Cybersécurité: inutile de créer une muraille autour de l’entreprise

Yves Hulmann

4 minutes de lecture

Pour Fabien Jacquier, co-fondateur de Kyos, mieux vaut sécuriser les données elles-mêmes plutôt que de tenter de protéger l’ensemble des réseaux.

Pas une semaine ne se passe sans qu’une nouvelle attaque informatique ou un vol de données ne se produisent. Données sur les personnes vaccinées insuffisamment protégées ou piratage de fichiers clients de compagnies aériennes, les exemples se succèdent. A quels risques faut-il être attentif dans le domaine financier et quels sont les mesures à prendre? Entretien avec Fabien Jacquier (FJ), co-fondateur, et Grégory Roux (GR) associé de Kyos, une société de conseil informatique basée à Genève spécialisée dans la cybersécurité qui conseille des entreprises telles que Aduno, BonusCard, Cornèr Banca, Postfinance ou l’UBS Card Center.

Créée en 2002, Kyos existe depuis près de vingt ans. En matière de sécurité informatique, qu’est-ce qui a le plus changé entre l’époque où vous avez fondé votre société et maintenant?

FJ: Beaucoup de choses ont bien sûr changé en deux décennies. Un aspect clé est la généralisation de l’utilisation de l’informatique en nuage, plus communément appelé le «cloud», à la fois pour le stockage et l’accès aux données. Cela a eu un impact énorme sur la façon dont doivent être appréhendées les questions en lien avec la cybersécurité. Au début des années 2000, l’idée était de créer une sorte de muraille autour de l’entreprise. En 2021, l’approche est très différente: les données peuvent être accédées aussi bien depuis l’entreprise qu’au domicile du collaborateur ou en déplacement. Les données sont donc en partie stockées sur les serveurs de l’entreprise, en partie sur le cloud voire parfois sur l’ordinateur personnel des employés.

GR: En corollaire, cette souplesse augmente aussi drastiquement la «surface d’attaque» pouvant être potentiellement exploitée par les hackers. Il faut être d’autant plus vigilant étant donné que ces derniers agissent aujourd’hui de manière beaucoup plus sophistiquée que par le passé: les hackers ne sont plus des personnes isolées derrière leur ordinateur mais ils agissent de plus en plus en réseau; il s’agit de vraies organisations.

 Les Etats-Unis mettent à disposition d’importantes capacités de stockage mais le «Patriot Act»
permet toujours au gouvernement d’accéder à des données à certaines conditions.
Une entreprise peut-elle encore se protéger complètement contre des intrusions?

FJ: Plutôt que de tenter de protéger l’ensemble de l’environnement informatique de l’entreprise, une des solutions consiste à sécuriser la donnée elle-même. Pour utiliser une image: auparavant, on essayait de placer une sorte de grillage tout autour de l’entreprise. Maintenant, on sait que le grillage est ouvert – on va alors plutôt se concentrer sur le contrôle de son accès en fonction de l’endroit où elle se trouve, via des solutions de chiffrement et d'autorisation.

Aujourd’hui, on échange des informations avec son employeur aussi bien via son e-mail professionnel, via des services de messagerie comme Whatsapp que via des chats. La multiplication de ces canaux de communications complique-t-elle la donne en matière de sécurité?

GR: On revient à la question du choix de ce que l’on va sécuriser. Faut-il sécuriser les canaux via lesquels ces données sont distribuées et consultées ou alors plutôt les données elles-mêmes? Aujourd’hui, la tendance va plutôt dans le sens de sécuriser la donnée elle-même.

Quelles branches sont les plus sensibles aux questions de sécurité?

FJ: Les cabinets d’avocats ont toujours accordé beaucoup d’importance à cet aspect mais c’est le cas aussi des administrations, des organisations internationales et bien entendu aussi des sociétés actives dans la finance ou l’industrie. Historiquement, ce sont les établissements bancaires qui disposaient des plus gros budgets consacrés à la sécurité – entretemps, ils ont été rattrapés par d’autres. A l’intérieur du secteur bancaire, les banques privées y consacrent aussi davantage de moyens que les banques de détail.

Le secteur de la finance a été passablement secoué par les vols de données au début des années 2010. S’agissant des données qui sont stockées dans le cloud, les sociétés préfèrent-elles les rapatrier sur des serveurs en Suisse, quitte à payer plus cher, ou l’aspect des coûts pèse-t-il plus lourd dans la balance?

FJ: Il faut tenir compte des spécificités de chaque pays. Les Etats-Unis mettent à disposition d’importantes capacités de stockage mais le «Patriot Act» permet toujours au gouvernement d’accéder à des données à certaines conditions. Dans l’UE, le cadre est plus favorable du point de vue de la protection des données, notamment suite à la mise en place de la RGPD qui a été un vrai accélérateur en la matière, y compris pour la Suisse. Enfin, en Suisse, les données sont protégées par la LPD, à laquelle s’ajoutent les règlementations cantonales. Mais, quelles que soient les réglementations en place, le point le plus important est de toujours savoir où se trouvent les données de l’entreprise ou de ses clients.

Le déchiffrement est toujours quelque chose qui a fait peur. Néanmoins, il existe
des solutions simples pour éviter des problèmes durant la phase de déchiffrement.
Les banques suisses ne doivent-elles pas pouvoir garantir à tout moment au client que ses données sont bien stockées en Suisse…

FJ: La FINMA n’impose pas aux banques que leurs données soient nécessairement stockées en Suisse. Son exigence est différente: les données personnelles des clients ne doivent pas pouvoir être accédées par des gens qui n’y sont pas autorisés.

Les banques sur smartphone et autres sociétés fintech ont connu un développement très rapide récemment. Y a-t-il des enjeux spécifiques liés à l’essor de ces nouveaux modèles d’affaires?

FJ: Je dirais que toutes les sociétés financières ont pris les devants en matière de cybersécurité - aussi bien les nouveaux acteurs les plus à la pointe dans les techniques numériques que les établissements bancaires plus traditionnels, à l’exemple de PostFinance. PostFinance propose désormais aussi bien des services de mobile banking que des systèmes de paiements certifiés comme Twint. Même si certains établissements traditionnels sont actuellement un peu «challengés» par les sociétés fintech, les points essentiels à protéger restent les mêmes: il s’agit avant tout d’assurer la sécurité des transactions financières. En effet, à la différence d’autres secteurs, l’enjeu consiste non seulement à protéger les données en général mais aussi à assurer que la transaction financière soit réalisée correctement. Différents risques sont à éviter: une transaction peut être détournée au profit d’un tiers, son montant peut être modifié. Pour toutes ces raisons, les données relatives à une transaction doivent être protégées à l’aide de techniques de chiffrement.

Les nouveaux acteurs des services financiers, qu’il s’agisse de fintech ou de néo-banques, n’intègrent-ils pas mieux, dès le départ, les aspects liés à la sécurité dans leurs offres de produits ou de services?

GR: Nous avons aussi beaucoup de demandes de la part de ces nouveaux acteurs. Si ces sociétés ont souvent d’excellentes compétences dans des domaines très pointus, elles ne disposent pas de tous les moyens que les «vraies» banques ont à leur disposition. Au contraire, beaucoup de start-up sont aussi des clients potentiels pour nous.

En matière de systèmes de chiffrement, on dit souvent qu’il existe deux types de risques: d’une part, que la solution de chiffrement soit trop simple; d’autre part, que l’utilisateur ne maîtrise pas le déchiffrement. Que recommandez-vous à ce sujet?

FJ: Le déchiffrement est toujours quelque chose qui a fait peur. Néanmoins, il existe des solutions simples pour éviter des problèmes durant la phase de déchiffrement. Par exemple, on peut découper la clé de déchiffrement en quatre ou cinq parties qui sont elles-mêmes entreposées dans différents endroits sécurisés. Ou alors, on peut placer la clé de déchiffrement dans un endroit ultra-sécurisé.

GR: L’important est toujours que la solution choisie soit simple. Si vous demandez à des utilisateurs d’employer un mot de passe de 32 caractères avec des minuscules, des majuscules et des caractères spéciaux, c’est bien là qu’il y a des chances qu’ils notent le mot passe sur un post-it collé à côté de leur ordinateur ! Mieux vaut alors utiliser, par exemple, un mot de passe sous forme d’une phrase, plus facile à retenir, ou mettre en place une authentification à double facteur.