Que s’est-il passe ?
Debut novembre 2023, Concevis AG — une entreprise baloise de logiciels specialisee dans les applications pour les autorites suisses — a ete victime du ransomware Phobos. Les attaquants ont chiffre les serveurs de l’entreprise et exfiltre de grandes quantites de donnees, qui ont ensuite ete publiees sur le Darknet.
L’incident a ete rendu public le 10 novembre 2023, lorsque la Confederation a confirme que des donnees de l’administration federale etaient egalement concernees. Concevis avait acces aux donnees sensibles de plusieurs offices federaux, dont l’Administration federale des contributions (AFC) et l’Office federal de la statistique (OFS).
L’attaque est un exemple typique d’attaque Supply Chain : ce n’est pas la Confederation elle-meme qui a ete piratee, mais un prestataire externe, par lequel les attaquants ont obtenu un acces indirect aux donnees federales.
Qui a ete touche ?
Les consequences de l’attaque Concevis etaient exceptionnellement larges :
- Administration federale des contributions (AFC) : donnees fiscales de particuliers et d’entreprises potentiellement compromises
- Office federal de la statistique (OFS) : donnees de recensement et enquetes statistiques concernees
- Office federal de l’aviation civile (OFAC) : donnees relatives a l’exploitation aerienne et a la securite
- Armasuisse : donnees d’approvisionnement de l’armee suisse
- Plusieurs cantons et communes utilisant des logiciels Concevis
- Des milliers de particuliers dont les donnees fiscales et personnelles se sont retrouvees sur le Darknet
- Concevis AG elle-meme, qui a du reduire massivement ses activites apres l’incident
Le Centre national pour la cybersecurite (NCSC) a pris en charge la coordination et a classe l’incident comme l’un des cyberincidents les plus graves de l’histoire de l’administration federale suisse.
Quelle a ete l’ampleur des dommages ?
Le prejudice financier total est difficile a chiffrer, car il se repartit entre de nombreuses organisations :
- Concevis AG : dommage menacant son existence — restauration informatique, perte de clients, atteinte massive a la reputation
- Confederation et cantons : couts de plusieurs millions pour les analyses forensiques et les mesures preventives
- Citoyens concernes : risque de vol d’identite lie a la publication des donnees fiscales
- Dommage politique : interventions parlementaires, perte de confiance dans l’administration numerique
Les estimations conservatrices tablent sur un dommage total de CHF 10-30 millions, reparti entre toutes les parties concernees.
Une cyberassurance aurait-elle aide ?
Pour Concevis AG en tant qu’entreprise directement touchee, une cyberassurance aurait pu couvrir une grande partie des couts immediats. La particularite de ce cas reside dans la responsabilite envers les tiers : Concevis est responsable de la perte de donnees vis-a-vis de ses clients (Confederation, cantons).
Analyse des couts et couverture d’assurance
| Poste de cout | Cout estime | Couvert par la cyberassurance ? |
|---|---|---|
| Reponse aux incidents et forensique | CHF 500 000-1 mio. | Oui — aide immediate par des specialistes |
| Restauration des systemes | CHF 1-2 mio. | Oui — reconstruction IT couverte |
| Notification des personnes concernees | CHF 200 000-500 000 | Oui — obligation reglementaire |
| Conseil juridique en protection des donnees | CHF 500 000-1 mio. | Oui — protection juridique incluse |
| Responsabilite civile envers Confederation/cantons | CHF 3-10 mio. | Oui — composante responsabilite cyber |
| Demandes d’indemnisation de tiers | CHF 1-5 mio. | Oui — couverture dommages aux tiers |
| Interruption d’exploitation | CHF 500 000-1 mio. | Oui — couverture perte de revenus |
| Communication de crise et RP | CHF 200 000-500 000 | Oui — souvent inclus dans la police |
| Amende PFPDT | CHF 0-500 000 | Partiellement — selon la police |
| Atteinte a la reputation et perte de clients | CHF 5-10 mio. | Non — dommage a long terme non quantifiable |
| Dommage total estime (Concevis) | CHF 12-32 mio. | ~50-70 % potentiellement couvert |
Conclusion : Une cyberassurance avec un plafond de couverture adequat (CHF 10-20 mio.) aurait pu etre vitale pour Concevis. La composante responsabilite civile envers les clients des autorites aurait ete particulierement decisive.
Enseignements pour les PME suisses
Le cas Concevis revele un risque souvent sous-estime : la vulnerabilite de la chaine d’approvisionnement. Les enseignements suivants sont essentiels :
-
Les prestataires informatiques comme facteur de risque : Si votre fournisseur de logiciels est pirate, vos donnees sont concernees. Verifiez que vos partenaires informatiques disposent de mesures de securite et de cyberassurances suffisantes.
-
Risques de responsabilite en tant que prestataire : Si votre PME fournit des logiciels ou des services informatiques, vous etes responsable des pertes de donnees. Une cyberassurance avec composante responsabilite civile est indispensable.
-
Phobos — egalement dangereux pour les PME : Le ransomware Phobos cible specifiquement les petites et moyennes entreprises. Contrairement aux chasseurs de gros gibier comme LockBit, Phobos est accessible en tant que Ransomware-as-a-Service (RaaS).
-
Tenir compte de la sensibilite des donnees : Les entreprises traitant des donnees particulierement sensibles (donnees fiscales, de sante, personnelles) portent un risque accru.
-
Securisation contractuelle : Clarifiez dans vos contrats avec les prestataires informatiques qui est responsable en cas de cyberattaque.
-
Audits reguliers : Verifiez regulierement les normes de securite de vos partenaires informatiques. Les certifications comme ISO 27001 sont un bon indicateur, mais pas une garantie.
Protegez votre entreprise
Le cas Concevis le demontre : dans l’economie interconnectee, votre entreprise n’est aussi sure que le maillon le plus faible de la chaine d’approvisionnement. Une cyberassurance vous protege non seulement contre les attaques directes, mais aussi contre les consequences des incidents Supply Chain.
Demandez un conseil sans engagement. Les specialistes de BTAG Versicherungsbroker AG a Berne connaissent les risques specifiques des prestataires informatiques et des entreprises traitant des donnees clients sensibles. Ensemble, nous trouverons la cyberassurance adaptee a votre profil de risque.