Comment la brasserie Rugenbräu a fait face à une cyberattaque
Un vrai choc pour l’entreprise: son prestataire informatique est victime d’une cyberattaque. Serveur e-mail, comptabilité, imprimantes, saisie du temps de travail... Tout le réseau est touché. La brasserie Rugenbräu AG met immédiatement en place des mesures d’urgence.
«En un rien de temps, nous étions de retour dans les années 90.» Remo Kobluk, CEO de Rugenbräu AG, décrit ainsi la cyberattaque perpétrée contre le prestataire informatique auquel son entreprise est liée par contrat. Aux côtés de Christian Schneiter, responsable Finances et Ressources humaines, Remo Kobluk doit faire face à la paralysie des systèmes informatiques. «Ce jour-là, on ne pouvait plus utiliser que du papier et des stylos», se souvient Remo Kobluk. Même le téléphone ne fonctionne plus, car lui aussi dépend du réseau.
Il ne nous restait que le papier et les stylos.
Appliquer le plan d’urgence
Réunie en cellule de crise, la direction examine les tâches pouvant être effectuées à la main ou hors réseau. Par exemple, elle active un numéro d’urgence. Ainsi, grâce au transfert vers le mobile privé du gestionnaire, au moins une interface avec l’extérieur reste opérationnelle. Les mesures immédiates permettent de réduire massivement la perte de revenus. Malgré les systèmes en panne, les commandes et les livraisons sont toujours possibles.
Nous tirons les bonnes leçons de cet incident et restons bien préparés.
Signaler les pertes de données
À l’heure actuelle, rien ne laisse penser que des données personnelles sont concernées. Rugenbräu employant également du personnel basé dans l’UE, la législation européenne en matière de protection des données s’applique. Une annonce au Préposé fédéral à la protection des données et à la transparence est donc obligatoire dès que des données pourraient être touchées. «Lors du règlement du sinistre, la Mobilière a attiré notre attention sur ce point en particulier.»
Toute violation de la sécurité des données doit être annoncée!
La loi fédérale sur la protection des données révisée (LPD) est entrée en vigueur le 1er septembre 2023. Ainsi, il existe désormais en Suisse également une obligation légale d’annoncer la perte de données pouvant porter atteinte à la personnalité. En cas de violation de la sécurité des données, le Préposé fédéral à la protection des données et à la transparence (PFPDT) doit en être informé.
Former le personnel
Depuis que Rugenbräu a conclu une cyberassurance il y a trois ans, la direction forme également le personnel. Le programme de sensibilisation proposé par la Mobilière comprend l’envoi de faux e-mails d’hameçonnage. «Pour l’instant, nous sommes satisfaits. Presque personne n’a cliqué sur ces messages», se réjouit Christian Schneiter.
La cyberattaque qui a visé son prestataire informatique a marqué Remo Kobluk: «Cela peut arriver à tout le monde. Cette attaque nous l’a prouvé de manière brutale.» Il ne remet toutefois pas en cause la numérisation, qui a rendu les processus de son entreprise plus simples et plus efficaces.
Nous vous soutenons
Dans le cadre de la formation de sensibilisation aux cyberrisques, nous vous proposons, outre des séquences d’exercices en ligne, la simulation d’attaques par hameçonnage. À l’issue d’une telle simulation, vous recevez une évaluation afin d’identifier les domaines dans lesquels vous et votre personnel pouvez vous améliorer.