Cyberattaque: trouver le bon partenaire pour se défendre

Mais que fait la police en matière de cybersécurité? Que font nos forces de l’ordre et nos autorités pour nous protéger, alors que les cyberattaques se multiplient et que le grand public découvre l’ampleur du phénomène. Absolument plus personne n’est à l’abri et la récente attaque, qui touchait des données de santé de privés, dans des cabinets médicaux neuchâtelois, a frappé les esprits.

 

La réponse à cette question a été donnée au dernier salon «Swiss Cyber Security Days», qui s’est tenu début avril à Fribourg. Et elle est simple: ne comptez pas sur la confédération pour se substituer à la responsabilité des cantons, des PME et des particuliers. Chacun est responsable de sa sécurité.

 

Est-ce que le 117 répond-t-il en cas de cyberattaque?

Pour prendre un parallèle concret, dans le monde physique, se protéger des voleurs, en fermant son appartement à clé, en renforçant son système de sécurité, en mettant un cadenas ou une caméra si nécessaire, est une affaire individuelle. Chacun, particulier, PME, administration ou association doit s’organiser. Chacun doit trouver aujourd’hui le meilleur moyen d’assurer sa cybersécurité. En revanche, en cas de cambriolage, dans la vraie vie, les personnes victimes appellent la police, qui répond présente. Mais qui contacte-t-on en cas de cyberattaque? C’est la question prioritaire, à laquelle il faut penser dès maintenant, pour éviter des ennuis en série. Est-ce que le 117 répond-t-il en cas de cyberattaque?

 

Chacun doit s’organiser sans compter sur l’état

La Berne fédérale s’est dotée de plusieurs centres de compétence forts pour lutter contre la cybercriminalité et la cybermenace. Le département des finances d’Ueli Maurer, présent au salon Swiss Cyber Security Days de Fribourg, chapeaute le Centre national pour la cybersécurité (NCSC). Du côté militaire, l’armée œuvre depuis quelques années maintenant à la création d’un commandement cyber, opérationnel en 2024 et un premier bataillon de spécialistes a été créé. Il est important de noter que ces organisations militaires auront comme première préoccupation de protéger l’infrastructure du DDPS et ne seront pas à disposition pour répondre à des besoins civils en priorité. Par ailleurs, plusieurs cantons, à l’image de Genève ou du Jura, ont renforcé leurs effectifs d’agents consacrés à la cybercriminalité ou ont monté des structures ad hoc. Fribourg a nommé un commissaire à la sécurité numérique.

 

Ceci est, certes, un bon pas en avant. Les pouvoirs publics sont donc en train de s’organiser. Mais il est à supposer que ces quelques effectifs supplémentaires ne suffiront pas a tenir le flux grandissant des demandes. Le 117 du numérique risque de «sonner occupé» pendant quelque temps encore.

 

Une PME sur quatre en Suisse a déjà été attaquée

Mais qu’en est-il des PME, les victimes les plus fréquentes du piratage ? Les tentatives d’intrusion enregistrées par les entreprises helvétiques ont bondi de 65% par rapport à 2020, selon des chiffres publiés dans le Temps par le spécialiste californien en sécurité informatique Check Point Software. Selon de récentes études de marché, une PME sur quatre en Suisse, a déjà été attaquée, parfois avec des conséquences fatales. Les attaques par rançongiciel sont celles qui ont le plus augmenté. Les pirates qui auront crypté des systèmes informatiques, restituent les données contre une rançon, qui peut aller jusqu’à plusieurs centaines de milliers de francs.

 

Les PME suscitent en priorité la convoitise des voleurs de données. En réponse, des entreprises comme ELCA ont étendu leur offre. Elles proposent un accompagnement sur toute la chaine, de l’anticipation à la remise en place des systèmes, en passant par la protection et la défense.

 

Alors que faire? Se défendre c’est avoir un partenaire fiable

Les PME ne disposent pas des mêmes ressources, en termes financiers ou de personnels, que les grandes entreprises. Pourtant, elles possèdent elles aussi des données sensibles sur leurs clients, fournisseurs et employés ou des documents stratégiques, qui intéressent la concurrence. Les dangers de déstabilisation, liés aux cyberattaques, sont donc très grands.

 

Alors que faire? Il ne suffit pas d’installer un antivirus, firewall, backup, cryptage, etc. Il faut aussi mettre en place des processus complets de protection. Tout cela nécessite des investissements et des partenaires fiables, généralement extérieurs, car la plupart des PME n’ont pas d’équipes propres affectées à la cybersécurité. Ceci est compréhensible car ces spécialistes sont rares et leur maintien à bon niveau de compétence est couteux.

 

La difficulté réside à trouver la bonne approche et les bons partenaires. Les visiteurs d’une conférence telle que les Swiss Cyber Security Days se rendra à l’évidence de la difficile tâche du choix, au vu du nombre de prestataires spécialisés. Mais lequel choisir?

 

Une compréhension de cet écosysteme complexe

Ce partenaire doit avoir une compréhension claire de cet écosystème complexe, des menaces et des réponses possibles, sur toute la chaine de valeur de l’entreprise. Prendre le temps du choix du partenaire de confiance, de proximité, qui servira de coordinateur des autres spécialistes est une nécessité.

 

Le Groupe ELCA par exemple, fort de plus de 50 ans d’expérience dans la mise en place de systèmes complexes, est aujourd’hui en mesure de déployé l’éventail complet de cette chaine vertueuse, de l’anticipation à la restauration des systèmes rendus défectueux suite à une attaque. Au bénéfice d’une taille suffisante de spécialistes, le Groupe est en mesure de répondre au pied levé aux sollicitations des entreprises en difficulté.

 

Autant le dire tout de suite, cela a un coût, qui en vaut la peine, car une PME correctement protégée n’est plus rentable pour un hackeur. Il est donc fondamental que chacun prenne la cybersécurité au sérieux afin de ne pas allonger la liste des victimes.

Urgence: il faut sécuriser les données des patients!

Imagine-t-on une banque qui placerait l’argent de ses clients dans des coffres-forts ouverts à tous? Non! Alors pourquoi ce qui est impensable pour les institutions financières se pratique-t-il couramment dans le monde médical? De nombreux médecins stockent les dossiers de leurs patients, qui contiennent des données sensibles et extrêmement personnelles, dans des serveurs, sans mesures de sécurité particulières. Qui souhaiterait que ses différentes pathologies et traitements soient étalés sur la place publique?

 

La catastrophe était programmée et elle s’est produite dans le canton de Neuchâtel, où 43’651 fichiers médicaux se sont retrouvés en ligne sur le darknet, après avoir été la proie de pirates informatiques. Un patient séropositif ou un autre qui consomme de la drogue ont ainsi vu leur secret médical violé. «Une catastrophe», a commenté le président de la Société neuchâteloise de médecine, Dominique Bünzli.

Cette dernière cyberattaque en date va peut-être enfin donner le signal d’une vraie mobilisation pour sécuriser les données. Si Neuchâtel a été touchée cette fois-ci, toute la Suisse est concernée.

 

L’avertissement neuchâtelois

La menace des cyberattaques est d’autant plus prégnante que le monde médical est en train de faire sa bascule numérique, avec le dossier électronique du patient, le DEP.

Cela fait des années que l’on en parle du dossier électronique et son introduction se fait à la manière suisse, fédéraliste. La loi est entrée en vigueur en avril 2017 et depuis avril 2020, le DEP est obligatoire pour tous les établissements stationnaires, publics autant que privés, tout comme depuis avril 2022 pour les EMS.

 

Le DEP promet un gain de temps, d’efficacité et une meilleure prise en charge. Qui se souvient du nom de tous ses différents médicaments? Qui n’a pas oublié un jour d’informer ses différents médecins des médicaments prescrits, lorsque plusieurs pathologies sont cumulées? Qui n’a pas cherché pendant des heures son carnet de vaccination papier? Qui n’a pas dû insister de nombreuses fois auprès de son médecin ou d’un hôpital pour obtenir les informations concernant ses traitements?

 

Lever les obstacles en sécurisant les données

Le DEP est une solution qui se veut simple pour pallier la coordination trop souvent défaillante du système de santé suisse, disent les milieux concernés. Mais il se heurte encore à pas mal de résistances, en raison des changements culturels nécessaires et de la grande question de la sécurité des données qui préoccupe évidemment patients et professionnels de la santé.

Pourtant les solutions sont là.

 

Le concept du DEP est bien rôdé, on sait ce qu’il faut faire pour le mettre en place et les outils informatiques sont là. Reste à accompagner le changement de mentalité nécessaire à son adoption, à large échelle.

 

Outre une infrastructure technique basée sur les standards de sécurité les plus stricts et auditée régulièrement par des organismes indépendants, l’accès au dossier est protégé par une identité électronique hautement sécurisée. Que ce soit pour les patients ou les professionnels de la santé. De par la loi, tout accès par d’autres personnes, comme les assureurs maladie par exemple, est interdite.

 

Pour ce faire, CloudTrust, une filiale du groupe Elca, a créé la solution TrustID qui permet à des entités souveraines de fournir des identités électroniques vérifiées. Cela garantit un accès uniquement aux personnes identifiées au dossier électronique et de pouvoir tracer avec certitude qui a accédé à quel dossier et quand.

 

Cette identité électronique est reconnue par toutes les communautés de références en Suisse pour l’établissement d’un DEP, Communautés en un coup d’oeil – eHealth Suisse (e-health-suisse.ch. Chacun peut établir son identité électronique en quelques étapes après avoir téléchargé l’application sur son smartphone trustID : the trusted Swiss digital identity (eID) | ELCA et fait vérifier son identité en personne ou par vidéo. CloudTrust propose aussi cette identité électronique pour les professionnels de santé.

 

Mettre en œuvre des plateformes digitales connectées au DEP pour apporter des solutions aux patients

ELCA accompagne aussi ses clients dans la mise en œuvre de plate-forme digitales e-santé connectées au DEP. Elle a notamment participé à la mise en œuvre et continue de faire évoluer la plateforme d’Ofac, la coopérative des pharmaciens suisses.

 

Mario Magada, le Directeur général d’Ofac, vient d’annoncer le lancement, ce printemps, de l’accès au DEP de la Confédération via la plate-forme abilis e-santé. Quelque 400 pharmacies en Suisse sur les 1000 membres de la coopérative proposeront à leurs clients d’ouvrir un dossier électronique d’ici la fin de l’année. Ceux-ci peuvent ainsi avoir, en un seul endroit, sécurisé, toutes leurs données médicales, analyses de sang, radiographies ou autres vaccinations…

 

L’intérêt de la mise en œuvre de ce type de système, et de l’adhésion progressive de la population, est d’améliorer l’efficience de la coordination des soins et d’augmenter la responsabilisation des patients par rapport à la gestion de leur santé. La numérisation du secteur de la santé permettra ainsi de minimiser les analyses inutiles et la transmission d’informations non sécurisées par fax et lettres pour une prise en charge des patients et une meilleure santé publique globale.

 

La gestion de nos données: une priorité!

La commission de la politique de sécurité du Conseil national réclame un cloud souverain pour la Suisse. Elle demande, à juste titre, que le projet associe les milieux académiques, scientifiques et économiques, dans l’optique de partenariats publics-privés. Tout ne devrait donc pas être centralisé par la Confédération. La prise de conscience de l’importance du stockage et de la protection des données est en train de faire un bond de géant. Rappelons qu’à fin 2020, la Suisse ne voyait pas la nécessité de se doter d’une infrastructure numérique indépendante, estimant qu’il n’était pas démontré qu’il s’agissait là d’un «facteur de succès pour la place économique suisse». Les mentalités évoluent et la question du stockage et du traitement des données se pose dorénavant, avec urgence.

 

Les données sensibles

Aujourd’hui de plus en plus d’entreprises, d’autorités, d’administrations et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur le cloud computing. Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le nuage, et l’accès aux données, aux services et à l’infrastructure se fait à distance.

 

La première question qui devrait être posée est celle du degré de sensibilité et de criticité des données confiées, pour leur assurer le plus haut niveau de sécurité. Les données les plus sensibles doivent être inviolables et inaccessibles. Nous devons donc pouvoir en garantir l’accès et l’intégrité, que ce soit lors du stockage, des transferts et du traitement.

 

Les paramètres importants pour protéger les données

Aborder le problème de la gestion et du stockage des données sous l’angle de la souveraineté territoriale est extrêmement important mais pas suffisant. Il est important d’avoir une approche globale qui permet de pérenniser le système dans son ensemble. Les paramètres importants qui doivent entrer en ligne de compte sont :

  • la localisation des données et leur for juridique
  • la capacité d’influence et d’accès (eg US Cloud Act)
  • la gestion du cryptage (si nécessaire) et des clés de cryptage en particulier
  • un concept qui englobe une stratégie cloud, une gouvernance, la security compliance, le data management,
  • une approche systémique qui couvrira les outils métiers et autres systèmes legacy, un plan de migration tenant compte des intérêts, besoins et contraintes du client, ainsi que leur paramétrage,
  • Un monitoring précis qui devra prendre en compte les coûts, les charges des systèmes, mais également la sécurité en temps réel
  • Une identification et une gestion des risques (souveraineté, espionnage économique, dépendance envers un fournisseur, etc…) avec des scénarii concrets, des échelles des temps et les plans de mitigation des systèmes et des données.

 

Par ailleurs, l’informatique en nuage pose le problème de la perte de contrôle voire d’usage abusifs des données. Il est donc vital dans cette approche de pouvoir faire confiance à un ou des partenaires, qui sauront amener les compétences et l’expérience nécessaire pour accompagner une migration dans le cloud.

 

Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire, en procédant notamment à une analyse complète des risques des points de vue organisationnel, juridique et technique. Le rapport de confiance avec le prestataire et la gestion du cycle de vie des données de bout en bout est aussi important que la localisation du cloud. Les derniers cas de hacking, de sécurité et des données compromises montrent bien les limites et les risques d’une approche trop restrictive.

 

ELCA a non seulement une très large expérience de tels projets et une palette de solutions liées aux datacenters suisses souverains ELCA et de datacenters publiques (Microsoft Azure, AWS, Google), mais également dans le design de la stratégie cloud, compliance et sécuritaire, les migrations numériques et la gestion de ces infrastructures au niveau opérationnel et sécuritaire.

 

Les investissements conséquents qu’ELCA consent aujourd’hui et en particulier la création d’une entité de Solutions Suisses qui englobe entre autres ELCACloud Services, ELCA Security, sont des éléments importants dans notre stratégie d’accompagnement des sociétés suisses qui veulent protéger, pérenniser et assurer l’intégrité de leurs données et assurer la continuité de leurs activités professionnelles.

Souveraineté numérique: la Suisse se mobilise enfin!

La Suisse a, dans son Histoire, creusé des trous dans les Alpes pour assurer sa sécurité et préserver son indépendance et voilà que, sans combattre, le pays a confié le stockage d’une partie des données de l’Administration fédérale à des sociétés étrangères. L’appel à la chinoise Alibaba et aux américaines Amazon, IBM, Microsoft et Oracle, a surpris tous ceux qui s’inquiètent de la perte de souveraineté du pays, dans un des domaines clé de sa sécurité digitale. La Suisse, colonie numérique de la Chine et des États-Unis?

 

La décision a eu pour conséquences, heureuses, de réveiller les consciences. Une initiative parlementaire a été déposé à Berne, signée par tous les partis. En Suisse romande, la présidente du gouvernement vaudois, la Conseillère d’État Nuria Gorrite, a lancée l’idée d’un cloud souverain romand, un projet qu’elle entend mener avec la conférence latine des directeurs cantonaux du numérique. Et au bout du lac, un groupe de travail teste désormais la faisabilité d’un cloud sécurisé à l’intention de la Genève internationale.

Mais pourquoi est-ce important?

On ne connaît pas les détails des contrats cadres négociés par l’Administration fédérale avec les sociétés étrangères, mais une chose est certaine : sans réaction des nations européenne et de la Suisse, les GAFAM américains et les BATX chinois, qui gèrent déjà une partie de notre vie privée, vont faire main basse également sur les données publiques. «Imaginerait-on nos archives d’État en mains chinoises?», a demandé Nuria Gorrite. La Confédération avait jusqu’à présent une approche très libérale du dossier, estimant qu’il ne relevait pas du rôle de l’État. Or, on le sait désormais, il s’agit d’un aspect prioritaire de notre sécurité. Imaginez que la Suisse, au siècle passé, ait laissé des privés creuser leurs propres tunnels à travers les alpes, pour y faire passer des routes, trains et canalisations de gaz, sans aucun contrôle!

A ce stade, la bonne question à se poser est celle de savoir si le secteur IT du pays, privé ou public, est en mesure de prendre en charge le stockage de ces données en Suisse.

La réponse est non et oui!

Non, car il est illusoire d’imaginer, en Suisse, une entreprise de la taille des géants du net. Aucun prestataire helvétique n’a été retenu par la Confédération pour le contrat à 110 millions de francs, conclu en juillet. Même Swisscom a annoncé confier ses données à Amazon. Tout faire en CH jusqu’au dernier boulon, n’est pas réaliste, coûteux et surtout pas nécessaire.

Oui, si l’on considère qu’il y a plusieurs segments de marché possible: le marché grand public, dont l’offre relève nettement des géants du net, les commandes étatiques, avec des demandes de mise à disposition de stockage de donnée et finalement les «oubliés», à savoir tous les services sensibles pour la population, les entreprises et les organisations non gouvernementales et étatiques. C’est dans ce domaine clé que le secteur High Tech suisse a un rôle important à jouer, en partenariat avec le secteur public. Il est impératif que le stockage et le traitement des données, notamment, de santé, bancaires ou d’infrastructures sensibles, se fassent sur le territoire suisse, sous contrôle suisse. Bien entendu des coopérations avec les géants internationaux est nécessaire, mais de manière contrôlée.

Une prise de conscience nationale

La prise de conscience nationale, dans les milieux politiques et le grand public, de l’importance de la digitalisation au 21e siècle, pour éviter d’être dépendants d’infrastructures, plateformes et outils de fournisseurs étrangers, est salutaire. En ce sens, le projet de la conférence latine des directeurs cantonaux du numérique, et celui de la Genève Internationale, représentent une très bonne nouvelle.

Elca, comme société qui accompagne la transition digitale de la Suisse, est intéressée en premier chef par ce dossier et a développé 3 entités dédiées à ces sujets, avec une société offrant un cloud hybride, en collaboration avec les acteurs internationaux, une société dédiée à la cybersécurité et un nouveau centre d’opération de sécurité (SOC). Comme le dit très justement la Conseillère d’État Nuria Gorrite, «c’est aussi une formidable opportunité pour des sociétés locales, avec des créations d’emploi à la clé».

La Suisse doit relever le défi de sa politique d’industrialisation numérique, pour ces trente prochaines années. Elle doit soutenir un écosystème d’innovation locale. La Chine, en 20 ans, a rattrapé son retard, avec une feuille de route et des investissements clairs. Notre pays peut le faire, si les volontés publiques et privées s’y engagent. Pour cela, il faut que Confédération et cantons s’engagent à soutenir un secteur crucial pour l’avenir du pays.

La Suisse risque de perdre la bataille des talents

L’Accord-cadre entre la Suisse et Bruxelles a été enterré, le 26 mai 2021, et il n’y aura pas d’accord-cadre 2.0. Le Conseil fédéral vient de privilégier une approche sectorielle pour l’accès au marché européen et la réponse de l’Union européenne est attendue avec beaucoup d’impatience. Car l’éviction de la Suisse du programme Horizon, dont elle n’est plus qu’un état tiers, se fait sentir, avec des effets immédiats pour le secteur académique, avec des effets à moyen terme pour l’économique suisse.

La semaine dernière, le président de l’EPZ, Joël Mesot, invité à un débat à l’université de Genève, n’a laissé aucune ambiguïté sur les conséquences de ce déclassement: «Wir sind stark betroffen». Ainsi donc l’une des voix les plus importantes du monde académique suisse, à la tête de l’une des 10 meilleures écoles du monde, déclare que nous pourrions très vite perdre pied au niveau international.

Et qu’en est-il de toutes les sociétés, qui comme Elca, sont actives dans des domaines de pointe, comme l’IT? Pour citer une autre invitée de ce débat, la Rectrice de l’Université de Fribourg, nous disons: «Nous ne sommes pas en soucis pour demain mais pour après-demain».

La course au talent

Elca emploie environ 1’700 personnes, essentiellement des ingénieurs, spécialistes de secteurs comme le développement de logiciel, l’infrastructure cloud ou la cybersécurité. On y parle beaucoup de compétences et de confiance et le premier risque que fait courir à notre société le blocage actuel des discussions entre Berne et Bruxelles, est celui de perdre, à terme, l’accès aux talents. Nous le disons franchement, nous qui sommes l’une de plus grosses entreprises de la place à engager des ingénieurs de pointe, nous sommes suisses et fiers de l’être, mais nous irons là où se trouvent les bonnes personnes.

Actuellement, la qualité des universités et des hautes écoles suisses attire les meilleurs cerveaux de la planète. Nous n’avons aucun intérêt à voir le secteur académique suisse perdre de son attractivité. Or celui-ci se trouve relégué dans le deuxième wagon du nouveau programme “Horizon Europe”, décidé par la Commission européenne, doté d’un budget total de 100 milliards d’euros pour la période 2021-2027.

Un de nos défis est de garder dans nos sociétés et notre pays, les meilleurs talents dans les domaines stratégiques que sont, notamment, l’intelligence artificielle, le quantique, la cybersécurité, les développements technologiques. C’est une priorité.

Conserver l’attractivité de la place académique et économique

Elca a lié des partenariats, notamment avec l’EPFL où nous avons des bureaux, avec la Trust Valley, qui fédère le monde académique et les prestataires privés. Le «Center for digital trust» de l’EPFL est également très important pour toutes nos prestations. Nous ne sommes pas inquiets pour le court terme mais à moyen terme, nous craignons une perte d’attractivité de nos Hautes écoles. Google n’a pas choisi par hasard Zurich pour y installer son centre européen, avec 5’000 emplois à la clé pour de très nombreux informaticiens, formés dans nos hautes écoles. La Suisse attire des étudiants, professeurs, chercheurs du monde entier. Que se passera-t-il lorsque la Suisse aura perdu de sa force d’attractivité.

Tous les talents ont besoin d’être stimulés, confrontés à d’autres compétences. Les fonds européens permettent à de nombreuses sociétés suisses, engagées dans les secteurs de pointe, de financer des emplois, avec un effet multiplicateur. Ces employés travaillent avec des homologues européens et boostent des projets, qui avancent plus vite et profitent à la Suisse.

Cohérence politique

La Suisse a un système politique d’une très grande stabilité et cohérence, et cela est un atout pour l’économie. Nous ne devons pas perdre ces deux qualités. Ainsi la souveraineté du pays est fréquemment avancée pour refuser l’Accord-cadre et ses dispositions sur la Cour européenne de justice. Pourquoi dès lors, dans le même temps, la Confédération a-t-elle confié la gestion de ses données à 5 entreprises étrangères?

Les Hautes écoles comme l’économie suisse ont besoin d’une stratégie claire et inventive dans la gestion du dossier européen, pour éviter la marginalisation de la Suisse, dont nous aurions tous beaucoup à perdre.

Sommes-nous prêts pour la cyberguerre?

La cybermenace est en train de changer de visage, à un rythme accéléré. Aux crimes crapuleux et demandes de rançon de ces dernières années, s’ajoutent, de plus en plus souvent, des opérations à buts politiques contre des personnes ou des états. Deux événements récents l’illustrent.

 

En janvier, le CICR, a été victime d’un piratage massif, sans demande de rançon, selon les annonces officielles. Rien d’étonnant à cela, au vu de la nature des données volées, qui pourraient bien être récupérées par une organisation étatique malintentionnée, pour lancer des actions à l’encontre de personnes ou de groupes de personnes.

 

L’Ukraine, de son côté, subit depuis quelques jours une attaque militaire conventionnelle, précédée par des années d’actions dans le cyberespace. Voilà bien là, l’un des nouveaux visages de la guerre en ce 21ème siècle. Ces attaques interpellent tous les citoyens, y compris en Suisse. Serions-nous prêts, si des infrastructures vitales pour le fonctionnement de notre pays étaient visées par un sabotage informatique? Ces derniers mois des régies, des administrations publiques, des commerces, des communes ont été piratés. Et si c’était, par exemple, notre approvisionnement en énergie ou notre système de transactions bancaires?

 

Le scénario du pire en Ukraine

L’Ukraine apparaît comme un véritable laboratoire à ciel ouvert pour les opérations cyber, au point que l’OTAN a affirmé une première forme de coopération avec elle en ce domaine. Les attaques que Kiev a subies, au cours de ces dernières années, ne se comptent plus. Tous les domaines stratégiques du pays ont été touchés, comme en 2015, lorsque la centrale électrique d’Ivano-Frankivsk avait privé une partie de la région d’électricité en plein mois de décembre.  Ou à la mi-janvier de cette année, lorsque des sites web et plusieurs agences gouvernementales ont été bloqués.

 

Des dizaines, voire des centaines de milliers d’attaques sont détectées chaque jour dans le monde. Toutes n’ont pas la même gravité ou les mêmes conséquences mais les cyberattaques et les désinformations sont bien les armes de la déstabilisation, en complément ou préparation à des attaques plus conventionnelles.

 

Nous sommes tous concernés

Il y deux sortes d’attaques informatiques:

  • celles qui visent le vol de données, qui peuvent toucher toutes les entreprises, organismes publics ou particuliers
  • celles qui visent à paralyser les services essentiels d’une entreprise ou d’un État, ce que l’on appelle la cybercoercition. Lorsque les tensions augmentent entre pays, ce sont ces infrastructures critiques, centres de distribution de services, d’énergie, banques, bourses, notamment, qui sont désormais ciblées par les cyberattaques. Pour contrer ce type d’infiltrations, il faut mettre en place une défense à la hauteur de l’intérêt stratégique des infrastructures et les anti-virus ne suffisent plus. Il faut être capable de détecter à temps des attaques furtives et complexes mais surtout de pouvoir y répondre, de remettre en état l’infrastructure affectée et possiblement de contre-attaquer.

 

Est-on prêts en Suisse?

La réponse est non. Il y a encore une grande naïveté dans notre approche, en ce domaine. Imaginons, le piratage informatique d’un service industriel, responsable de la distribution électrique de tout un canton. Des centrales électriques, des barrages, des éoliennes, voire des centrales nucléaires, pourraient être paralysés. Ce scénario est -il possible? Oui. La bonne question à poser désormais est la suivante: quels sont les moyens dont la Suisse veut se doter pour arriver à une protection adéquate?

 

Notre pays a finalement pris conscience de ce type de danger et des mesures de protection à prendre. La Commission de la politique de la sécurité du Conseil national s’est prononcé, il y a peu, en faveur de la mise en place d’un cloud souverain suisse. Un tel service servira comme une sorte de zone protégée afin d’y stocker des données sensibles et d’y faire fonctionner des services nécessitant un haut degré de protection. Le tout mis en place en collaboration publique-privée mais surtout sous la seule juridiction suisse.

 

Il est important aussi que la Suisse se dote d’une réelle capacité intégrée de cyberdéfense. Ce qui se met en place au niveau de la confédération est une première étape mais ne protégera pas notre économie ni les particuliers. Il faut pour ceci accélérer la mise en place d’un écosystème industriel de cyberdéfense. Ce réseau local d’entreprises spécialisées permettra de mieux détecter les attaques et surtout d’y répondre avec une réelle capacité d’intervention.

 

Dans le monde physique, le rôle et l’efficacité de l’armée, de la police et des entreprises de sécurité privées ont été démontrés. Il manque aujourd’hui ce même type de réseau dans le monde virtuel. Il est temps de passer à la vitesse supérieure afin d’assurer la survie numérique de nos infrastructures.

Des stades de football plus sûrs, grâce à la blockchain

Le hooliganisme n’est plus un phénomène réservé aux stades étrangers. Rencontres après rencontres, des débordements viennent entacher les matchs de football en Suisse et menacent la sécurité de ceux qui aiment le sport. Les derniers en date ont eu lieu après le match de quart de finale de la Coupe de Suisse, entre Yverdon et le Lausanne-Sport, avec des heurts à l’extérieur du stade et des dommages au matériel urbain. En décembre dernier, après des incidents à Zurich, Lucerne et Saint-Gall, la Conférence des directrices et directeurs des départements cantonaux de justice et police et la Conférence des commandants des polices cantonales de Suisse ont estimé que le maintien du statu quo n’était plus une option. En 2019 déjà, la Conseillère fédérale Viola Amherd, ministre des sports, avait promis de durcir le ton, face à ceux qui cherchent «la castagne».

Des billets personnalisés pour entrer dans les stades 

On s’achemine vers l’introduction de billets personnalisés pour entrer dans les stades. Cela dit, la perspective provoque des réactions enflammées, du côté du noyau dur des fans de football. Le blocage est historique. Même la Swiss Football League, n’y est pas favorable, mettant en doute l’efficacité de ces mesures et redoutant qu’elles ne dissuadent les supporters de se rendre aux stades. Des réactions qui se comprennent, à la sortie d’une période de pandémie qui a mis les nerfs de tout un chacun à rude épreuve. Cependant, il faut savoir que la blockchain peut réconcilier tout le monde. Aujourd’hui déjà, le groupe ELCA, via sa solution TIXnGO, peut assurer le traçage des billets délivrés lors des plus grandes manifestations sportives internationales de football. Et permettre à l’organisateur de connaître l’identité de dizaines de milliers de supporters qui remplissent un stade. Le système SecuTix a été adopté par de grands clubs comme l’Ajax Amsterdam.

Qu’apporte la blockchain?

Les utilisateurs achètent leurs billets comme d’habitude sur le site internet du club et reçoivent un courriel pour télécharger une application. Les billets sont accessibles dans l’application une fois que l’utilisateur s’est identifié. L’application permet à l’utilisateur de transférer un ou plusieurs billets à des proches. Les destinataires reçoivent à leur tour un courriel, téléchargent l’application, s’identifient et obtiennent les billets.

Toutes les personnes qui ont reçu des billets sont connues de l’organisateur. Ce dernier peut à tout moment révoquer un billet. A noter que cela permet aussi à l’organisateur d’envoyer une notification en temps réel à tous les possesseurs de billets. Fonctionnalité qui a d’ailleurs été très utile en cette période de COVID.

Le système est parfaitement sécurisé et évite la copie et la fraude de billet. En effet, le code-barre qui permet de passer le portique d’entrée n’apparait que quelques minutes avant l’événement, limitant ainsi les possibilités de transactions frauduleuses. La blockchain privée basée sur Ethereum garantit la traçabilité de tous les transferts de billets.

La sécurité des données personnelles (nom, prénom, email) est assurée par un stockage des données sur une zone sécurisée de la mémoire du téléphone et sans stocker aucune donnée personnelle en clair dans la blockchain.

Est-ce que cela pourrait fonctionner chez nous?

Le système ELCA, via sa solution TIXnGO, est déjà adopté par de nombreux acteurs internationaux majeurs du monde du football, du golf, du cricket, du tennis ou de la culture. En Suisse romande, le Paléo a été l’un des pionniers. Mais peut-on demander à tout un chacun de s’enregistrer, me direz-vous? Les supporters ne vont jamais vouloir télécharger l’application? Faux. Le système marche pour de grandes manifestations et des stades de plus de 40’000 places ont été remplis quasi exclusivement sur la base de cette technologie. Question de génération alors? Faux encore, sa simplicité la met à la portée de tout un chacun, quel que soit son âge.

L’organisateur d’une manifestation sportive a tout intérêt à connaître son public, si on lui prouve que la technologie pour le faire est simple et fonctionnelle et qu’elle ne va pas dissuader les fans de venir au stade. Ces derniers souhaitent également, sans doute, participer à des matchs, en toute sécurité. Seuls les casseurs et les fraudeurs seront impactés par ce supplément de contrôle. Ce qui, avouez-le, n’est pas un problème.

Soyons clairs: Toutes les mesures prises n’éviteront pas les incidents. Les contrôles aux aéroports ne suppriment pas le terrorisme. Il le limite. C’est déjà un grand progrès.

Cyberattaque: il est urgent de se protéger!

Plus personne n’est à l’abri! Qu’on se le dise. Le phénomène des cyberattaques a pris une ampleur telle que plus personne ne peut parier qu’il ne verra un jour ses données personnelles, bancaires ou médicales, jetées en pâture sur la place publique.

 

Il y avait eu l’an dernier les cyberattaques contre les villes de Morges ou de Montreux. Puis contre des PME, chaînes de magasins, régies immobilières, administrations. Et voilà qu’un nouveau palier a été franchi, la semaine dernière, avec la cyberattaque contre le CICR. Les pirates numériques ont plongé cette fois-ci dans les serveurs de l’organisation pour voler les données de plus de 500’000 personnes vulnérables, séparées de leur famille, dans des situations de crise, disparues ou détenues. Ce que redoutait l’organisation, une des craintes majeures de l’organisations depuis des années, est devenu réalité, au point que l’ancien directeur général de l’organisation, Yves Daccord, parle de «risque réputationnel majeur». Le CICR s’est engagé, sur une base de confiance, à conserver la confidentialité absolue des données qu’il collecte. Même si l’on ne semble pas connaître les auteurs de l’opération, même si l’on ne sait si ces données seront publiées et à quelle fin, il se pourrait bien que les motivations des pirates ne soient pas forcément financières mais politiques. On tremble à l’idée qu’elles ne tombent dans des mains hostiles, d’organisation ou de gouvernement, avec des vues géostratégiques précises. C’est une mine d’or.

 

Nous sommes tous concernés

Il faut penser de toute une urgence à un cadre légal, des réponses diplomatiques, une nouvelle grammaire de la sécurité, à l’heure du grand banditisme numérique. La Suisse, terre d’accueil des organisations humanitaires, état neutre et dépositaire des grandes conventions internationales, a un rôle central à jouer. Il semble que le ministre de affaires étrangères Ignazio Cassis s’y emploie.

 

L’attaque contre le CICR est un point de bascule. Elle met en évidence, pour tous ceux qui en doutaient encore, la valeur inestimable des données publiques ou privées. Elle exige des actions sur le plan politique, légal et technologique pour résoudre le problème de stockage et de sécurisation des services numériques.

 

Concernant les ONG, on évoque un traité international pour un espace humanitaire numérique. Mais les entreprises et les particuliers sont tout autant concernés. Imaginons l’attaque d’une PME travaillant avec des outils connectés. Sa production pourrait être bloquée durant des semaines voire des mois, au risque de la faire disparaître. Imaginons une famille classique, qui possède comme tout un chacun aujourd’hui un pc, téléphone mobile, connexion internet, dont les enfants font du «gaming», les parents du télétravail, des achats en ligne etc. Cette famille est à la merci des pirates.

 

Une chance pour la Suisse?

Le phénomène des cyberattaques a poussé des sociétés comme ELCA, jusqu’à présent plutôt orientée vers les grosses entreprises, à développer des propositions de sécurisation des données pour PME et collectivités. Un état de lieux et des propositions d’amélioration de la protection que l’on peut considérer comme une sorte de check up de l’outil numérique, à l’heure du banditisme sur le net. Pour les particuliers, ELCA agit désormais en partenariat avec des assurances cyber. Les besoins sont énormes, tant du côté des particuliers que des PME, notaires, médecins ou tous les autres acteurs sociaux.

 

A tous les niveaux, du particulier aux grandes organisations, il faut une mobilisation massive pour répondre aux cyberattaques. L’enjeu est de transformer la catastrophe en opportunité, pour la Genève internationale, pour la Suisse et pour ses entreprises de la High tech.