Une alerte rouge pour la cybersécurité bancaire en Suisse
Une cyberattaque d’ampleur a compromis les données sensibles de milliers d’employés d’UBS, Pictet et d’autres entreprises suisses. La fuite de données provient non pas des banques elles-mêmes, mais de leur sous-traitant Chain IQ. Pour Steven Meyer, directeur de ZENDATA Cybersecurity, cette affaire est emblématique d’un problème négligé : les failles fournisseurs sont devenues le maillon faible de la cybersécurité d’entreprise.
Que s’est-il passé : résumé de la fuite Chain IQ
Chain IQ, prestataire suisse basé à Zoug, a été victime début juin d’un piratage massif revendiqué par le groupe « World Leaks ». Parmi les documents exfiltrés et publiés sur le dark web :
-
Un fichier Excel contenant les informations de 137 000 employés d’UBS, avec numéros directs, fonctions, localisation et coordonnées personnelles
-
Un fichier de 230 050 lignes concernant la facturation de la banque Pictet, listant des frais divers, des achats en épicerie aux hôtels en passant par des abonnements
-
Une base de données d’entreprises clientes ou mentionnées : Swiss Life, Swisscom, IBM, AMAG, etc.
Les banques ont assuré que les données clients n’étaient pas concernées. Mais l’impact sur la sécurité des collaborateurs et sur la réputation est réel.
Conformité ne veut pas dire sécurité
Steven Meyer, Co-CEO de ZENDATA Cybersecurity, dénonce un mal récurrent : la confiance excessive dans les certifications ou audits fournisseurs.
« Trop souvent, une certification est perçue comme une preuve de sécurité. Mais elle ne protège pas face à une attaque réelle. »
– Steven Meyer.
Il plaide pour un changement de posture : ne plus se contenter de cocher des cases, mais exiger des preuves concrètes de résilience opérationnelle.
Parmi les mesures préconisées :
-
Demander des tests d’intrusion réguliers aux fournisseurs critiques
-
Vérifier les plans de remédiation et les preuves d’amélioration continue
-
Cartographier les dépendances critiques pour adapter les exigences de sécurité au risque réel
« Il n’existe pas de solution parfaite », admet Meyer, « mais la cybersécurité ne se délègue pas. C’est une coresponsabilité. »
Le vrai danger : l’angle mort des fournisseurs
Cette fuite montre que les menaces ne viennent pas toujours de là où on les attend. En signant des NDA, les entreprises partagent des volumes massifs d’informations avec leurs sous-traitants. Si ces derniers ne disposent pas du bon niveau de sécurité, c’est l’entreprise donneuse d’ordre qui devient vulnérable.
Ici, ni UBS ni Pictet n’ont été piratées directement. Mais leur dépendance envers Chain IQ a suffi à les exposer.
L’enseignement principal : sortir de la logique de conformité
La faille de Chain IQ doit servir de déclencheur. Comme le dit Steven Meyer, la sécurité ne peut pas être réduite à une formalité réglementaire.
Il faut :
-
Définir son seuil de tolérance au risque fournisseur
-
Intégrer la cybersécurité dès l’intégration des prestataires
-
Gérer la sécurité comme une question stratégique de gouvernance
L’approche de ZENDATA Cybersecurity
Chez ZENDATA, nous aidons les entreprises à dépasser l’illusion de sécurité induite par la conformité. Nos services de cybersécurité sont conçus pour affronter les menaces réelles, y compris celles provenant de la chaîne d’approvisionnement.
Découvrez nos services pour sécuriser vos relations fournisseurs.
Lisez l’article complet dans Le Temps ici.
