Elles méconnaissent les risques liés aux cyberattaques et, plus que tout, manquent de temps et de moyens pour s’en prémunir. Les PME sont les cibles rêvées des hackers, contrairement à ce qu’elles pourraient croire, comme l’a pointé Mathieu Simonin lors du Forum sur la cybersécurité qui s’est tenu au Y-Parc d’Yverdon-les-Bains jeudi dernier.

«Les entreprises sont de plus en plus victimes de rançonnage, ou «ransomware» en anglais, par le biais d’e-mails infectés grâce auxquels les pirates prennent le contrôle de tout ou d’une partie de leurs données et ne les restituent qu’une fois la somme exigée versée sur un compte, le plus souvent en bitcoins, ce qui facilite le blanchiment.»

Une année crispante

Pour cet analyste de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (Melani), «les criminels fonctionnent selon une logique opportuniste et cherchent des cibles vulnérables parmi des entreprises de toutes tailles, dans tous les secteurs. Ce qui est certain, c’est que les criminels continuent de trouver assez de cibles insuffisamment protégées pour que leurs activités soient extrêmement profitables.»

Ces «ransomwares» vont se multiplier et — de manière plus vaste — l’internet des objets et l’internet mobile vont encore élargir le champ d’action des hackers. Melani a déjà repéré plusieurs attaques menées en janvier par le biais de «malwares», comme Emotet par exemple, ce qui laisse augurer d’une année riche en tentatives de ce genre.

Rien de plus aisé également, pour un pirate informatique, que de se faire passer par exemple pour un fournisseur ou, mieux encore, d’usurper l’adresse e-mail du CEO pour donner un ordre de transfert au responsable des finances. «Avant de lancer l’attaque, les criminels vont rechercher des informations sur des sources ouvertes. Parfois également, ils vont préalablement pirater un compte e-mail ou une plateforme de collaboration en ligne», ajoute Mathieu Simonin. Y compris contre de petites sociétés mal outillées pour se défendre.

C’est au Y-Parc Swiss Technopole d’Yverdon-les-Bains que s’est constitué le projet de soutien Tech4Trust, qui aide quatorze start-up actives dans la cybersécurité. Un «programme unique en Suisse, au profit d’un développement économique autour de la cybersécurité», explique Raphaël Conz, chef de l’Unité entreprises au Service de la promotion de l’économie et de l’innovation (SPEI) du Canton de Vaud. Le programme InnoSuisse épaule également les jeunes pousses, avec un budget annuel de 200 millions de francs.

Acquérir de la clientèle

«Il s’agit de regrouper diverses start-up d’un secteur particulier et de les connecter avec l’industrie, dans un mouvement d’accélération, afin qu’elles puissent rapidement développer un modèle d’affaire, des prototypes et se lancer dans l’acquisition de clientèle», complète Lan Zuo Gillet, directrice de l’EPFL Innovation Park, partenaire de Tech4Trust avec la Haute École d’ingénierie et de gestion du Canton de Vaud (HEIG-VD). Les quatorze start-up de ce pôle bénéficient ainsi du mentorat de seize patrons d’entreprises pour passer à la vitesse supérieure.

Les solutions imaginées par ces start-up visent toutes la plus grande simplicité possible pour les PME et leurs employés. «Car 90% des infections sont dues à une imprudence humaine», rappelle Julian Selz, CEO et cofondateur de CyberQ, qui propose de scanner le site web d’une entreprise pour 40 francs par mois. En cas de doute sur un e-mail ou un fichier joint, l’outil signale tout de suite un danger potentiel, ce qui évite de cliquer machinalement sur le lien fatal. Mais un employé informé en vaut deux, et c’est dans cet esprit que Cécile Maye a monté MegaVerse, pour le sensibiliser à toutes les situations potentiellement dangereuses. «C’est un tutoriel, mais sous forme de jeu vidéo, en streaming, qui reproduit diverses scènes d’une journée de travail usuelle, et dont le déroulé dépend des choix que vous faites, avec analyse et explications après chaque chapitre», précise-t-elle.

Autre exemple, le QR code mis au point par ScanTrust qui empêche les contrefaçons. «Si votre produit est imité, QR code compris, le cœur du code, lui, n’aura pu être contrefait et signalera tout de suite la fraude», explique son président, Julien Picard. Très utile aussi pour le suivre à la trace et s’assurer qu’il n’a pas été détourné de sa destination initiale. Mentionnons encore Exo-Sys, active dans le stockage des données en lieu sûr, NetGuardians, plus spécialisé dans le combat contre la fraude bancaire, ou NextDayVison et ses alternatives ingénieuses aux mots de passe. «Ils se complexifient de plus en plus, on ne s’en souvient pas, et ils sont en somme assez vulnérables», diagnostique Philippe Kapfer, qui propose des alternatives simples sous forme de clés codées et d’identifications faciale ou digitale.