Les PME constituent une cible de choix pour les cybercriminels. D’un clic, ceux-ci peuvent paralyser toute une entreprise, comme en témoigne l’expérience de la société Weber Hofer Partner AG.
Le bureau d’architectes Weber Hofer Partner AG, situé à Zurich, reprend tous les codes caractéristiques d’un tel lieu: une belle hauteur sous plafond anguleuse avec d’innombrables fenêtres inondant de lumière l’espace aménagé sous le toit, et un intérieur ouvert à la décoration sobre et intemporelle. Des consoles de la marque USM, remplies de classeurs parfaitement alignés, font face à des bureaux dissimulés sous des plans de construction. En prenant de la hauteur, d’aucuns pourraient penser que le stylo et le papier règnent en maîtres. En réalité, ici comme ailleurs, impossible de se passer de l’ordinateur, note Josef Hofer, fondateur et propriétaire de l’entreprise. Et cela ne fait plus aucun doute depuis un certain vendredi matin du printemps 2019.
Ce matin-là, la première collaboratrice à essayer de se connecter se voit refuser l’accès. Mais rien d’inhabituel, cela arrive de temps à autre. Elle contacte donc l’assistance informatique, qui en conclut rapidement que le bureau d’architectes a été victime d’une cyberattaque. «J’étais très loin d’imaginer que notre bureau puisse susciter le moindre intérêt pour une telle attaque», déclare modestement Josef Hofer. Et nombreuses sont les entreprises à partager sa perception des risques. «Beaucoup d’entreprises pensent à tort être en sécurité. Sous prétexte qu’elles n’ont rien à cacher, elles oublient qu’elles peuvent représenter une cible potentielle, et font dès lors souvent l’économie des systèmes de cybersécurité», explique Tobias Ellenberger de Oneconsult SA, une entreprise de conseil spécialisée dans la cybersécurité. Du pain béni pour les pirates informatiques. Les tentatives d’hameçonnage, très fréquentes, sont généralement lancées à vaste échelle, sans analyse concrète des victimes potentielles au préalable.
Josef Hofer en a fait l’expérience, malgré des investissements importants dans la sécurité informatique. Outre un pare-feu et un programme antivirus toujours à jour, il prenait soin d’effectuer des sauvegardes régulières et avait même souscrit une cyberassurance, suivant l’avis de son conseiller en assurances. Malgré cela, un rançongiciel a réussi à s’introduire sur le serveur de l’entreprise et à accéder aux données internes. Dans la plupart des cas, un rançongiciel parvient à s’infiltrer dans le système informatique lorsqu’un collaborateur clique sur un document infecté, par exemple une pièce jointe d’un e-mail. «Pour autant, dire que le personnel constitue le risque principal est faux. Je reste persuadé que la formation et la sensibilisation sont les meilleures armes pour éviter de tels incidents», précise Tobias Ellenberger.
«Documents, archives, e-mails, tout avait disparu.»
Les analyses de l’entreprise informatique ont rapidement révélé que les intrus avaient déjà crypté toutes les données. «Tout avait disparu: les documents de nos projets en cours, les archives et les e-mails», raconte Josef Hofer. Pour certains projets, cela représentait plus de dix ans de travail. Pour une entreprise qui vend non pas un produit mais des prestations intellectuelles, la perte de données – stockées intégralement au format numérique – était dramatique. Pendant que l’assistance s’affairait à restaurer les données perdues, les pirates ont bien entendu proposé de résoudre le problème moyennant une somme d’argent. «Hello, dear friend!», voilà le message qu’a reçu Josef Hofer en guise de salutations, avant d’être invité à contacter les maîtres-chanteurs pour négocier les conditions. Chose qu’il a refusé de faire. «Il était hors de question de payer, car il n’y avait rien à espérer de leur part de toute façon», affirme-t-il. Tobias Ellenberger déconseille, lui aussi, de négocier en cas d’attaque. En effet, «il n’y a aucune garantie de récupérer ses données. Si l’on cède au chantage, cela pourrait se savoir et donc accroître le risque de subir d’autres attaques.» En effet, les pirates informatiques communiquent et s’organisent entre eux, telle une vraie entreprise. Par conséquent, il faut avoir conscience de l’incidence d’une perte totale de données et prendre les mesures appropriées avant qu’il ne soit trop tard.
Aujourd’hui, Josef Hofer considère qu’il s’en est tiré à bon compte. L’entreprise a perdu seulement quelques jours de travail, et toutes les données ont pu être récupérées, à l’exception des e-mails des jours précédents. De plus, son assureur Cyber a pris en charge la majeure partie des frais de restauration. Tout le monde ne s’en sort pas aussi bien, confirme Tobias Ellenberger: «Il y a eu des cas où les entreprises ont été contraintes de payer une rançon, car elles n’auraient pas pu supporter le préjudice financier lié à la perte de leurs données.» Selon ce spécialiste, l’impact psychologique d’une telle cyberattaque est aussi un aspect trop souvent oublié. «Pour une équipe, le choc peut être très violent. L’éventail des réactions va de la culpabilité aux angoisses existentielles.» Alors quel est le meilleur moyen – et le moins onéreux – de se protéger? «Lorsqu’on est une entreprise, c’est de prendre ses dispositions pour se prémunir contre les attaques les plus courantes», poursuit-il. Personne n’est à l’abri, car le risque zéro n’existe pas. Mais en prenant les bonnes mesures, une entreprise peut réduire au minimum le risque d’être victime d’une attaque.
Josef Hofer a déposé une plainte contre X auprès des services de police, une condition de son contrat d’assurance. Mais sans aucun espoir que cela aboutisse à la condamnation des coupables. Malgré tout, il est important de porter plainte, réplique Tobias Ellenberger: «À chaque plainte, la police recueille de nouvelles informations sur les structures criminelles. Elle collabore étroitement avec les autorités internationales – les auteurs des faits opérant généralement depuis l’étranger – et peut ainsi contribuer à identifier les groupes de hackers.» Depuis la dernière fois, Josef Hofer a renforcé la sécurité pour éviter une nouvelle attaque. Désormais, une sauvegarde supplémentaire a lieu sur un serveur externe au réseau de l’entreprise. «Rien n’est gratuit. Pour se protéger, il faut investir. En cas d’attaque, la note sera bien plus salée», sait-il par expérience.