Par Kathrin Schellenberg, rédactrice en chef tactuel

Au milieu de l’image, un symbole lumineux représentant un cadenas numérique fluo. En arrière-plan, image abstraite d’une piste conductrice et des circuits dont les tons bleus et roses font allusion à la complexité et à l’étroit réseau des systèmes numériques.
Photo: Shutterstock

Comme le montre la mésaventure de l’UCBA de ce printemps, les organisations à but non lucratif ne sont pas épargnées par les cyberattaques. Dans l’entretien ci-après, Giuseppe Scalzi, analyste de la sécurité informatique auprès de Compass Security, explique comment procèdent les cybercriminels, quels risques existent et quelles mesures de protection il recommande, tout particulièrement aux petites organisations.

Monsieur Scalzi, en avril 2025, l’UCBA a été la cible d’une cyberattaque. En tant qu’analyste de la sécurité informatique auprès de Compass Security, vous avez accompagné étroitement notre organisation après cet incident. Votre avis sur la cyberattaque ?
Les cyberattaques ne sont depuis longtemps plus des exceptions. Ces cinq dernières années, nous avons observé une nette augmentation de ces incidents – dans les secteurs et formes d’organisations les plus divers. À noter que, dans ce cas, les cybercriminels internationaux n’ont publié aucune donnée, ce qui est atypique. Rien ne prouve qu’ils y aient renoncé parce que nous sommes une organisation à but non lucratif, mais cela illustre l’imprévisibilité de leurs agissements.

L’UCBA a-t-elle été visée délibérément ?
Probablement pas. Dans le monde entier, des groupes de hackeurs recherchent systématiquement les failles des systèmes informatiques et passent à l’action dès qu’ils détectent une brèche. La plupart des cyberattaques sont le fruit d’opportunités. Les escrocs n’ont que faire de la morale et de l’éthique, puisqu’ils n’épargnent pas même les hôpitaux fournissant des prestations vitales. Peu importe donc la taille, la branche ou l’orientation de l’entreprise. Ce qui compte pour les pirates informatiques, c’est de pouvoir pénétrer son réseau. Certains groupes se concentrent sur de très grandes organisations afin d’obtenir des rançons aussi élevées que possible grâce à des cyberattaques isolées. D’autres se spécialisent dans les petites et moyennes entreprises (PME) et misent sur le grand nombre d’attaques.

À quelles techniques les hackeurs recourent-ils ?
Pour franchir le premier accès, ils utilisent les failles connues des logiciels. En 2021, une grande vague d’attaques a ciblé les entreprises utilisant le système d’exploitation local du serveur Microsoft Exchange. Les pirates ont ainsi pu accéder au serveur Microsoft Exchange sur internet, obtenir les droits d’administrateur et compromettre d’autres appareils du réseau. Par ailleurs, des lacunes techniques et des configurations erronées ouvrent grand les portes aux cyberattaques. Les courriels d’hameçonnage constituent une autre voie privilégiée : leurs destinataires sont invités à télécharger des logiciels malveillants, comme les « infostealers » ou voleurs d’informations. Ces maliciels s’infiltrent discrètement pour voler des données d’accès ou d’autres informations sensibles. Autre scénario : les utilisatrices et utilisateurs sont mis sous pression jusqu’à ce qu’ils divulguent des données. Un exemple : des faux SMS provenant soi-di sant de la Poste Suisse. La compromission d’e-mails professionnels (BEC) est ­aussi courante. Les cybercriminels se font passer pour des supérieurs et convainquent les employés d’effectuer des virements ou de publier des informations confidentielles. Actuellement, l’intelligence artificielle (IA) est même capable d’imiter des voix ou de réaliser des vidéos d’un réalisme confondant pour gagner insidieusement leur confiance.

L’IA joue-t-elle un rôle dans les cyberattaques ?
Oui, dans les deux camps. Les auteurs d’attaque recourent aux techniques d’hameçonnage pour élaborer des vidéos et des messages vocaux frauduleux. Lors de la première phase de l’attaque, l’IA peut également se révéler fort utile pour permettre au pirate de réunir un maximum d’informations. Mais elle joue aussi un rôle décisif pour contrer les attaques. Des solutions de sécurité modernes telles l’EDR (N.D.L.R. : « Endpoint Detection and Response » [Détection et réponse aux points de terminaison], le successeur des logiciels antivirus classiques), travaillent en mode apprentissage automatique pour analyser et corréler les activités suspectes, puis donner l’alerte.

Comment se passent ce genre d’attaques ?
Une fois franchi le premier accès, les hackeurs se procurent un aperçu de l’infrastructure informatique : quels serveurs sont présents ? Quels sont les comptes utilisateurs ? Qui jouit des droits d’administrateur ? Le principal point d’intérêt est généralement le contrôleur de domaine, cœur du réseau, là où sont gérés les mots de passe. Si les escrocs parviennent à faire main basse sur cet élément, ils ont le plein contrôle du système. Dès qu’ils ont rassemblé suffisamment de données, ils commencent à les crypter grâce à un rançongiciel. Généralement, ils exigent ensuite une rançon, souvent fonction des informations financières soigneusement sélectionnées au préalable.

Que risque alors l’organisation piratée ?
Une cyberattaque réussie peut paralyser une organisation pendant des semaines, voire des mois. Si plus aucune sauvegarde ne fonctionne, ni sur le serveur local ni sur le nuage, l’entreprise risque au pire de perdre à jamais des données importantes. Autre cas tout aussi problématique : la publication par les pirates de données internes ou personnelles de ses collaboratrices et collaborateurs. Un tel acte peut menacer son existence même ou nuire durablement à sa réputation. Une corruption des données d’accès à des prestations informatiques externes à l’entreprise peut aussi conduire à d’autres attaques. Ainsi, la première cyberattaque devient le début d’une longue série d’incidents de sécurité.

Une fois des données divulguées, les dommages peuvent-ils être limités ?
Dès que des données personnelles apparaissent dans le darknet, il est impératif d’avertir rapidement les personnes concernées et de les sensibiliser aux risques qu’elles encourent. Dans ce genre de situation, une communication transparente est essentielle – en interne comme à l’externe.

Que peuvent faire les petites entreprises ou organisations à but non lucratif pour se protéger ?
Appliquer rigoureusement ces mesures fondamentales : utiliser des mots de passe complexes non identifiables d’au moins douze caractères et une authentification à double facteur, procéder régulièrement à des mises à jour et élaborer des solutions de « Endpoint detection and response » (EDR), pour détecter des comportements suspects sur des appareils et alerter l’utilisateur. Une entreprise doit aussi disposer de directives claires concernant l’utilisation de programmes et l’attribution de droits d’utilisateur. Une formation régulière du personnel est essentielle pour détecter rapidement des tentatives d’hameçonnage. Un aspect très souvent sous-estimé : des services informatiques externes peuvent constituer un point faible et mettre en péril les organisations. Les entreprises ne devraient donc collaborer qu’avec des prestataires fiables, offrant idéalement surveillance en temps réel et détection des menaces.
Chez Compass Security, nous réalisons des tests d’intrusion, examinant les systèmes, réseaux, appareils et comportement du personnel du point de vue d’un hackeur. Les PME comme les autres entreprises peuvent en bénéficier pour améliorer leur sécurité. Lors du Red Teaming, destiné aux grandes organisations disposant déjà d’une sécurité informatique éprouvée, nous simulons des scénarios d’attaque complets afin de préparer ces entreprises aux urgences et détecter failles de défense et gestion de crise. Compass Security a son propre centre de sécurité opérationnel avec un service de gestion des détections et réponses qui aide 24 heures sur 24 et 7 jours sur 7 les PME et les plus grandes entreprises à détecter les cyberattaques et à réagir en conséquence. Un élément essentiel : aucune stratégie TI n’est aboutie sans sauvegardes sécurisées systématiques.

Si malgré toutes les protections mises en place une cyberattaque intervient – que faire ?
Le plus important : garder son calme, puis sans attendre, retirer temporairement du serveur les sauvegardes et en examiner l’intégrité. Autant que possible, il serait judicieux de bloquer provisoirement tous les accès internet de l’entreprise afin d’éviter que le logiciel malveillant se propage. Il convient aussi de désactiver les connexions VPN ainsi que tout accès extérieur, de mettre à jour les systèmes et renforcer les mesures de protection pour limiter les dommages et reprendre le contrôle de l’infrastructure TI.

Dans tels cas, quelles instances faut-il informer ?
Si ces données concernent des personnes, il s’agit d’informer l’autorité de protection des données ou le détenteur de ces dernières. Selon la branche ou la structure de l’entreprise affectée, d’autres services doivent encore être avertis. En général, le délai d’alerte est de 24 à 72 heures. Pour plus d’informations, consulter le Centre national pour la cybersécurité. Il est aussi possible de signaler une cyberattaque à la police cantonale.

Quelle leçon devrait tirer le domaine du handicap visuel de la cyberattaque de l’UCBA ?
Une cyberattaque peut affecter toute organisation – quelle que soit sa taille, son domaine ou son statut à but non lucratif. Il ne faut pas se demander « Pourquoi nous ? », mais plutôt : « Y sommes-nous préparés ? »

Après la cyberattaque, l’UCBA a considérablement renforcé la sécurité informatique. Quelles sont les trois mesures que d’autres organisations devraient également appliquer ?
Premièrement : avoir une technologie solide – mots de passe sûrs, authentification à double facteur, systèmes actuels, directives TI claires et système de protection efficace contre les ­menaces. Deuxièmement : faire évaluer objectivement leur infrastructure informatique par
une entreprise spécialisée externe – idéalement via un test d’intrusion ou un Red Teaming. ­Troisièmement : disposer d’un plan de crise bien pensé, connu de toutes et tous les protagonistes, régulièrement testé et adapté aux besoins ­actuels.

Giuseppe Scalzi / Photo: zVg

Compass Security – services en matière de cybersécurité et de cyberprotection

Compass Security est une entreprise suisse qui emploie plus de 70 personnes sur ses divers sites en Suisse, en Allemagne et au Canada. Elle est mondialement active dans le domaine de la sécurité informatique et propose des prestations telles que tests d’intrusion, Red Teaming, surveillance en temps réel, détection de menaces, formations, deuxièmes avis concernant les concepts de sécurité et assistance en cas de cyberurgence (mesures d’urgence et criminalistique numérique). Informations complémentaires sur : www.compass-security.com