« Une cyberattaque ? Plus cher qu’une catastrophe naturelle »
Les Swiss Cyber Security Days, ou journées suisses de la cybersécurité, viennent de se tenir à Berne pour la première fois. Nick Mayencourt et Tom Winter nous expliquent en quoi associer programme de conférences et espace d’exposition permet à un public plus large de s’approprier le thème de la cybersécurité, ce qu’il en coûte de subir une attaque en provenance de la toile, et comment les petites entreprises peuvent s’en prémunir en dépit d’un budget limité…
Nicolas « Nick » Mayencourt
En créant Dreamlab, il faisait figure de pionnier : rares étaient alors ceux qui percevaient l’importance de la cybersécurité. Vingt ans plus tard, son entreprise a des succursales dans onze pays et croule sous les demandes. Nick Mayencourt est directeur du programme des Swiss Cyber Security Days.
Tom Winter
Tom Winter est le CEO de BERNEXPO depuis mars 2021. Ce site d’exposition s’est associé à Kursaal Bern et Bern Welcome pour former une communauté d’intérêts baptisée « Congress Hub Bern », afin de mieux exploiter le potentiel de la ville fédérale comme destination de congrès.
Nick, votre entreprise vérifie chaque jour si les systèmes d'autres entreprises sont bien protégés contre la cybercriminalité. Où trouvez-vous l'inspiration ?
Nick : nous investissons environ 40 pour cent de notre budget dans la formation continue. Et nos collaborateurs peuvent soumettre une demande en interne s’ils souhaitent évaluer la sécurité d’un appareil, d’une application ou d’une installation dans notre laboratoire. Une fois, par exemple, un collègue a verifie un aspirateur robot et s’est aperçu que le fabricant avait accès, à travers l’appareil, au mot de passe du Wi-Fi de la maison dans laquelle il était utilisé, et des Wi-FI alentour. Et il en va de même pour tous les aspirateurs robots!
Y a-t-il un cas qui t’a particulièrement marqué ?
Nick : la « Banco de Chile », qui est responsable d'environ 54 pour cent de toutes les transactions bancaires au Chili, s'est retrouvée reteint d'un jour à l'autre. Plus de réseau informatique, plus de distributeur de billets, plus de terminaux de paiement. En une nuit, tous les systèmes ont été détruits. Une catastrophe nationale, dans laquelle nous avons assuré la gestion de crise. Lorsque le système bancaire d’un pays est paralysé pendant plus de huit heures, une forme d’anarchie se met en place. Les entreprises ont besoin d’émettre et d’encaisser des paiements. Les gens doivent acheter à manger. Si ce n’est pas possible, ils se servent, tout simplement. Notre mission était double : gérer la crise et comprendre ce qui avait pu se produire. En collaborant avec le secteur bancaire, les services de sécurité et le président, nous sommes parvenus à mettre sur pieds une banque d’urgence en deux semaines.
Alors comment cela a-t-il pu se produire? Les pirates avaient placé un cheval de Troie dans un dossier de candidature envoyé à la banque. Ils ont ainsi pénétré le département des RH avant de s’attaquer au reste du réseau informatique de la banque. Pendant des mois, les outils de la banque ont subi de multiples de petites pannes. Tandis que la banque consacrait toutes ses ressources à la résolution de ces pannes à répétition, les pirates détournaient de l’argent de son système. Enfin, pour couvrir leurs traces, ils ont tout effacé. Et c’est là que nous sommes intervenus. Par la suite, nos bonnes relations avec d’autres pays et d’autres services de sécurité nous ont permis de déterminer qu’il s’agissait d’une attaque du fameux groupe « Lazarus ». Aussi étonnant que ce soit, il n’existe aujourd’hui encore pas plus d’une dizaine d’entreprises capables de traiter des cas aussi complexes. C’est pourquoi on nous sollicite.
Combien coûte la cybersécurité ?
Nick : en 2022, les catastrophes naturelles ont entraîné des coûts de l’ordre de 125 milliards de dollars. Et la cybercriminalité? 5000 milliards de dollars. On peut dire qu’en moyenne, une cyberattaque coûte 40 fois plus cher qu’une catastrophe naturelle. La cybercriminalité constitue aujourd’hui la troisième économie mondiale derrière les États-Unis et la Chine, mais nous ne parvenons pas à la percevoir comme telle. Autant un tremblement de terre laisse des traces tangibles, autant il nous est bien plus difficile de voir, au sens propre, les dégâts dus à la cybercriminalité. Ils sont pourtant bien réels, et considérables. Avec les Swiss Cyber Security Days, nous voulons saisir le problème à bras le corps.
Quel objectif poursuivez-vous, avec ces Swiss Cyber Security Days ?
Nick : des congrès, des salons pour les experts de la sécurité informatique, il y en a plein. Les Swiss Cyber Security Days visent un public plus large. Les spécialistes sont conscients depuis longtemps des risques et des possibilités d’action, et pourtant, la société ne bouge pas. Pourquoi? Parce que ceux à qui incombe la prise de décision, à savoir les milieux politiques et les instances de réglementation, manquent de connaissances sur lesquelles se fonder. Nous voulons créer une plateforme où tous les acteurs se parlent directement: les conférenciers et les exposants, les responsables politiques et les experts, les ingénieurs et le public non spécialisé. Une communauté pourra ainsi se développer. C’est pourquoi ce format associant technologie, questions de société et salon d’exposants nous tenait à cœur. C’est également pour cela que cette édition avait pour thème « Shaping Cyber Resilience » (façonner la cyberrésilience). La cybercriminalité n’est pas un défi que l’on peut relever chacun dans son coin : ni la police, ni l’armée, ni Dreamlab ne le peuvent. Les Swiss Cyber Security Days servent à développer aujourd’hui notre résistance aux attaques en provenance de la toile, pour façonner un avenir sûr.
Concrètement, quels risques ont été abordés lors des conférences ?
Nick : par exemple, les interfaces cerveau-machine ne sont plus de la science-fiction. En 2017 (déjà!), un militaire suisse gravement handicapé est parvenu à piloter un avion de chasse au moyen d’implants cérébraux. Un an plus tard, la technologie a été améliorée, et il a pu piloter trois avions de combat et une centaine de drones simultanément.
Les interfaces cerveau-machine connectent directement le cerveau à un ordinateur.
Aujourd’hui, il serait également possible de placer un petit dispositif sous un oreiller dans une chambre d’hôtel pour implanter chez son occupant des souvenirs de son séjour à Berne ou susciter chez lui des envies. Il lui serait totalement impossible de distinguer la réalité de ce qui lui a été suggéré! On utilise depuis un certain temps déjà une technologie tout aussi avancée pour faciliter le quotidien des diabétiques: un patch, souvent placé en haut du bras, mesure en continu les données vitales du porteur. Ces données sont analysées pour injecter la bonne dose de médicament. Mais il ne faut pas oublier que toute technologie peut être retournée contre nous. Le futur se prépare aujourd’hui: c’est pourquoi il est si important d’aborder ces enjeux! C’est ce qu’a fait Jean-Marc Rickli, qui dirige l’unité Risques mondiaux et émergents au Centre de politique de sécurité de Genève, lorsqu’il a parlé des « Emerging Threats », c’est-à-dire les possibilités, mais également les risques que présentent de nouvelles technologies telles que l’intelligence artificielle, les drones et, plus de manière générale, la relation de l’homme avec la machine.
Et puis les Swiss Cyber Security Days sont traditionnellement pour nous l’occasion de présenter ce que nous appelons la « surface d’attaque » qu’offre la Suisse aux cybercriminels. Nous piratons 2,5 millions de serveurs suisses sans y avoir été invités et pénétrons dans les systèmes aussi loin que possible sans tomber dans l’illégalité. Ce sont les banques qui s’en sortent le mieux. L’administration publique, la recherche et la santé sont au contraire les plus vulnérables. Nous tendons ainsi un miroir à la société afin de provoquer une réaction. Nous imaginons tous qu’il ne nous arrivera rien, que nous ne sommes pas assez intéressants. Or, rien n’est plus faux : les cybercriminels sont opportunistes. Ils n’ont pas de cibles prédéfinies. Ils testent encore et encore, jusqu’à trouver une faille. Peu importe que la victime soit une PME ou une grande entreprise, toute vulnérabilité est exploitée. Et ce ne sont là qu’un échantillon des nombreuses réflexions passionnantes que nos participants de Suisse et du monde entier ont pu partager durant ces deux jours.
Quelle place occupe la cybersécurité dans le portfolio de BERNEXPO ?
Tom : pour nous, en tant que PME à caractère public, la question qui se pose, c’est: « Comment est-ce qu’une entreprise classique peut se prémunir contre la cybercriminalité? ». Au niveau de la billetterie, de la gestion de la relation client, etc. À travers les Swiss Cyber Security Days, nous voulons faire passer largement ce message: « Patron d’une PME, la cyberhygiène, c’est aussi pour vous! »
Nick : absolument. Même les plus petites entreprises peuvent adopter des mesures de cybersécurité, grâce à quelques règles fondamentales, mais peu onéreuses:
Faites les mises à jour de vos logiciels.
Utilisez un système de gestion des mots de passe.
Ayez recours à l’authentification multiple au moyen de SMS ou d’applications.
Faites des sauvegardes inaltérable régulières.
Assurez-vous qu’en cas de problème, votre exploitation puisse être redémarrée de manière automatique.
S’astreindre à ces cinq règles de bonne pratique, c’est effectuer déjà 80 pour cent du travail. Lors du salon, les exposants ont présenté des services et des produits gratuits pour aider les entreprises à s’y tenir.
Pourquoi avoir choisi Berne pour les Swiss Cyber Security Days ?
Tom : à l’origine, le salon se tenait à Fribourg. Lorsqu’il a fallu trouver un nouveau lieu, nous nous sommes concertés et il nous est vite apparu que la ville fédérale avait tous les atouts pour accueillir les Swiss Cyber Security Days. Évidemment, Berne est très accessible et dispose d’une excellente infrastructure. Mais surtout, Berne est le centre politique de la Suisse et accueille de nombreuses ambassades et organisations, nationales comme internationales.
Nick : l’idée de se rendre à Berne a été un plaisir dès la première seconde. Cette année, nous avons eu pour la première fois des représentations d’ambassades sur place, le quartier des ambassades étant pratiquement voisin de BERNEXPO. Ce fut un énorme enrichissement. Le Portugal a montré comment il résout les problèmes d’identité et le Kenya comment se déroule la numérisation chez lui. Alors que le Kenya n’a pas été touché par la numérisation pendant des années, il fait maintenant rapidement de grands progrès. Cela vient du fait qu’ils ne se lancent que maintenant dans le processus et qu’ils peuvent profiter des connaissances déjà acquises. Aujourd’hui, le Kenya, des ouvriers agricoles, parfois sans formation scolaire, peuvent désormais gérer et automatiser leur propre exploitation agricole grâce aux technologies numériques. Quand faut-il irriguer ? Quand faut-il récolter ? Tout cela peut être contrôlé en appuyant sur un bouton. L'axe s'est donc à nouveau inversé - aujourd'hui, nous avons beaucoup à apprendre d'eux. Les conférences étaient incroyablement inspirantes.
Berne et les Swiss Cyber Security Days : un partenariat sur le long terme ?
Tom : clairement, notre objectif est d’élever Berne au rang de « cybercapitale » ! Durant ces deux jours, nous avons accueilli quelque 2’300 visiteurs. Et nous attendons avec impatience la prochaine édition des Swiss Cyber Security Days, qui se tiendra les 18 et 19 février 2025. Mais nous n’entendons pas nous arrêter là : nous souhaitons intégrer durablement les questions de cybersécurité, de durabilité et de numérisation à notre portfolio, comme c’est déjà le cas pour la mobilité électrique. Les événements se créent souvent autour de personnalités fortes et de partenariats. Et le Congress Hub Bern augmente notre force d’action. Berne jouit d’une excellente situation géographique, c’est la ville fédérale, le cœur de notre système politique, et une ville qui accueille de nombreuses institutions internationales. Nous aidons les comités d’organisation à prendre pied à Berne, afin de retirer le maximum de chaque événement. Et le Bureau des Congrès de Berne leur apporte un soutien logistique: pour les Swiss Cyber Security Days, un contingent de chambres d’hôtel leur a été réservé. Cela représente une aide substantielle pour les participants comme pour les organisateurs.
Nick : exactement, nous ne voulons pas nous limiter à un événement annuel. Il s’agirait d’offrir des manifestations tout au long de l’année. Nous voulons collaborer avec d’autres pays et inviter des entreprises étrangères à nous rejoindre dans cet échange de connaissances. Berne doit devenir une véritable capitale de la cybersécurité!