Rétrospective

En raison d’une faille de sécurité chez un prestataire de services informatiques mandaté, un groupe de criminels professionnels a réussi à accéder aux systèmes informatiques de la CC Swissmem en début d’année. Cette cyberattaque a été constatée par le responsable informatique de la CC Swissmem durant la nuit du 4 janvier 2025. Le système informatique a alors été tout de suite arrêté et des mesures d’urgence ont été immédiatement mises en place. La nuit même, une équipe externe d’experts spécialisés dans ce domaine a été appelée en renfort afin d’entamer des travaux d’analyse approfondis et prendre des mesures de sécurité et de récupération supplémentaires, en collaboration avec des spécialistes informatiques internes. Ces spécialistes ont pu déterminer de manière fiable et rapide la cause de l’incident de sécurité mentionné précédemment.

Les autorités concernées par un tel événement, telles que l’Office fédéral de la cybersécurité (OFCS), l’Office fédéral des assurances sociales (OFAS) et le Préposé fédéral à la protection des données et à la transparence (PFPDT), ont été immédiatement informées et leurs remarques ont été prises en compte dans les décisions. Nous avons par ailleurs averti l’ensemble des quelque 1400 entreprises affiliées et, par leur intermédiaire, la totalité des quelque 200 000 collaborateurs, ainsi que, par voie postale, environ 60 000 bénéficiaires de rentes ou prestations directes et personnes sans activité lucrative. Parallèlement à la communication, une hotline a été mise en place et des questions spécifiques ont également pu être posées individuellement à tout moment par l’intermédiaire du conseiller interne à la protection des données.

Une plainte pénale a été déposée auprès de la police cantonale de Zurich, qui a immédiatement ouvert une enquête pour retrouver les auteurs. L’enquête sur les traces des auteurs a permis de remonter jusqu’à la Russie. Les auteurs de l’attaque ont également réclamé une rançon auprès de la CC Swissmem. Il n’a pas été répondu à ces exigences. Les données copiées lors de l’attaque ont ensuite été publiées sur l’Internet anonyme (darknet), comme cela était prévisible. En l’état actuel des connaissances, la recherche concrète des auteurs par la police est jusqu’ici restée infructueuse.

Dans le cadre de l’analyse, il a été possible de restreindre fortement la proportion des données sensibles dérobées et d’informer individuellement les entreprises concernées. Par ailleurs, il n’y a eu aucun mouvement de fonds et l’ensemble des rentes et autres versements ainsi que des décomptes ont toujours pu être payés ou administrés dans les temps. Les autres systèmes des entreprises membres ou des partenaires n’ont à aucun moment été affectés par l’incident. En outre, il s’est avéré fort utile que les systèmes de sauvegarde des données aient fonctionné, qu’une restauration rapide et complète des données ait été possible et que l’exploitation ait été à nouveau entièrement disponible après seulement trois jours de travail, tant en interne qu’en externe. Grâce à l’intervention rapide et résolue de l’ensemble des acteurs internes et externes, les dommages ont par conséquent été relativement faibles dans l’ensemble.

Mesures et normes de sécurité actuelles

Les normes de sécurité de la CC Swissmem étaient déjà d’un niveau élevé avant l’attaque. Une cyberattaque s’est néanmoins produite: un risque qui ne peut jamais être totalement exclu malgré une grande vigilance. Immédiatement après l’incident, des mesures exhaustives ont été prises afin de porter les mesures de sécurité à un niveau encore plus élevé et de mieux préparer la CC Swissmem aux futures menaces au-delà des normes de sécurité usuelles de la branche.

Dans le cadre de la restauration du système informatique, un projet informatique visant à passer à une solution basée sur le numérique (cloud) sera mis en œuvre immédiatement. Ce changement de système va également augmenter le niveau de sécurité informatique de l’application principale et du portail pour les entreprises membres. Cette application principale est le cœur de l’infrastructure informatique. Elle permet d’administrer et d’archiver environ 80 % des données et des informations. Situés en Suisse, les serveurs sont exploités et surveillés depuis différents sites et selon les normes de sécurité les plus strictes. En outre, toutes les données sont sauvegardées sur plusieurs systèmes de sauvegarde de données situés dans des lieux séparés. Le fournisseur de cette solution est certifié à plusieurs reprises et de manière reconnue au niveau international.

Une centrale de sécurité fonctionnant 24 heures/24 et 7 jours/7 a été mise en place, avec une surveillance permanente et des alarmes automatisées, et confiée à une personne (et pas seulement à un service de piquet sur appel). Tous les prestataires de services informatiques ont été réévalués et certains ont été remplacés. Lorsque cela s’est avéré nécessaire, des mesures supplémentaires ciblées ont été prises. De manière générale, les exigences imposées à nos prestataires de services ont été renforcées et les intervalles de vérification ont été raccourcis. Afin de mettre à l’épreuve la sécurité modernisée de la CC Swissmem en pratique, des tests de sécurité complets sont effectués chaque année. Les améliorations possibles sont ainsi identifiées, traitées et implémentées en continu. L’ensemble du personnel – et en particulier celui du service informatique – est systématiquement formé et régulièrement sensibilisé aux thèmes de la sécurité informatique.

De nombreux retours nous confirment que les mesures présentées répondent aux attentes des membres affiliés ainsi que des assurés et que nous sortons globalement renforcés de cette situation particulière.

 

Meilleures salutations

Caisse de compensation Swissmem