais l’attaque informatique retentissante qu’a subi la chaîne TV5 Monde a débuté... par un piège envoyé dans la boîte mail de la société chargée de la vidéosurveillance de la chaîne», rappelle Patrick Zwahlen. Ce dernier souligne aussi que les révélations récentes, notamment le scandale de la National Security Agency (NSA), ont plongé les chefs d’entreprise dans une sorte de défaitisme attentiste, «comme si, puisque tout est possible, il n’y avait rien à faire».
Effectivement, comme le confirme Doron Tenne, directeur de la sécurité pour le groupe SICPA, à Prilly, «aujourd’hui, toute forme d’attaque est possible et peut aboutir, ce n’est qu’une question de temps et de moyens». Mais seuls des Etats disposent de la puissance de calcul pour braver les systèmes d’une entreprise bien protégée. Une bonne protection des données vaut donc la peine, et elle commence par la connaissance de leur valeur. Moyennant «3 à 10 000 francs», selon Michel Jaccard, toute PME peut solliciter un audit sur ce thème. Il lui servira à mettre en place ensuite un projet de protection des données. Il est essentiel de chiffrer quelles pertes la société subirait en cas d’attaque informatique et proposer des pistes face aux vulnérabilités identifiées.
Une PME doit garder à l’esprit que «l’objectif, c’est le business», comme le rappelle Doron Tenne. La sécurité pour la sécurité ne mène à rien, cette dernière doit procéder d’un «réglage fin»: pas de contraintes trop fortes, un confort d’utilisation acceptable pour les employés, rappelle Bruno Enten, fondateur de Revapost, spécialisé dans le chiffrage d’emails d’entreprises à Lausanne.
Concrètement, l’une des clés pour garantir la sécurité de données clients reste «de savoir dans quels serveurs ces dernières sont stockées, physiquement, et de se garder le droit de les déplacer», souligne Pierre-Mikael Legris, cofondateur et CEO de Pryv, entreprise de gestion de données médicales à Lausanne. Et pour pouvoir utiliser du «data» dans des cadres juridiques multiples et en pleine évolution, il est aussi essentiel «de garder le lien entre la donnée et la personne, ce qui permet de toujours poser, in fine, la question à cette dernière quand à la réutilisation de l’information», explique le jeune chef d’entreprise.
Pour s’assurer que le système de sécurité d’une entreprise est réellement efficace, installer les derniers outils techniques ne suffit pas, soulignent les intervenants. Ce sont les actions et la perception de tous les employés qui feront la différence en cas de risques. Un projet de sécurité est efficace à condition d’être global, c’est-à-dire implémenté et compris par toutes les branches de la société.
Enfin, «la pratique de tests réguliers est indispensable», explique Pierre-Mikael Legris, tout comme une vision partagée des risques par les salariés, basée sur un langage et une culture commune. Cette dernière ne doit pas reposer sur la peur, mais sur l’éducation. Ainsi, après un incident, rien ne sert de stigmatiser un salarié chez qui «une lanterne rouge aurait dû s’allumer», explique Patrick Zwahlen; il est plus utile d’utiliser cet événement, bien plus réaliste qu’un scénario imaginaire, pour sensibiliser tout le personnel.
Innovaud aide les start-up et PME innovantes vaudoises en les mettant rapidement en relation avec les bons interlocuteurs si elles ont besoin d'hébergement, de financement et/ou de coaching. Par le biais d’Innovaud, elles ont notamment accès à la Fondation pour l’innovation technologique (FIT), organisme soutenu par la BCV à hauteur de 500 000 francs par an, qui propose des aides financières à des projets à caractère technologique et innovant.
