Cybersécurité : audit des participations de Renaissance
Dans le cadre de son programme ESG, Renaissance a initié en 2023 une revue des infrastructures IT sous l’angle de la cybersécurité pour chacune de ses 11 participations.
L’ensemble des évaluations a été réalisé par la même entité, à savoir Compass Security, afin de garantir des résultats comparables. Fondée en 1999, Compass Security est une société de conseil en sécurité informatique suisse, reconnue dans toute l’Europe.
Elle emploie plus de 65 personnes et possède des bureaux en Suisse, en Allemagne et au Canada. Son cœur de métier est d’effectuer des tests d’intrusion ou de pénétration pour identifier les potentielles vulnérabilités de l’infrastructure de ses clients et proposer des mesures d’amélioration.
Afin de mieux comprendre les tenants et aboutissants de la démarche, Renaissance a rencontré Sylvain Heiniger, IT Security Analyst chez Compass, ayant réalisé l’audit de plusieurs participations de Renaissance.
Sylvain Heiniger a rejoint l’entreprise il y a 7 ans, après avoir terminé ses études à l’EPFL et réalisé un Master en informatique avec une spécialisation en sécurité. « Chez Compass, je suis chargé d’accompagner nos clients pour réaliser des audits de sécurité. Je réalise des interviews, effectue les tests de sécurité, compile les résultats dans un rapport et organise un débriefing pour analyser les résultats et trouver des solutions aux problèmes identifiés ».
PANORAMA DU CYBER-RISQUE POUR LES PME
Comment estimez-vous le niveau moyen de la sécurité des PME en Suisse ?
Je le considère comme acceptable, bien que les investissements en faveur de la sécurité informatique soient souvent insuffisants. Toutes les entreprises sont concernées par le risque de cyber-attaques, quels que soient leur taille et leur domaine d’activités. Aujourd’hui, les criminels ciblent les entreprises les moins bien protégées et, malheureusement, les victimes font appel à nous une fois que l’attaque a eu lieu.
Quelles sont les attaques les plus courantes contre les PME ?
Les statistiques montrent que plus de 90% des attaques commencent au moyen d’un phishing, vecteur préféré des cyber-criminels. Les arnaques aux CEO font également partie des attaques les plus récurrentes. Dans ce cas-là, un email est envoyé au nom du CEO à la comptabilité par exemple, demandant d’effectuer une transaction pour un montant souvent très élevé. Une fois le versement effectué, il est malheureusement trop tard, sauf si la banque a pu bloquer le paiement dans l’intervalle.
Quelles sont les conséquences d’une cyber-attaque ?
Une attaque peut coûter plusieurs centaine de milliers de francs à une entreprise, en prenant en compte l’analyse de l’incident, le rachat de matériel, la restauration des sauvegardes et le temps perdu à ne pas pouvoir travailler, parfois pendant plusieurs jours ou semaines. Ces coûts peuvent affecter la viabilité d’une petite entreprise.
Comment avez-vous vu évoluer les cyber-risques ?
Il y un certain nombre d’années, les attaques ressemblaient à celles que l’on pouvait voir dans les films, avec des hackeurs spécialisés dans le vol de données d’une entreprise bien ciblée pour des raisons d’espionnage. Aujourd’hui, les attaques sont un peu différentes car il est facile de se procurer des virus sur internet. Cette activité est devenue très lucrative pour les personnes malveillantes.
AUDIT DES PARTICIPATIONS DE RENAISSANCE
Vous avez récemment audité les 11 sociétés du portefeuille de Renaissance. Comment vos travaux ont-ils été accueillis ?
L’accueil a été globalement très positif. Nous avons ressenti une réelle volonté de collaboration et d’amélioration. Les responsables IT sont souvent ravis de notre présence car nos constats et recommandations représentent un levier auprès de la direction pour la convaincre de l’importance de la sécurité et de la mise en œuvre de mesures concrètes.
Quelle a été la méthodologie utilisée ?
Notre but était d’avoir une vision d’ensemble de la sécurité de l’infrastructure de chacune des entreprises. Dans cette optique, nous avons séparé le processus en trois étapes.
Premièrement, nous avons réalisé une interview avec les personnes responsables de l’IT au sein de l’entreprise, parfois accompagnées de leur prestataire externe dans de nombreux cas. Le but était de comprendre l’étendue de l’infrastructure et les besoins de l’entreprise car l’analyse du risque dépend de l’activité de cette dernière. Ensuite, à partir des premières informations récoltées, nous avons préparé une centaine de questions ciblées nous permettant d’entrer en détail dans les processus, les mesures de sécurité, l’organisation de l’IT, etc. Ces informations nous ont permis d’identifier les failles et de définir les mesures d’améliorations. Enfin, nous avons rédigé un rapport détaillé pour chaque entreprise, relevant les potentiels risques classés par ordre d’importance et les indications techniques sur les différentes manières de les anticiper. Ce rapport a fait l’objet d’un débriefing par visioconférence en présence de la société auditée et de Renaissance. Cette discussion a permis de commenter les résultats et de répondre aux questions sur les mesures concrètes à mettre en place.
Quels ont été les résultats globaux et les principales mesures d’amélioration ?
De manière générale, les PME de Renaissance auditées ont toutes assimilé les bonnes pratiques de base, particulièrement en ce qui concerne la sauvegarde, la perméabilité des infrastructures vis-à-vis de l’extérieur et la gestion des droits d’accès. Nous avons constaté une réelle motivation pour améliorer la sécurité de leur entreprise. Nous avons discuté des différentes solutions à mettre en place en fonction de la taille de leur entreprise et de leur activité dans le but de réduire les risques identifiés. Le déploiement de ces mesures reste toutefois un challenge pour les PME car il s’agit de concilier les risques et les besoins du terrain alors que les ressources ou le temps viennent souvent à manquer.
À l’image de la plupart des PME suisses, les recommandations générales concernent premièrement les mises à jour de logiciels. Elles doivent en effet être effectuées de manière rigoureuse car en cas d’attaque sur une machine dont le système est obsolète, la personne malveillante profitera de ces vulnérabilités pour en prendre le contrôle. Ensuite, les réseaux doivent être séparés pour éviter une centralisation de tous les appareils, et les accès des collaborateurs limités à leur cadre de travail. Nous recommandons également d’utiliser des mots de passe forts et l’authentification à deux facteurs. Enfin, il est primordial de désactiver les macros si on ne les utilise pas, en tous les cas de limiter leur exécution, car ces dernières sont souvent utilisées par les attaquants pour exécuter du code sur une machine, leur offrant ainsi une porte d’entrée pour diffuser des logiciels malveillants.
La facteur humain peut représenter un risque important. Quelles ont été vos recommandations ?
Nous recommandons d’organiser régulièrement des formations internes, ainsi que pour tous les nouveaux collaborateurs dans le but de leur apprendre à utiliser les outils de manière adéquate et de les sensibiliser aux risques liés à ces technologies.
Avez-vous constaté des différences selon les domaines d’activités des entreprises auditées ?
Les entreprises bénéficiant de certifications ISO par exemple, ou ayant déjà réalisé des audits de ce type, montraient une plus grande maturité en matière de cybersécurité. Dans le secteur de la production, les craintes principales concernent la sécurité des machines pouvant être stoppées sur une plus ou moins longue période, mettant en péril l’entreprise. Pour d’autres, la préoccupation majeure concerne le vol de données financières et les dégâts d’image pouvant pousser l’entreprise à mettre la clé sous la porte.