Le Centre natio­nal pour la cyber­sé­cu­rité (NCSC) a publié son rapport semes­triel couvrant la période de juillet à décembre 2022. Celui-ci traite prin­ci­pa­le­ment de la cyber­sé­cu­rité des PME et, comme il le fait habi­tuel­le­ment, relate les diffé­rents évène­ments portés à sa connais­sance et commente l’évolution des cyber­me­naces en Suisse.

Les PME (englo­bant les entre­prises de moins de 250 employés) repré­sentent 99.7% des entre­prises en Suisse. Comme le reste de la société, elles n’échappent pas à la numé­ri­sa­tion. Le NCSC recom­mande aux PME d’envisager la tran­si­tion numé­rique avec précau­tion et de prendre la cyber­sé­cu­rité en compte à chaque étape de ce processus.

Les PME doivent égale­ment veiller à la main­te­nance de leurs ressources infor­ma­tiques, en profi­tant des soutiens à dispo­si­tion. Les PME peuvent typi­que­ment s’appuyer sur des recom­man­da­tions telles que les normes mini­males TIC non contrai­gnantes élabo­rées par l’OFAE et les asso­cia­tions économiques.

Il est égale­ment impor­tant de scin­der, notam­ment dans l’allocation des ressources, la cyber­sé­cu­rité de l’exploitation de l’infrastructure infor­ma­tique. Dans les faits, de nombreuses PME confient en effet ces fonc­tions à des respon­sables iden­tiques, qui ne sont en mesure d’accomplir leur tâche de cyber­sé­cu­rité qu’à titre accessoire.

Le NCSC précise que les PME doivent égale­ment veiller à la cyber­sé­cu­rité dans leurs rela­tions contrac­tuelles avec des pres­ta­taires externes, que ce soit en prévoyant des mesures de protec­tion et de défense contre les cybe­rat­taques ou en abor­dant des ques­tions telles que les sauve­gardes ou les obli­ga­tions de signa­ler des incidents.

Finalement, comme l’éventualité d’un cybe­rin­ci­dent ne peut jamais être complè­te­ment écar­tée, des plans de gestion de cybe­rin­ci­dents doivent être élabo­rés et appli­qués. Les commu­ni­ca­tions internes et externes doivent aussi faire l’objet de réflexions préalables.

Après avoir partagé les contri­bu­tions d’une infra­struc­ture de trans­ports publics et de la police au sujet de cybe­rat­taques passées, le NCSC fait état dans son rapport des annonces de cybe­rin­ci­dents reçues. Leur nombre a consi­dé­ra­ble­ment augmenté en 2022, passant de 21 714 en 2021 à 34 527 l’année suivante (en raison notam­ment de la noto­riété crois­sante du NCSC, de son formu­laire et de l’évolution de certaines cybermenaces).

L’escroquerie demeure la première menace rappor­tée au NCSC, avec comme variante prin­ci­pale les cour­riels envoyés préten­du­ment par la police (5 179 annonces). Parmi les cas d’escroquerie, des attaques visant les admi­nis­tra­teurs de sites Internet ou des cas de fraude à l’investissement ont égale­ment été annon­cées au NCSC durant le second semestre de 2022. Les cas de phishing signa­lés illus­trent comment les escrocs calculent des proba­bi­li­tés et privi­lé­gient des opéra­tions courantes, comme la noti­fi­ca­tion de services d’expédition avec un colis à récupérer.

Alors que le nombre d’attaques par rançon­gi­ciel semble être demeuré stable, le nombre d’annonces de pira­tage a forte­ment augmenté, avec des cas de fake sextor­sion basés sur des attaques réelles. Ces cas impliquent le pira­tage d’un compte de victime, p.ex. sur un réseau social sur lequel du contenu porno­gra­phique est publié, pour l’effrayer avant de la faire chanter.

Le NCSC émet quelques recom­man­da­tions géné­rales pour éviter que des intrus trouvent un accès initial à un système infor­ma­tique, en préco­ni­sant l’authentification à deux ou plusieurs facteurs ou la fonc­tion de mise à jour inté­grée et auto­ma­tique des logi­ciels. Il est égale­ment possible de se réfé­rer aux infor­ma­tions acces­sibles sur le site Internet du NCSC en cas d’attaque par rançon­gi­ciel ou de fuite de données. Le rapport du NCSC se termine avec un point sur la situa­tion en Ukraine qui se semble se défendre avec succès contre les cybe­rat­taques russes.