Investir dans la sécurité

Let's go!

Investir
dans la
sécurité

Investir
dans la
sécurité

Les enjeux de la sécurité ont pris une ampleur considérable, tant pour les entreprises que pour les investisseurs. D’un côté, les particuliers recherchent des solutions efficaces et personnalisées pour protéger leurs avoirs. De l’autre, les entreprises et les collectivités doivent faire face à des défis croissants liés à leurs données et à leurs infrastructures.

La cybersécurité,
un enjeu de taille pour les entreprises

La cybersécurité,
un enjeu de taille pour les entreprises

L’ère du tout numérique ouvre la voie à des innovations technologiques de pointe, mais également aux cyberattaques qui se sont récemment multipliées. Devenue un véritable coffre-fort des données, la Suisse se distingue par son savoir-faire dans la protection des entreprises.

Les plus grandes entreprises sont mises à genoux. En 2014, des hackers avaient fait plier Sony et le tout Hollywood. Révélée la même année, la faille "Heartbleed" a touché plus d’un demi-million de sites internet, pointant la vulnérabilité croissante des entreprises, grandes et petites, en matière de protection des données. Il va sans dire que les cyberattaques figurent parmi les cinq plus hauts risques pour une entreprise.

Au niveau mondial, les coûts liés à la cybercriminalité devraient s’élever à 2100 milliards de dollars d’ici 2019, soit quatre fois plus qu’en 2015, selon les estimations de Juniper Research. Le cabinet estime que le nombre d’attaques devrait baisser globalement, mais qu’elles gagneraient en contrepartie en efficacité.

Ces entreprises suisses attaquées

En Suisse, PME, multinationales et organes publics ne sont pas épargnés. Voici les plus grandes cyberattaques dont a été victime le pays depuis 2009.

Département fédéral des affaires étrangères
(octobre 2009)

La première cyberattaque d'envergure contre le réseau du gouvernement a secoué la sphère politique. Des pirates paralysent l’accès aux systèmes informatiques du Département fédéral des affaires étrangères (DFAE). Y a-t-il eu vol de données ? Mystère. Si elles sont connues, les raisons de la cyberattaque n’ont, elles aussi, jamais été divulguées.

PostFinance
(décembre 2010)

Lorsque PostFinance décide de fermer le compte du fondateur de WikiLeaks Julian Assange, la riposte ne se fait pas attendre. Des pirates sympathisants paralysent le site web de l’établissement bancaire qui souligne que les cyberattaques n’ont pas touché les comptes.

Banque cantonale de Genève
(janvier 2015)

Le 8 janvier, la BCGe rend publique une tentative de cyberattaque. Des pirates informatiques s’emparent de plus de 30'000 courriels à destination de la banque provenant des formulaires de contact que remplissent les internautes. Rançon : 10'000 euros. Comme la banque refuse de céder au chantage, les pirates publient en ligne les données volées. Des informations, souligne la BCGe, certes privées, mais « non critiques ».

ProtonMail
(novembre 2015)

Pendant plusieurs jours, ProtonMail subit de violentes attaques informatiques menées par deux groupes d’assaillants. Les fondateurs du service de messagerie électronique ont reçu une demande de rançon avant que la salve ne commence. ProtonMail souligne que « la sécurité des données n’avait pas été compromise durant l’attaque ».

CFF, Migros, Coop
(mars 2016)

Une attaque informatique massive bloque pendant plusieurs heures de nombreux sites de vente en ligne suisses. Parmi les victimes, les filiales des groupes Migros – Digitec, LeShop, Micasa… – et Coop, ainsi que la plateforme online des CFF. Cette opération de déni de services n’a pas été revendiquée. Le MELANI, centrale spécialisée dans la cybersécurité, n’écarte pas une tentative d’extorsion.

Ruag
(mai 2016)

L’attaque est devenue un cas d’école pour les autorités helvétiques. Pendant au moins une année, des pirates ont pénétré les systèmes de Ruag. En tout, ce sont plus de 20 Go de données qui ont été dérobés au géant bernois de défense et d’aéronautique, propriété de la Confédération. Le Ministère public a ouvert une enquête pénale contre inconnu pour suspicion d’espionnage industriel. Dès 2017, Ruag investira des dizaines de millions de francs pour renforcer ses activités dans la cybersécurité.

Ces enjeux font grandir les besoins en matière de sécurité en tout genre. Le marché mondial de la cybersécurité atteindrait 170 milliards d’ici 2020, au rythme d’un taux de croissance annuel de 10%. Des multinationales, mais également des start-up, se positionnent sur ce marché en plein essor, alors que moyennes et grandes entreprises investissent de plus en plus dans la cybersécurité.

Pour l'investisseur, les valeurs de la sécurité promettent des rendements attrayants

Le panier "Cyber Security 2" de Vontobel affiche une performance de 8,37%. depuis janvier.

Composition du panier

Le sous-jacent

La Suisse, un coffre-fort des données

Les données pourraient être le nouvel eldorado de la Suisse, grâce à sa stabilité et à sa réputation de discrétion et de fiabilité. De plus en plus d’entreprises mettent en avant le fait qu’elles stockent leurs données sur le territoire helvétique. Une véritable manne pour les sociétés spécialisées dans le domaine, après les nombreux scandales d’espionnage généralisé suite aux révélations d’Edward Snowden, ancien conseiller de l’Agence nationale de sécurité (NSA).

La LRens et ses conséquences
La nouvelle loi sur le renseignement (LRens) acceptée par le peuple suisse le 25 septembre dernier pourrait changer la donne. En effet, selon son application effective, le Service de Renseignements de la Confédération pourrait accéder aux données contenues sur les serveurs des centres de données helvétiques. Une nouvelle donne qui pourrait mettre en péril les avantages compétitifs de la protection des données en Suisse, et donc remettre en question ce nouvel eldorado pour les entreprises du secteur.

Plus d'

1 mia

de francs investis ces 5 dernières années en Suisse dans des centres de données informatiques.

1

centres de données en Suisse. Soit presque autant que la Chine (74);
et plus que la Russie (47).

Surface des data centers
en augmentation de

1%

ces 5 dernières années.

La LRens et ses conséquences
La nouvelle loi sur le renseignement (LRens) acceptée par le peuple suisse le 25 septembre 2016 pourrait changer la donne. En effet, selon son application effective, le Service de Renseignements de la Confédération pourrait accéder aux données contenues sur les serveurs des centres helvétiques. Une situation qui pourrait mettre en péril les avantages compétitifs des entreprises actives dans la protection des données en Suisse. Et, par conséquent, remettre en question ce nouvel eldorado.

Ces entreprises expertes de la cybersécurité

En jouant sur la discrétion et l’environnement stable de la Suisse, elles ont fait du pays un des leaders mondiaux de l’hébergement de données. Coup de projecteur sur quelques sociétés qui protègent les données du monde entier.

Cliquez sur les points

Green.ch Group

Fondé en 1995, le groupe Green.ch, qui comprend les entreprises green.ch et Green Datacenter AG vient de finaliser son siège à Lupfig, poursuivant son expansion. Le fournisseur de services internet et de solutions de protection de données a racheté plus tôt en 2016 un important centre de données à l’ouest de Zurich. En tout, Green.ch exploite désormais quatre sites indépendants qui hébergent les données de quelque 100'000 clients, des PME notamment.

Multiven

Créé en 2005 aux Etats-Unis, Multiven se spécialise dans les services de maintenance des réseaux et de cyberdéfense, à des prix inférieurs à ceux des fabricants traditionnels. Le fondateur de la société Peter Alfred-Adekeye se veut complètement indépendant face aux vendeurs de logiciels. C’est par ailleurs l’atout de la neutralité helvétique qui l’a convaincu de déménager son entreprise en Suisse en 2009. Pour lui, aucun doute : la Confédération est bel et bien un eldorado en matière de protection des données.

ProtonMail

Les révélations d’Edward Snowden ont eu l’effet d’un catalyseur pour ProtonMail. Fondée en 2013, la start-up genevoise a vu ses services de messagerie cryptée rapidement pris d’assaut. En 2015, la start-up, qui offre un chiffrement des e-mails de bout en bout, lève deux millions de dollars, notamment investis dans les infrastructures. La même année, ProtonMail est victime d’une cyberattaque de grande ampleur. L’entreprise compte aujourd’hui près d’un million d’usagers partout dans le monde.

Abissa

Lancé à Lausanne en 1993, Abissa figure parmi les précurseurs de la sécurisation et de l’hébergement des données en Suisse. En charge depuis 1995 de la sécurité informatique du Forum de Davos, l’entreprise a déployé ses filiales dans d’autres cantons. Le CEO René Fell est également le président de la toute nouvelle association Vigiswiss, qui rassemble des sociétés actives dans la protection des données.

Safehost

Le leader romand dans l’hébergement de données a engagé de gros investissements ces dernières années. Son premier centre de 5000 m2 à Genève n’étant plus suffisant, Safehost inaugure en 2016 un nouveau site à Avenches qui comprend de gros coffre-fort pour ordinateurs. A Gland, la construction d’un nouveau bâtiment est en cours. La compagnie espère y abriter quelque 80'000 serveurs. Parmi la centaine de clients qui ont choisi Safehost pour sécuriser leurs données, la moitié sont étrangers.

Deltalis

Autrefois spécialisé dans la conservation d’objets d’art, Deltalis gère désormais entre autres un centre de données dans le canton d’Uri qui, avant 2011, était l’un des plus grands bunkers militaires jamais construits en Suisse. Quinze mille mètres carrés hautement sécurisés qui sont devenus un symbole des opportunités économiques de la Suisse en matière de protection des données. Fondée en 2007, Deltalis compte parmi ses clients des multinationales et des sociétés de stockage et de cryptage de données.

La sécurité à l'heure des
smart cities

La sécurité à l'heure des
smart cities

Les smart cities sont devenues un phénomène émergent avec la croissance urbaine rapide et le développement des technologies numériques. Les fonctions et l’exploitation d’une smart city créent cependant de nouvelles vulnérabilités sur les habitants qui demandent de repenser les architectures de sécurité.

Une smart city est développée, déployée et maintenue avec l'aide de l'Internet des objets (IoT).Or, la gigantesque attaque par déni de service qui en octobre 2016 a interdit l’accès aux sites de Netflix, Spotify, Airbnb, SoundCloud ou PayPal aux Etats-Unis a été effectuée en utilisant plus de 100 000 objets connectés. Tout récemment, Deutsche Telekom a aussi été visé par une attaque sur la base du logiciel Mirai qui infecte d'abord un réseau d'objets domestiques connectés - du baby phone aux caméras de surveillance - avant de lancer des attaques à plus grande échelle.

Il est de notoriété publique que les dispositifs de l’internet des objets comme les thermostats Nest sont peu fiables en termes de sécurité informatique. Avec le développement de l’internet des objets en tant qu’infrastructure des smart cities, ce sont donc des équipements critiques tels que les réseaux d’eaux et d’énergie, l’éclairage urbain ou bien encore les transports publics qui deviennent soudain la cible potentielle de cyberattaques. Que ce soit pour les saboter ou pour voler les données collectées.

En Suisse, les entreprises actives dans le secteur croissant des smart cities font de cette dimension sécurité un facteur de différenciation.

La maison connectée, première brique de la smart city

Éclairage public

Eteindre une ville en prenant le contrôle de son éclairage public ? Théoriquement possible, ce scénario demeure limité. En Suisse, des entreprises comme Novaccess ou Swisstraffic intègrent des modules à radiofréquence dans les boîtiers de l’éclairage public. Et elles ont pris en compte la dimension cybersécurité de leurs solutions. Swisstraffic utilise ainsi la technologie NarrowBand NB-Fi qui offre un niveau de sécurité plus élevé avec un fonctionnement autonome continu en cas de coupure de courant ou d’internet. Le signal est aussi protégé contre un débranchement intentionnel, un affaiblissement ou des bruits de fond.

Signalisation

Les chercheurs de Kapersky Lab ont testé la sécurité des capteurs qui équipent les feux rouges au Royaume-Uni pour s’apercevoir de leur grande vulnérabilité. En l’espèce, après avoir repéré physiquement la marque des capteurs sur place, ils se sont rendus sur le site du fabricant pour en extraire de précieuses informations. La documentation technique expliquait comment envoyer une commande à ces dispositifs. Ils ont ensuite suggéré que les marques des fabricants n’apparaissent plus sur les capteurs et d’introduire des processus d’authentification renforcés pour y accéder.

Caméra de surveillance

Suite à la vaste cyberattaque de l’automne dernier aux Etats-Unis, le fabricant de caméras de sécurité Xiongmai Technology Co. a rappelé ses produits fabriqués avant 2015 après qu’il ait été démontré que les pirates s’étaient servis de ces appareils connectés à l’internet des objets pour mener leur opération. Les caméras de vidéo-surveillance sont les objets connectés les plus répandus aujourd’hui. Imperva, l’un des leaders de la cybersécurité, a pu démontrer que ces caméras présentes dans de nombreux lieux publics peuvent être transformées en botnets par des cybercriminels, parce que certains ne prennent pas la peine de protéger leur réseau en changeant les mots de passe par défaut des appareils. Une précaution qui pourrait désormais devenir standard.

Réseau d'eau courante

Au niveau d’un immeuble, les eaux représentent en moyenne 30 % des charges. Or, de 15 à 25 % de l’eau consommée est perdue suite à des anomalies pourtant facilement détectables. Les changements climatiques et l’urbanisation ont fait monter la question de l’approvisionnement en eau au sommet de l’agenda de nombreuses municipalités et pas seulement dans les régions menacées de sécheresse. Londres, par exemple, s’attend à un déficit quotidien de 133 millions de litres en 2020. Château d’eau de l’Europe, la Suisse est moins concernée mais son activité de R&D et de commercialisation se déploie cependant dans le domaine de la gestion intelligente de l’eau. Spécialiste de la détection acoustique des fuites dans les réseaux d’eau urbains, l’entreprise zougoise Gutermann est ainsi un leader mondial avec sa technologie Zonescan. Elle collabore avec NEC pour sécuriser ses réseaux.

Réseau électrique

Sur le papier, les compteurs intelligents et les smart grids sont de bons moyens pour améliorer l’efficience énergétique. Mais ces dispositifs développés par des acteurs comme Landis & Gyr constituent aussi un point d’entrée nouveau pour des cyberattaques susceptibles de conduire à un blackout. En Suisse, l’entreprise Xemtec a développé une solution qui évite la prise de contrôle potentielle des compteurs électriques (ou d’eau et de gaz). Ses lecteurs optiques connectés se greffent, en effet, sur les compteurs mécaniques pour juste photographier les données de consommation.

Télémédecine

L'agence européenne de sécurité informatique Enisa a récemment alerté sur les risques en matière de cybersécurité que présentent les dispositifs médicaux connectés, en particulier s'ils sont reliés à des systèmes d'information clinique. «Le développement de la télémédecine et des dispositifs de santé connectés amène les hôpitaux à se transformer en adaptant des solutions intelligentes qui ignorent parfois les nouveaux problèmes de sécurité, », indique ce rapport qui appelle les organisations de santé à définir des exigences spécifiques de sécurité informatique pour les composants de l’Internet des Objets. Une partie du problème est que les hôpitaux contiennent toutes sortes de données qui sont tentantes pour les pirates. Le piratage des systèmes hospitaliers pourrait aussi leur donner accès à des médicaments sur ordonnance.

Smart parking

Depuis le mois d’août, Lausanne teste la technologie de Tinynode pour orienter les automobilistes vers les places de parc libres en extérieur. Placé sur ou sous les places, ses capteurs détectent la présence des voitures parquées et transmettent ces informations au GPS, à une application mobile et sur des panneaux d’affichage. Pour les municipalités, cette solution est destinée à diminuer le traffic puisqu’en ville jusqu’à un tiers des véhicules circulant sont en fait en quête d’une place de parc.

Poubelle connectée

Membre du réseau CitiZen qui rassemble huit entreprises actives dans les smart cities, EcoWaste commercialise un système qui rationalise et permet de gérer à distance le ramassage des ordures. Son système de pesée des sacs à ordures sécurisée par une carte magnétique remise aux ménages permet de connaitre le niveau de charge des conteneurs et ainsi d’optimiser la planification du ramassage. Relié à un réseau sans fil, le système permet aussi à l’administration de facturer ses taxes en ligne comme aux habitants d’accéder leur compte en ligne.

L’écosystème émergent de sécurisation des smart cities

Les start-up suisses qui évoluent dans les smart cities profitent d'un engouement croissant. Zoom sur quelques jeunes entreprises parmi les plus prometteuses.

Cliquez sur les logos

Plair

Les enjeux de sécurité des smart cities ne concernent pas seulement les données récoltées, les réseaux et les dispositifs finaux. C’est aussi l’occasion de déployer de nouveaux dispositifs qui augmentent la sécurité du public. C’est ce que s’emploie à faire la start-up genevoise Plair. Elle a développé des mini stations qui analysent les particules fines telles qu’allergènes et autres polluants dans l’air et transmettent ces données en temps réel à la place des échantillonnages et analyses en laboratoire actuels. L’entreprise déploie les premiers réseaux de la dernière version de ses stations de détection Rapid-E dans les cantons de Genève, de Vaud et du Tessin.

Plair

Les enjeux de sécurité des smart cities ne concernent pas seulement les données récoltées, les réseaux et les dispositifs finaux. C’est aussi l’occasion de déployer de nouveaux dispositifs qui augmentent la sécurité du public. C’est ce que s’emploie à faire la start-up genevoise Plair. Elle a développé des mini stations qui analysent les particules fines telles qu’allergènes et autres polluants dans l’air et transmettent ces données en temps réel à la place des échantillonnages et analyses en laboratoire actuels. L’entreprise déploie les premiers réseaux de la dernière version de ses stations de détection Rapid-E dans les cantons de Genève, de Vaud et du Tessin.

Wisekey

Après le rachat des activités microprocesseurs d’Inside Secure, le spécialiste genevois de cybersécurité Wisekey développe une offre à la fois hardware et software pour sécuriser les smart cities. «Il s’agit à la fois d’intégrer nos puces cryptographiques au niveau des capteurs de l’internet des objets et notre technologie de certificats d’identifiant au niveau des réseaux», explique Carlos Moreno, responsable de cette activité chez Wisekey. L’entreprise vient d’annoncer un partenariat avec Wellness Telecom, en Espagne, pour intégrer cette technologie dans ses offres d’éclairage public et de gestion intelligente des déchets. Elle collabore aussi avec Microsoft au sein de l’initiative CityNext.

Novaccess

Dans l’éclairage public, l’heure est au remplacement des lampes sodium par celles à LED qui représentent plus de 50% des ventes en Europe. La start-up yverdonnoise Novaccess a identifié cette opportunité en ajoutant un contrôleur numérique connecté aux lampadaires afin mieux gérer l’éclairage pour économiser de l’ordre de 40 à 60% d’électricité. Déployée dans une première et bientôt une seconde rue à Lausanne, sa solution a fait l’objet d’un soin particulier en termes de sécurisation d’un réseau radiofréquence qui pourrait avoir d’autres applications que l’éclairage. Dans le cadre d’un projet de recherche financé par la CTI, Novaccess a adopté une solution cryptographique qui permet de segmenter ces futures applications. «En cas d’attaque sur nos contrôleurs, ils basculent automatiquement en mode standard afin d’éviter que des pirates ne puissent éteindre une ville », ajoute Yannick Iseli, co-fondateur de l’entreprise.

Esmart

Les modules électroniques communiquant au travers du réseau électrique du spin-off de l’EPFL eSMART permettent de contrôler depuis un smartphone ou son vidéophone son chauffage et l’accès à son appartement ainsi que de suivre ses consommations d’énergie. L’entreprise équipe déjà un certain nombre d’ éco-quartiers comme Eikenøtt à Gland ou Greencity à Zürich et prochainement le quartier de l’Etang à Vernier. « Nous avons choisi de sécuriser les données en les maintenant physiquement sur place pour l’accès par vidéophone et avec un système de clés de sécurité provisoires pour l’accès par smartphone », explique le CEO de l’entreprise Fabrizio Lo Conte.

Xemtec

La société fribourgeoise Xemtec a développé une technologie de lecteurs optiques associés à un système de transfert et d’analyse des données qui s’adapte à n’importe quel compteur mécanique (eau, gaz, électricité). Il est même suffisamment simple pour pouvoir être posé par l’utilisateur final. «Les photos de la consommation sont encryptés sur place avec une clé qui ne peut être décryptée que sur le serveur du prestataire», explique Bastien Cheseaux, le directeur de cette entreprise fortement exportatrice.

Sécurité des placements:
conseils

Sécurité des placements:
conseils

En 2017, la politique s’invite au bal des économistes

Pour les investisseurs, le principal risque est celui de chocs électoraux, selon nombre d'experts, et de leur impact sur les portefeuilles. «Au final, il faut se concentrer sur les risques de marché», souligne Andreas Blümke, chef des investissements chez Vontobel à Genève. Ses conseils: diversifier le portefeuille entre le cash, les actions et obligations, l'or et les produits structurés.

Ils existe aussi des stratégies pour tirer profit de l'incertitude lors d'une année d'élections dont même les instituts de sondages ne parviennent à prédire l'issue. Andreas Blümke suggère par exemple de vendre, la veille des votations, des futures (ou contrats à terme) pour une valeur équivalente au portefeuille actions détenu par l’investisseur, qui rachète ensuite dès le lendemain ces futures avant l'ouverture, ceci pour se protéger contre le «gap risk», ou le risque de décrochage, même bref, des cours entre l'avant et l'après-élections.

Hedging avec des futures: neutraliser le risque d’un portefeuille

Les experts s'accordent à dire que la croissance mondiale pourrait être tirée par les secteurs de la technologie et la santé aux Etats-Unis, mais aussi par les actions et les obligations émergentes en 2017, avec en particulier la fin de la récession au Brésil et en Russie. Les pays développés connaissent une lente reprise, en dessous de 2% de croissance, alors qu’elle est d’environ 5% pour les pays émergents et de 10% pour la Chine.

«Les banques ayant un niveau de fonds propres supérieur à
14-15% sont à recommander, les meilleurs se situant autour des 18%.»
Andreas Blümke,
chef des investissements
chez Vontobel à Genève.

Sécurité du compte en banque: ce qu'il faut savoir

Confier son argent à des banques bien capitalisées est aussi avisé: «les banques ayant un niveau de fonds propres supérieur à 14-15% sont à recommander, les meilleurs se situant autour des 18%», souligne Andreas Blümke. Rappelons qu'en Suisse, les épargnants peuvent se voir ponctionner leur argent en cas de faillite bancaire, selon une ordonnance de la FINMA, même si c'est là une mesure de dernier recours. Dans une ordonnance datée du 30 août 2012, l'Autorité fédérale de surveillance des marchés financiers prévoit en effet que les épargnants d'une banque en danger de faillite peuvent, dans le cadre d'une procédure d'assainissement, voir leurs comptes ponctionnés aux fins de sauvetage de l'établissement, ou une partie de leur dépôt converti en actions (fonds propres) de la banque. Cette hypothétique ponction concerne uniquement les avoirs de plus de 100'000 francs, et se ferait sous certaines conditions, précise l'Ordonnance de la Finma sur l'insolvabilité des banques et des négociants en valeurs mobilières. Dans le cadre d'un plan d'assainissement, il faut que toutes les autres mesures de recours soient épuisées au préalable, à savoir que toutes les classes de créanciers (actionnaires de la banque, porteurs obligataires) aient déjà été mises à contribution, et qu'il n'existe plus d'autre recours, à part la procédure de faillite, qui serait forcément dommageable aux épargnants. A noter que l’ordonnance ne précise pas de pourcentage pour de tels prélèvements sur les comptes, car ils dépendent des situations individuelles. Pour rappel, les dépôts de 100'000 francs sont garantis en cas de faillite en Suisse. Si un épargnant dispose de 120'000 francs, des ponctions peuvent donc le concerner sur 20'000 francs. La garantie est assurée par l’association «Garantie des dépôts des banques et négociants en valeurs mobilières suisses», ou esisuisse, constituée en 2005 à Bâle.

Sous la supervision de Dino Auciello, rédacteur en chef adjoint

Auteurs
Dino Auciello

Fabrice Delaye

Myret Zaki

Vidéo
Matthieu Hoffstetter
Fanny Wicky

Rédactrice en chef
Myret Zaki

Direction artistique
Pierre Broquet

Graphisme
Charlène Martin

Iconographie
David Huc
Cendrine Pouzet

Édition
Inès Girod

Intégration/
Développement

Geoffrey Raposo

Contact
Rédaction Bilan
11, rue des rois
1204 Genève
bilan@bilan.ch
Tél. +41 22 322 36 36

Publicité
Tamedia Publications romandes
Cellule produits numériques
advertising.tamedia.ch
Tél. +41 21 349 40 48