Que s’est-il passe ?
Debut fevrier 2023, l’Universite de Zurich (UZH) — la plus grande universite de Suisse — a decouvert une cyberattaque ciblee contre son infrastructure informatique. Les attaquants avaient obtenu l’acces aux systemes internes et tentaient de penetrer plus profondement dans le reseau.
L’UZH a reagi rapidement : en collaboration avec des experts externes en cybersecurite et le Centre national pour la cybersecurite (NCSC), des contre-mesures etendues ont ete mises en place. De nombreux services informatiques ont du etre temporairement desactives ou restreints, y compris les systemes de messagerie, les acces VPN et les plateformes internes.
L’attaque n’etait pas une approche aleatoire de type « spray-and-pray », mais une operation ciblee adaptee a l’infrastructure specifique de l’UZH. Les attaquants ont utilise plusieurs points d’entree et ont demontre un haut niveau de competence technique. L’identite exacte des attaquants n’a pas ete rendue publique, bien que les experts n’aient pas exclu un acteur soutenu par un Etat.
Qui a ete touche ?
En tant que plus grande universite de Suisse, l’UZH a une portee enorme :
- Plus de 28 000 etudiants dont les donnees personnelles et les resultats academiques etaient potentiellement en danger
- Environ 9 000 collaborateurs, y compris chercheurs, enseignants et personnel administratif
- Groupes de recherche avec des projets en cours dont les donnees et resultats devaient etre proteges
- Partenaires de recherche internationaux connectes via des plateformes partagees
- L’Hopital universitaire de Zurich (USZ), qui a pris des mesures de securite supplementaires par precaution en raison de l’interconnexion informatique etroite
- Entreprises spin-off et partenaires industriels dans l’ecosysteme d’innovation de l’UZH
Les donnees de recherche medicale etaient particulierement sensibles : l’UZH mene des etudes cliniques et stocke des donnees de patients soumises a la loi sur la recherche sur l’etre humain et au secret medical.
Quelle a ete l’ampleur des dommages ?
Le dommage financier total est estime a CHF 3-10 millions, les retards de recherche et les dommages de reputation etant difficiles a chiffrer.
- Interruption des operations informatiques : plusieurs semaines de fonctionnement restreint
- Forensique et reponse aux incidents : deploiement de specialistes externes pendant plusieurs mois
- Renforcement des systemes : ameliorations de securite etendues apres l’attaque
- Couts de personnel : des centaines d’heures supplementaires de l’equipe informatique
- Retards de recherche : dommage non quantifiable lie aux projets interrompus avec des delais
Une cyberassurance aurait-elle aide ?
Analyse des couts et couverture d’assurance
| Poste de cout | Cout estime | Couvert par la cyberassurance ? |
|---|---|---|
| Reponse aux incidents et forensique | CHF 800 000-1,5 mio. | Oui — hotline d’urgence 24/7 et specialistes |
| Restauration des systemes informatiques | CHF 500 000-1,5 mio. | Oui — prestation cle de la police |
| Mises a niveau de securite et renforcement | CHF 500 000-2 mio. | Partiellement — ameliorations au-dela du niveau initial souvent non couvertes |
| Interruption d’exploitation (enseignement/recherche) | CHF 500 000-1,5 mio. | Oui — couverture perte de revenus |
| Couts de personnel (heures supplementaires, temporaires) | CHF 300 000-800 000 | Oui — surcouts lies a l’incident |
| Conseil juridique en protection des donnees | CHF 100 000-300 000 | Oui — y compris notification PFPDT |
| Communication de crise | CHF 100 000-300 000 | Oui — conseil en RP souvent inclus |
| Perte de donnees de recherche (potentielle) | CHF 1-3 mio. | Partiellement — couts de restauration oui, perte de PI difficile a assurer |
| Atteinte a la reputation | Non chiffrable | Non — perte de confiance a long terme |
| Dommage total estime | CHF 3-10 mio. | ~60-75 % potentiellement couvert |
Conclusion : Une cyberassurance aurait pu absorber la majeure partie des couts directs. L’acces immediat a une equipe de reponse aux incidents aurait ete particulierement precieux — dans les premieres heures critiques, il peut faire la difference entre un incident contenu et un dommage total.
Enseignements pour les PME suisses
Bien que l’UZH ne soit pas une PME classique, les paralleles sont frappants :
-
Surface d’attaque sous-estimee : Les universites — comme beaucoup de PME — ne se voient pas comme des cibles prioritaires. La realite montre : toute organisation disposant de donnees precieuses est une cible.
-
Systemes obsoletes : Les universites exploitent souvent des paysages informatiques heterogenes avec des systemes legacy. C’est egalement le cas de nombreuses PME.
-
Responsabilite informatique decentralisee : A l’UZH, les instituts individuels gerent leurs propres systemes. Dans les PME, une strategie de securite informatique centralisee fait souvent defaut.
-
Une reaction rapide sauve les donnees : L’UZH a pu prevenir le pire grace a une action rapide. Un plan de reponse aux incidents predefini aurait encore raccourci le temps de reaction.
-
Les attaques ciblees augmentent : Non seulement les groupes ransomware, mais aussi les acteurs etatiques et les espions economiques attaquent les organisations suisses.
-
Les dommages « legers » comptent aussi : Les retards de recherche a l’UZH correspondent aux retards de projets et aux delais manques dans les PME.
Protegez votre entreprise
L’attaque contre l’Universite de Zurich le demontre : meme les organisations qui ne se voient pas comme des cibles typiques sont touchees. La question n’est pas de savoir si, mais quand.
Demandez un conseil sans engagement. Les experts de BTAG Versicherungsbroker AG a Berne vous aident a evaluer votre cyberrisque de maniere realiste et a trouver la solution d’assurance adaptee — avant que l’urgence ne survienne.