Modifié le 21 août 2019 à 12:01

L'ombre des ransomwares plane sur l'économie suisse

Les attaques informatiques sur les entreprises de plus en plus nombreuses en Suisse.
Les attaques informatiques sur les entreprises de plus en plus nombreuses en Suisse La Matinale / 3 min. / le 21 août 2019
Devant l’augmentation et la récurrence des attaques au ransomware -ou rançongiciel-, c’est toute l’économie suisse qui s’interroge. Avec une question centrale dans chaque entreprise: comment se faire indemniser après une attaque?

Une paralysie totale de 4 jours ainsi qu'une perte estimée de chiffre d'affaires de 5 millions de francs. L'entreprise Meier Tobler, active dans le bâtiment, a livré des précisions sur la cyberattaque dont elle a été victime le 24 juillet. Cotée en bourse, la société lucernoise annonce également que les coûts exceptionnels liés à la lutte contre l’attaque devraient peser de 1 à 2 millions sur le résultat annuel. Cette somme comprend "la gestion de la crise, la récupération des données ainsi que le travail d'entreprises externes", selon son porte-parole Martin Schäppi.

Plus de mails, plus de téléphone, plus de système de gestion, de livraison, de paiement ou de réservation. Ces ransomwares ou rançongiciels paralysent donc des entreprises entières et, souvent, ne les libèrent qu'au paiement d'une rançon.

L'attaque de Meier Tobler est l'un des rares cas rendus publics en Suisse. Les sociétés sont réticentes à évoquer ce genre d'incident, par crainte d'un dégât d'image. Raison pour laquelle en Suisse, il n’y a pas de chiffres fiables sur les retombées économiques de ces attaques. Même si les choses pourraient changer. Dans un esprit de sensibilisation aux cyber risques, une obligation de déclarer les attaques à la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI) est à l'étude. Le Conseil fédéral doit présenter un projet aux Chambres.

Un phénomène massif

En attendant, il faut se tourner vers les entreprises de sécurité informatique pour avoir un ordre de grandeur. Selon Malwarebytes, lors de l'année écoulée, la détection de ransomware a augmenté de 363%. Les cibles privilégiées par les hackers sont les villes, les écoles et les hôpitaux. Le rançongiciel notPetya aurait à lui seul coûté 10 milliards de dollars à l'économie mondiale. Autre exemple, le géant norvégien de l'aluminium, Norsk Hydro, a dû déconnecter ses différents sites et usines. Les pertes ont été estimées à 30 millions de francs.

Le phénomène prend de l'ampleur et la Suisse n'est pas épargnée. Pour preuve, MELANI a déjà mis en garde les entreprises deux fois cette année à la suite de vagues d’attaques informatiques.

Le ransomware "Petya" en action. Il s'agit de payer une rançon sur le dark web pour récupérer ses données.
Le ransomware "Petya" en action. Il s'agit de payer une rançon sur le dark web pour récupérer ses données. [Christian Beutler - keystone]

Comment les entreprises font-elles face à ces coûts inattendus? A nouveau, les données officielles manquent. Si certaines entreprises passent l'attaque par pertes et profits, d'autres cherchent à se préserver. Les assurances contre les cyberattaques sont en plein essor. S'il y a une augmentation de la demande, la pénétration du marché est encore faible, selon l'Association Suisse d'Assurance.

"C'est certainement un marché à fort potentiel, mais le développement du marché suisse est très timide", confirme Eric Henchoz, spécialiste cyber risks chez IBC. "Oui, tous les assureurs se mettent à proposer diverses couvertures mais très souvent avec une approche différente. De manière relativement usuelle, quatre risques principaux sont proposés: les dommages propres (perte d’exploitation, frais de restauration de données, amendes et pénalités), la gestion de crise (frais d’investigation, conseils-frais juridiques, frais de relations publiques, frais de prévention), les dommages aux tiers (dédommagement du préjudice, frais de défense) et l'extorsion/chantage (rançons, frais d'experts/intermédiaires, conseils de cyber extorsion et de crise)."

La rançon du succès

Les assureurs proposent donc dans leur couverture de risques le paiement des rançons ainsi que les négociations avec les hackers. "L'assureur va d'abord négocier et s'il voit que cela s'envenime (en défendant toujours les intérêts de son assuré), il risque de payer le montant initial de la rançon. Le réflexe de l'assureur est d'abord de négocier, en plus cela lui permet d'augmenter ses connaissances. Il tente de soutirer des informations dans sa tractation avec les hackers, pour mieux conseiller ses futurs clients ou faire évoluer son produit d'assurance."

Pourtant, la Confédération recommande de ne pas céder au chantage, car l’argent de la rançon permet notamment de développer de nouveaux virus et il n’y a pas de garantie de retrouver les données piratées.

Contrairement à d'autres risques, les assureurs ont encore peu de recul sur les sinistres liés aux ransomwares. "Les risques cyber font partie des risques émergents comme l’intelligence artificielle, les risques liés au changement climatique, les risques politiques et la gestion des ressources naturelles", selon Eric Henchoz. "Cependant, historiquement, les assurances se basent sur les statistiques et la loi des grands nombres. En l’espèce, vu le peu recul et d’expériences, les assureurs doivent désormais estimer le risque sans bases aussi concrètes ou, très souvent, se baser sur des données anglo-saxonnes pas toujours pertinentes pour notre marché."

Avec le recul, certains assureurs pourraient quitter ce marché des cyber-risques devant le montant des indemnités à débourser.

Se mettre au chômage technique

Mais les entreprises, qui n'ont pas d'assurances privée, peuvent-elles invoquer le chômage technique? C’est en tout cas ce qu'a tenté une petite PME vaudoise d’une dizaine de personnes. A la suite d'une attaque, elle a cessé son activité pendant une semaine. Le patron se tourne alors vers le chômage. On est en mars de cette année. C’est une première pour le service vaudois de l’emploi. "On a considéré que nous pouvions intervenir, en estimant qu'il s'agissait d'un cas de rigueur", explique Françoise Favre, cheffe de service ad intérim. "La loi sur l'assurance chômage permet, dans certaines circonstances quand il s'agit de motifs indépendants de la volonté de l'employeur, de prendre ce motif en considération et d'indemniser la perte de travail."

Malgré ce préavis favorable, cette PME ne sera pas dédommagée, l'inactivité ayant été trop courte. Pour l'heure, la loi sur le chômage ne prévoit rien sur les cyberattaques. Le Secrétariat d’Etat à l’économie prend la chose au sérieux et promet d'analyser les retombées sur l’économie suisse, notamment par le biais du chômage.

La tâche s’annonce compliquée. Les entreprises camouflent le plus souvent ces cyberattaques… voire paient les rançons.

>>Regarder le ransomware Petya entrer en action

Pascal Wassmer

Publié le 21 août 2019 à 08:36 - Modifié le 21 août 2019 à 12:01