Comment mieux assurer la sécurité informatique des entreprises genevoises, par Pierre Maudet
Chacun(e) de nous est concerné(e) par la criminalité informatique. Sans exception. L’interconnexion croissante des infrastructures des entreprises et des données personnelles est une condition nécessaire pour profiter des avantages du numérique. Mais ce maillage, tant au niveau des usages que des avancées technologiques, augmente les risques associés au cyberespace. Aujourd’hui, la question n’est plus de savoir «si», mais «quand» ses réseaux raccordés à Internet seront attaqués. Pour autant que l’on en prenne conscience, il est possible de s’y préparer efficacement. Comprendre les enjeux du numérique, s’informer de ses dangers, les prendre au sérieux et anticiper les menaces peuvent permettre de gérer les agressions potentiellement graves comme de simples incidents informatiques.
Dans le monde réel, on ne peut pas envisager d’activité économique sans établir des règles et se doter d’une police pour les faire respecter. Dans un univers virtuel, en constante évolution, le même principe doit prévaloir. La sécurité est un état d’esprit. Rapporté au numérique, il doit même devenir un réflexe. L’Etat de Genève a un rôle à jouer. Il peut accompagner les entreprises dans leurs nouveaux défis technologiques et les sensibiliser aux cyberrisques. En particulier les petites et moyennes structures (PME), qui constituent la colonne vertébrale de l’économie du canton. Ces dernières, davantage vulnérables que les entités de plus grande taille, sont devenues les cibles privilégiées des criminels de la Toile.
Environ la moitié des PME genevoises ont déjà subi des attaques informatiques. Si les malfaiteurs exploitent, dans 70% des cas, des failles humaines pour extorquer des sommes relativement modiques, ils ne s’enrichissent véritablement qu’en faisant le plus grand nombre de victimes possibles. Avec des centaines de milliers de nouvelles variantes de programmes malveillants apparaissant chaque année, le coût mondial des dommages liés aux cyberattaques devrait avoisiner les 6000 milliards de francs par an à l’horizon 2021, contre environ 3000 milliards en 2016. Mais la criminalité en ligne n’est pas une fatalité.
Le Département de la sécurité et de l’économie, dont j’ai la charge, organise le 9 mars une matinée de conférences et d’échanges dédiés à la sécurité informatique, dans l’idée d’encourager les entreprises genevoises à se prémunir des risques engendrés par la numérisation. Cet événement sera l’occasion de distribuer un «kit de survie», pour identifier les comportements à risque, comprendre les modes opératoires des escrocs du web et développer le sens critique des PME. Apprendre à créer les bonnes conditions à l’interne, pour maintenir un oeil vigilant sur les activités numériques de son entreprise, est aujourd’hui une compétence essentielle dans notre rapport à la technologie. Agir en réseau pour échanger avec ses partenaires et, pourquoi pas, avec d’autres entreprises du secteur économique concerné, doit également faire partie des automatismes. Tout comme une relation public-privé renforcée, en s’appuyant sur ce que l’Etat met à disposition en termes de prévention et de sensibilisation, voire de réponse avec la police.
Il est important de faire dorénavant front commun et preuve de coordination, face à la complexité des difficultés et à la transdisciplinarité qui caractérise la sécurité informatique. Pour instaurer un climat propice au renforcement de cette dernière, les PME ont notamment besoin de comprendre quelle est leur part de responsabilité en la matière. Elles doivent aussi réaliser qu’une partie des réponses se trouvent en elles. Loin de chercher à encourager un climat de psychose, c’est une cyberhygiène durable et enseignée à tous que j’appelle de mes voeux.
La criminalité s’adaptant rapidement, les forces de l’ordre doivent pouvoir mettre à jour leurs registres pour alerter les PME sur la réalité des dangers, leur évolution, le nombre exact, le type, la variété, la nature et la rapidité des attaques endurées. Afin d’assurer cette veille, il est besoin de documenter les cas de piraterie via Internet. J’invite donc les entreprises à dépasser le sentiment de honte de s’être fait hacker et de s’exprimer à l’avenir sans tabou sur ces questions, sachant qu’une approche décomplexée commence par le fait de porter plainte en cas d’agression. J’entends inaugurer ce 9 mars une nouvelle plateforme collaborative disponible sur cybersecurite.ge.ch, sous l’égide de la brigade de criminalité informatique de la police cantonale genevoise, afin de mieux recenser les cyberattaques et identifier l’accompagnement technologique qui en résulte.
Genève abrite toutes sortes d’organismes internationaux, discutant et fixant des règles valables pour le monde entier. Notre canton peut contribuer à élever les standards en matière notamment de cybersécurité, et servir de plateforme pour les échanges de bonnes pratiques. Mais pour cela, il faut balayer d’abord devant notre porte, afin de donner l’exemple d’un territoire particulièrement soucieux de son haut niveau de sécurité numérique.
▅
Environ la moitié des PME genevoises ont déjà subi des attaques informatiques