La table ronde EDI 2023 organisée le 30 juin dans la salle du Grand Conseil de Lucerne a été placée sous le signe de la nLPD, laquelle entrera en vigueur sans délai transitoire au 1er septembre 2023. Stefan Rothenbühler, Principal Cyber Security Analyst chez Infoguard AG, est un chasseur de hacker·euse·s qui aide les entreprises à faire face aux cyberattaques et aux ransomwares. Il a parlé de son quotidien des plus dynamiques.

Sa description de poste, chasseur de hacker·euse·s, semble passionnante. Lors du Podium EDI du 30 juin 2023, Stefan Rothenbühler a parlé de son travail aussi extraordinaire qu’intense en tant que Principal Cyber Security Analyst d’InfoGuard AG dans sa présentation «Wie wir Hacker jagen – Insights aus realen Sicherheitsvorfälle» (Comment chasser les hacker·euse·s: informations tirées d’incidents de sécurité réels). Rothenbühler épaule les entreprises en cas de cyberattaques et de ransomware, dirige des enquêtes médico-légales sur les réseaux, négocie avec les acteur·trice·s de la menace et coordonne des cellules de crise. «Concrètement, vous ne voulez jamais avoir à faire à moi: si j’arrive chez vous, c’est que le rideau est déjà tombé et que votre entreprise a un problème. Si c’est le cas, nous prenons alors les choses en main, avec pour objectif de permettre un retour sécurisé.»

Une tendance à la hausse
«Les violations de données sont de plus en plus fréquentes», confirme Stefan Rothenbühler. Tandis que son entreprise n’a été confrontée qu’à une vingtaine de cas en 2018, elle en compte déjà 140 au premier semestre 2023. «La prévention et la réaction aux incidents de sécurité sont de plus en plus importantes. Les portes d’entrée sont toutes pareilles: il s’agit généralement plutôt de périmètres non protégés. Dans les cas les plus fréquents que nous voyons, il s’agit d’attaques opportunistes, c’est-à-dire que l’assaillant·e essaie de s’attaquer à des milliers d’entreprises et que, par un hasard malencontreux, il réussit à s’attaquer à l’une de ces entreprises et à s’y infiltrer.

Le danger vient toujours de l’extérieur: à cause de failles de sécurité, d’un accès à distance non sécurisé, de phishing, de malspam ou alors via la chaîne d’approvisionnement», explique-t-il. «Ce dernier point est en pleine expansion. Ce qu’il faut bien garder en tête, c’est que cela peut toucher tout le monde. Pas seulement les petits, qui ne sont pas préparés, mais aussi les très grandes entreprises. Dans ce cas, la question n’est généralement pas de savoir si cela va arriver, mais quand cela va arriver.» De nombreuses entreprises et institutions disposent (encore) d’un système insuffisamment sécurisé. «Ces lacunes sont souvent dues à la pandémie, car à l’époque, les accès à distance pour les collaborateur·trice·s, par exemple, ont été montés dans la précipitation.» Ils en profitent.

Caractère monétaire
De telles cyberattaques paralysent l’ensemble de l’infrastructure d’une entreprise, la rendant incapable d’agir et de fait vulnérable au chantage. «Dans le pire cas, tout est crypté et les données ont été volées au préalable. Dans de nombreux cas, les hacker·euse·s demandent une rançon pour débloquer les données.» Stefan Rothenbühler poursuit: «De telles attaques ont toutes, sans exception, un aspect monétaire. Les attaquant·e·s se réjouissent de pouvoir entrer dans le système et se demandent: combien je peux en tirer?»

Que peut-on améliorer?
La sécurité d’une entreprise dépend des mesures de précaution prises, mais aussi du degré de formation et de sensibilisation des collaborateur·trice·s. «Notre devise chez InfoGuard, c’est que les collaborateur·trice·s ne sont pas le maillon le plus faible d’une entreprise, mais au contraire le dernier rempart pour éviter les dégâts.» Les supérieur·e·s devraient donc communiquer clairement à leurs collaborateur·trice·s qu’ils ne sont pas simplement les coupables à chaque fois que quelque chose survient, mais qu’ils sont nécessaires si tous les systèmes de sécurité tombent en panne.

«Une authentification à facteurs multiples (MFA) peut déjà éviter bien des soucis», constate Stefan Rothenbühler. Une gestion des vulnérabilités, l’analyse et le traitement des incidents, un accès direct à Internet ainsi qu’une surveillance de la sécurité sont d’autres mesures de protection utiles et fiables contre les cyberattaques. Stefan Rothenbühler estime que ce dernier point est une très bonne chose. «Mais il faut aussi regarder le système d’alarme et définir clairement les responsabilités en amont. Des entreprises nous ont déjà demandé de l’aide et une fois sur place, tout le système de sécurité s’est illuminé comme un sapin de Noël, mais la personne responsable, elle, était en congé.»

Conclusion:
Le conseil de Stefan Rothenbühler: «Les entreprises doivent se préparer à ce qui est le plus probable et qui cause le plus de dommages: c’est-à-dire le ransomware. Il est donc important de connaître ses attaquant·e·s et donc de se préparer et de se protéger en conséquence et en permanence. C’est un jeu du chat et de la souris entre les attaquant·e·s et les défenseur·euse·s.» Dans de nombreux cas, une cyberattaque pourrait être détectée dès les premières heures ou les premiers jours si les alertes antivirus n’étaient pas ignorées ou si l’on y réagissait avec précision. «Et si quelque chose devait tout de même arriver, nous, InfoGuard AG, sommes là pour vous.» C’est bon à savoir.

Présentation (PDF)