Le présent repé­rage du rapport MELANI 2020/​1 n’a pas pour objec­tif de résu­mer les diverses cybe­rat­taques qui y sont mention­nées, mais plutôt de mettre l’ac­cent sur quelques-unes d’entre elles et souli­gner les recom­man­da­tions propo­sées par MELANI.

Examinons tout d’abord le rançon­gi­ciel (ransom­ware) « Maze ». Ce dernier ne chiffre pas unique­ment les données de sa victime, il la menace égale­ment de publier les données en clair si celle-ci ne paie pas la rançon. La victime risque ainsi de s’ex­po­ser à des consé­quences juri­diques si la fuite de données devait deve­nir publique. Bien que le rapport ne le mentionne pas, souli­gnons ici que même sans la publi­ca­tion des données volées par le hacker, la victime peut être civi­le­ment et admi­nis­tra­ti­ve­ment respon­sable d’avoir perdu l’ac­cès, même momen­tané, à ses données. En effet, le fait qu’un hacker réus­sisse à chif­frer des données peut être un indice sérieux que le prin­cipe de la sécu­rité des données (art. 7 LPD, art. 8nLPD et art. 32 RGPD) a été violé (cf. notam­ment swiss​pri​vacy​.law/19/​). Deux socié­tés suisses auraient d’ailleurs été victimes de ce rançongiciel.

Un autre rançon­gi­ciel, nommé « Sodinokibi/​REvil », a procédé de la même façon, à la diffé­rence près qu’il a décidé de vendre aux enchères les données subti­li­sées à sa victime. L’Étude d’avo­cats Grubman Shire Meiselas & Sacks, connue pour défendre des stars, a préci­sé­ment été victime d’un tel procédé. Les hackers peuvent ainsi réali­ser des gains même si la victime ne paie pas la rançon.

Afin de dimi­nuer le plus possible la proba­bi­lité d’être victime de telles cybe­rat­taques, lesquelles  visent souvent les ports RDP (Remote Desktop Protocol), MELANI recom­mande notam­ment les mesures suivantes :

• proté­ger tous les accès à distance par une procé­dure d’au­then­ti­fi­ca­tion à deux facteurs ;
• adop­ter et mettre en œuvre une direc­tive excluant l’emploi de mots de passe simple ;
• n’ad­mettre que des adresses IP uniques, spéci­fiques ou situées en Suisse ;
• avoir des sauve­gardes infor­ma­tiques exhaus­tives (backup);
• adop­ter des direc­tives en matière de sécu­rité, lesquelles doivent comprendre des plans d’ac­tion pour la gestion des incidents ;
• sensi­bi­li­ser les employés à la cybersécurité ;
• impo­ser à des organes diri­geants la respon­sa­bi­lité de surveiller la mise en œuvre des mesures de sécurité.

Le rapport de MELANI 2020/​1 se penche égale­ment sur les fuites de données. Il précise que ce nombre d’in­ci­dents a augmenté durant le premier semestre 2020 et que tout indique que cette tendance se pour­sui­vra à l’ave­nir. MELANI mentionne ensuite les récentes fuites de données dont EasyJet et le groupe hôte­lier Marriott ont été victimes. Le rapport souligne ensuite que les fuites de données sont de plus en plus fréquentes dans le cloud.

Afin d’adop­ter une action rapide et coor­don­née lors d’une fuite de données, MELANI recom­mande en parti­cu­lier que chaque entre­prise élabore un plan de réponse aux viola­tions de la sécu­rité des données (data breach response plan ; cf. swiss​pri​vacy​.law/​21/). Ce plan devrait inclure des proces­sus servant à préci­ser l’am­pleur du dommage, la manière d’in­for­mer les victimes, ainsi que les rapports à publier. En plus de cette analyse tech­nique et de l’éva­lua­tion de l’in­ci­dent, chaque entre­prise devrait ensuite esti­mer les consé­quences juri­diques et finan­cières possibles en raison de la fuite de données .

Le rapport MELANI 2020/​1 mentionne égale­ment l’im­por­tance du phishing par SMS (smishing). Ce procédé est de plus en plus utilisé afin de déjouer l’au­then­ti­fi­ca­tion à deux facteurs, en parti­cu­lier pour avoir accès aux plate­formes de e‑banking. À l’aide d’in­gé­nie­rie sociale (social engi­nee­ring), la victime va trans­fé­rer un code d’au­then­ti­fi­ca­tion reçu par SMS ou par WhatsApp au hacker. Il est à noter que contrai­re­ment aux SMS, WhatsApp ne peut pas bloquer les spams puisque les messages sont chif­frés et qu’au­cun inter­mé­diaire ne peut en véri­fier le contenu. La respon­sa­bi­lité de déjouer ce genre d’at­taques appar­tient ainsi aux poten­tielles victimes, lesquelles doivent apprendre à ne jamais trans­fé­rer les codes d’au­then­ti­fi­ca­tion et à véri­fier qu’elles sont sur le bon site web avant d’ins­crire ce code.

Enfin, le rapport MELANI 2020/​1 souligne que l’es­pion­nage écono­mique est une réalité en Suisse aussi. En effet, selon une étude de janvier 2020 menée par l’Institut für Strafrecht und Kriminologie de l’Université de Berne, l’es­pion­nage écono­mique touche 15 à 33% des entre­prises helvé­tiques, toutes tailles confon­dues. Les secteurs les plus expo­sés sont l’informatique, les télé­com­mu­ni­ca­tions, les sciences de la vie, la construc­tion méca­nique, l’industrie et la pharma.