Prévoyance Professionnelle Suisse «05/22»: Institutions collectives

Prévenir les cyberattaques dans les caisses de pensions

Les cas de chantage et de vol de données suite à des attaques sur Internet se sont multipliés ces dernières années. Lors de l’événement d’informations d’inter-pension, il a été question de savoir comment les caisses de pensions peuvent se prémunir contre les cyberattaques. L’assurance du risque est actuellement très chère.

Claudio Zemp
 

Une véritable course aux armements est engagée depuis quelques années, affirme  Franco Cerminara, Chief Consulting Officer de la société Infoguard spécialisée dans la cybersécurité. Dans son intervention, il décrit les cybercriminels comme des entreprises bien organisées et spécialisées qui ne sont pas si dissemblables de leurs victimes potentielles, les PME suisses ou les caisses de pensions. Il s’agit donc de mieux se protéger que son voisin et de ne laisser aucune porte ouverte aux attaquants sur Internet. Le thème de la cyber-résilience est essentiel et doit figurer en tête de l’agenda du conseil de fondation.

«You are hacked!»

Franco Cerminara cite des exemples réels d’atteintes à la sécurité survenus ces dernières années. Le pire des scénarios est celui où les pirates réussissent à paralyser une entreprise. Jusqu’à présent, on connaît surtout des cas d’entreprises industrielles qui ont dû interrompre leur activité pendant plusieurs semaines suite à une attaque. En général, les pirates bloquent l’accès aux données et les cryptent, puis prennent contact avec les victimes de l’attaque pour les soumettre à un chantage. Il est donc recommandé aux entreprises de préparer un plan d’urgence en 8 points (voir encadré). A titre préventif, il faut également investir dans la formation des collaborateurs et la détection des attaques éventuelles. Mais ce n’est qu’une bataille à moitié gagnée. En effet, il se passe souvent trop de temps avant qu’une entreprise ne se rende compte qu’elle a été attaquée. Malheureusement, en raison d’une stratégie de backup insuffisante ou inexistante, environ deux tiers des cas donnent lieu au versement d’une rançon, généralement en cryptomonnaies, précise Franco Cerminara. Ces flux d’argent sont extrêmement difficiles à retracer. Une fois le paiement effectué, la clé de chiffrement des données cryptées est restituée aux victimes et les données peuvent être restaurées.

Les primes d’assurance explosent

Lors du débat qui a suivi, le spécialiste en sécurité Franco Cerminara a discuté avec Beat Zuberbühler, responsable des services centraux à l’Asga, et Till Siegmann, conseiller Special Risks chez Kessler. Le débat a été animé par Bernhard Nitz, membre du conseil de fondation de Profond. Les attaques quotidiennes sont une réalité, confirme Beat Zuberbühler. Le thème de la cyber-résilience figure depuis des années à l’agenda du conseil de fondation. Le problème est qu’il est devenu beaucoup plus difficile de se procurer une couverture d’assurance. Il y a quelques années, on pouvait encore s’assurer contre les cyberattaques pour un montant forfaitaire auprès de certains assureurs spécialisés. C’est devenu plus compliqué et surtout plus cher. En raison des nombreux cas, les primes ont explosé mais le montant couvert a diminué et certains risques ont été exclus. Les caisses de pensions doivent donc se demander s’il ne vaut pas mieux investir dans leur propre sécurité informatique. Il est également périlleux de constituer des réserves supplémentaires dans l’éventualité d’une attaque, car les conditions réglementaires ne le permettent pas.

Till Siegmann, courtier dans le domaine de la cyberassurance, confirme la forte demande et l’appétit modéré des assureurs pour les souscriptions. Ces dernières années, les hausses de primes se sont élevées à un pourcentage à deux chiffres. Le marché se situe aujourd’hui à un tournant. C’est pourquoi les entreprises sont obligées d’investir en premier lieu dans leur sécurité informatique, conseille-t-il. C’est d’ailleurs également important pour les assureurs qui vérifient qu’un client ait bien pris des mesures suffisantes avant de lui soumettre une offre. Les PME font ainsi l’objet de vérifications détaillées par les assureurs: ont-elles mis en place une sauvegarde hors connexion, les données sont-elles segmentées et les «joyaux de la couronne» sont-ils sécurisés de manière séparée? Plus le niveau de sécurité est élevé, mieux le risque pourra être assuré.

Sensibilisation des collaborateurs

Malgré toute l’automatisation qui existe, l’humain continue à jouer un rôle central dans la défense contre les cyberattaques et la prévention. Beat Zuberbühler décrit les collaborateurs comme le maillon le plus fort de la chaîne de sécurité. La sensibilisation permet selon lui d’éviter beaucoup d’ennuis. Franco Cerminara ajoute que le «finger pointing» ne sert à rien une fois qu’un incident a été détecté. Vouloir désigner des responsables n’est utile pour personne et n’a généralement qu’une importance secondaire au vu des problèmes considérables qui résultent d’une cyberattaque.

Les tentatives d’attaques augmentent

L’année dernière, le nombre d’incidents signalés au Centre national pour la cybersécurité (NCSC) a représenté à peu près le double des annonces reçues en 2020. La plupart des incidents déclarés concernent toutefois des tentatives d’attaques, et non des attaques ayant abouti. Au total, le NCSC a reçu 21 714 annonces de cyberincidents en 2021. Le chiffre s’élevait à 10 833 en 2020. Cette forte augmentation pourrait notamment s’expliquer par l’introduction du nouveau formulaire d’annonce fin 2020. En parallèle, le NCSC a toutefois constaté une recrudescence notable du nombre de tentatives d’attaques.  (ats)

Plan d’urgence en 8 points

1. Gardez votre sang-froid et procédez de manière structurée pour rechercher des solutions aux problèmes.

2. Alertez les collaborateurs dont la contribution est indispensable pour gérer la situation et mettez en place une cellule de crise pour superviser les activités.

3. Faites appel à un soutien externe pour gérer les incidents de sécurité  (entreprises spécialisées dans la sécurité, assurances, POCA, NCSC).

4. En collaboration avec des experts, définissez les mesures immédiates à prendre. 

5. Veillez à ce que vos principaux processus puissent se poursuivre – ce qui est parfois possible sans système informatique (y compris pour le trafic des paiements).

6. Communiquez régulièrement, p. ex. avec les clients, les partenaires, les collaborateurs, le public et les régulateurs.

7. Une fois l’incident analysé et circonscrit, assurez-vous que les moyens d’action de l’attaquant soient durablement éliminés. 

8. Procédez à un nettoyage par étapes de vos systèmes informatique afin de rétablir la capacité de fonctionnement de votre entreprise.

Source: présentation de Franco Cerminara, Chief Consulting Officer, InfoGuard AG

Retour