L’Association Suisse pour le Label de Cybersécurité (ASLaC) propose le label cyber-safe.ch. Deux événements sont aussi prévus cet automne pour un échange de bonnes pratiques. Inscrivez-vous!
Formée par des spécialistes issu-e-s de l’informatique, de l’expertise des risques, des systèmes de communication ou encore des sciences politiques, l’ASLaC propose depuis décembre 2019 le label cyber-safe.ch contre les cyberrisques. Ce label, élaboré lors d’une démarche participative, garantit aux PME qui le reçoivent un niveau de sécurité acceptable par rapport aux menaces actuelles. Signe de reconnaissance de son expertise, l’association est membre du comité de pilotage de la stratégie nationale de protection de la Suisse contre les cyberrisques (2018-2022).
Nicolas Frey est l’un des 9 co-fondateurs de l’association qui porte le label cyber-safe.ch. Pour lui, les données sont claires, la plupart des PME sont encore bien trop exposées: “Près de 80% des PME victimes d’une attaque périclitent dans les 3 ans suivant l’événement. Actuellement encore, trop peu d’entre elles mettent en place des analyses de risques et des formations ou des actions de prévention pertinentes à l’interne.”
Il faut dire que les normes de gestion des risques liés à l’information constituent une jungle impénétrable pour la plupart des PME. C’est un domaine réservé aux grosses entreprises, aux banques et assurances qui ont les moyens de se payer des certifications ISO très longues à obtenir et donc coûteuses.
Les principaux risques
Nicolas Frey le formule ainsi: “Les PME sentent aujourd’hui que quelque chose leur pend au nez, mais elles ne savent pas trop quoi mettre en œuvre. Et il y a encore cette croyance que ça n’arrive finalement qu’aux autres.”
Les risques sont multiples, mais il s’agit principalement de rançongiciels qui vont permettre aux pirates informatiques de chiffrer les données contre de l’argent. Wannacrypt, Jaff, Locky, TeslaCrypt, Cryptolocker, ça ne vous dit rien? Ce sont ceux qui ont fait le plus de dégâts ces dernières années. Le phishing ou hameçonnage constitue le vecteur principal d’infection. Le but est d’usurper l’identité d’une personne en récupérant ses codes d’accès. Ensuite, cela servira à cibler la personne elle-même ou à pénétrer dans un système d’information auquel elle appartient (par exemple celui de son employeur) pour obtenir d’autres données sensibles.
Fonctionnement du label et processus d’obtention
Contrairement à un prestataire de services qui propose directement une solution, le label est avant tout conçu comme un outil d’aide à la décision neutre.
L’outil d’évaluation d’exposition aux risques est proposé gratuitement sur le site de l’ASLaC. Ensuite, un premier audit est mené sur place par cyber-safe.ch. Il permet en maximum une journée de dresser un état des lieux. Le cahier des charges couvre tous les aspects de la cybersécurité: scan de l’infrastructure IT, réseaux wifi et intranet, systèmes de sauvegarde, taux de réponse au phishing, capacité de résilience générale, etc.
L’entreprise reçoit un rapport pour corriger ses lacunes. Dès qu’elle s’estime prête à passer le test final, un expert externe est mandaté. Ce dernier rend ensuite une évaluation sur la base de laquelle cyber-safe.ch attribue le label ou non.
Au cœur de la première analyse, la PME doit comprendre ce qu’elle a à perdre. Nicolas Frey explique la variabilité du risque en fonction de l’importance stratégique des données: “Une fiduciaire privée de ses données peut rapidement mettre la clé sous la porte en cas d’attaque. A l’inverse, une scierie par exemple, avec peu de contrôleurs automatiques, sera moins exposée. Au pire, celle-ci perdra du temps à remettre à jour sa comptabilité et sa facturation mais en théorie, le cœur de la productivité n’est pas atteint.”
Le label est valable 2 ans durant lesquels des tests de sécurité de routine continuent d’être effectués par l’association. Le prix est calculé en fonction du nombre de postes de travail. Fait intéressant, certains assureurs semblent intéressés à accorder des rabais de primes pour les PME qui seraient labellisées.
Deux événements pour la cybersécurité dans les PME
Pour répondre aux questions de sécurisation des données, l’Alp ICT, l’OPI, Innovaud, platinn et Alliance ont mis sur pied un programme intercantonal de soutien aux entreprises.
Dans cette optique, sont organisés deux événements “Industry Connect”, dont le but est le partage d’expériences entre pairs concernant la cybersécurité. La première rencontre aura lieu début septembre, en présentiel et en ligne, chez BrainServ à Crissier. Nicolas Frey prendra notamment la parole pour expliquer comment se prémunir au mieux face aux risques actuels. Le second événement est prévu fin octobre uniquement online. Plus d’informations et inscription via la page d’Alp ICT.
Dans la foulée, dès novembre 2020 sera lancé sur 6 mois un groupe de travail réunissant un groupe de PME confrontées à la problématique de cybersécurité. Les entreprises seront accompagnées par des experts pour développer des solutions adaptées à leurs besoins. Possibilité d’en savoir plus en écrivant à: ">.
Enfin, comme il vaut mieux prévenir que guérir, autre source d’information utile, le Centre national pour la cybersécurité (NCSC) propose de la documentation, dont un aide-mémoire pour les PME.
