Les cyberattaques peuvent être mortelles

Plus rien n’arrête les pirates du net, même pas la mise en danger de vies humaines. En ce sens, quelques évènements récents ont de quoi inquiéter. Le dimanche 9 octobre, une maternité privée du douzième arrondissement de Paris, les Bluets, a été touchée par une cyberattaque. Un hôpital est un lieu où chaque minute compte et où tout doit être organisé au cordeau. On tremble à l’idée de ce qui pourrait se passer en cas de paralysie totale d’un service de soins intensifs.

La clinique les Bluets n’est pas la seule dans son cas car aujourd’hui il n’y a plus de lieu préservé. Les données personnelles de santé, attirent toutes les convoitises. En avril, des cabinets médicaux neuchâtelois ont été piratés et les hôpitaux suisses sont quotidiennement visés, pour l’heure, sans dégâts majeurs. On le sait désormais : les cyberattaques concernent tous les secteurs et se protéger devient vitale. Le mot n’est pas usurpé.

Cette attaque récente ne doit pas nous faire oublier les vols de données contre des organisations humanitaires.

 

Des hackers russes

Dans l’attaque parisienne, c’est un groupe de hackers russes, qui est pointé du doigt, précisément spécialisé dans le piratage des données de la santé. Ce groupe de rançongiciel, “Vice Society”, est apparu pour la première fois durant l’été 2021 et cible régulièrement des écoles et des hôpitaux, dans le monde entier. Contrairement à d’autres pirates qui s’opposent à toucher les établissements de santé, rien n’es arrête ce groupe de hackers et l’autorité américaine de cybersécurité a publié un rapport sur eux, en septembre de cette année. “Vice Society” s’attaque également aux secteurs de la formation et aux Universités.

 

A Paris, la clinique des Bluets assure plusieurs milliers de naissances chaque année. A la suite de l’attaque, elle a été contrainte de réduire sa capacité d’accueil en salle de naissance et les systèmes de surveillance centralisé des fonctions vitales des bébés in utero ont même été rendus inopérants. Des consultations en procréation médicale assistée ont été annulées. Selon une méthode bien rôdée, les pirates ont exigé une somme d’argent, dont le montant n’a pas été divulgué, à payer dans les cinq jours, sous peine de voir toutes les données mises en ligne. Ces opérations de ransomware, de chantage numérique, sont de plus en plus fréquentes.

 

Vos données intéressent.

Le paiement cash et immédiat n’est pas le seul but visé par les pirates. Les bases de données volées peuvent aussi être vendues sur le dark web, et il s’agit-là d’une source de revenu prodigieuse. Pour avoir ces bases de données, les hackers redoublent de stratégie, notamment en lançant des attaques de « phishing », contraction de password et fishing, ce qui veut littéralement dire « pêche aux mots de passe ».

 

En français, on parle d« hameçonnage ». Plus concrètement, il s’agit de courriels frauduleux dont le but est de dérober les identifiants des personnes les plus crédules. Les e-mails semblent provenir de sources fiables. Les utilisateurs sont invités à cliquer sur une URL liée à un formulaire Web, qui charge un logiciel malveillant sur l’ordinateur. On appelle cela les liens malicieux. Dans l’affaire de la clinique parisienne, selon les informations données, les adresses e-mail utilisées habituellement par les équipes de la maternité sont inutilisables depuis l’attaque.

 

Les campagnes de «  phishing” ne visent pas une personne en particulier, mais des centaines, voire des milliers de destinataires. A contrario, le “spear phishing », le harponnage, est une attaque très ciblée, qui ne vise qu’une seule personne. Pour la mettre en œuvre, les hackers prétendent vous connaître, prennent le temps de mener des recherches sur vous et de créer des messages personnels et pertinents. Vous avez peut-être reçu des nouvelles d’un ancien collègue longtemps plus vu, qui vous annonce qu’il va quitter son emploi, pour se réorienter professionnellement. Et qui vous demande de cliquer sur un lien pour en savoir plus. Cette personne existe. Il est plausible qu’elle change d’emploi et vous vous faites prendre. Le harponnage peut être très difficile à combattre. Les personnes prudentes vont vérifier mais 8 fois sur 10, elles vont donner leur adresse mail.

 

Une technique que les escrocs utilisent également pour ajouter de la crédibilité à leur histoire est le clonage de sites Web : ils imitent des sites Web légitimes pour vous inciter à entrer des informations personnelles identifiables ou des identifiants de connexion. Si vous suivez des cours à la faculté X et que les pirates le savent par vos données volées, ils pourront par exemple envoyer une fausse Newsletter afin de vous inciter à vous abonner. Et vous voilà pris. Si vous êtes touché par une maladie grave, vous allez être immédiatement sensible à un faux lien qui vous promet tel ou tel remède miracle.

 

Renforcer la sécurité

Face à l’ingéniosité des hackers, une seule parade : la vigilance. Il est impératif pour les particuliers, les administrations publiques et les entreprises de s’équiper et de trouver le bon partenaire de sécurité. Il existe aujourd’hui des applications pour renforcer les accès, avec une authentification à plusieurs facteurs, qui peut être également biométrique pour les systèmes critiques.

 

Les équipes de sécurité des entreprises n’ont souvent pas les outils de monitoring et d’intervention adaptés. De plus, mettre en place de telles équipes 24 heures sur 24 est couteux et demande des compétences particulières. L’adversaire choisit rarement les heures de bureau pour passer à l’attaque. En cas d’attaque, il s’agit d’isoler le serveur vérolé et de réagir le plus rapidement possible, en allant récupérer les informations volées sur le serveur de l’entreprise et en identifiant les comportements frauduleux.

 

Avec Senthorus, le groupe Elca a mis sur pied un service de protection efficace liant des technologies d’avant-garde permettant une défense en temps réel et surtout une équipe d’intervention engageable en Suisse 24 heures sur 24, sept jours sur sept. Le centre de sécurité est base aujourd’hui sur les sites de Lausanne et Genève.

 

La motivation de l’attaquant n’est plus uniquement financière. La santé, la formation sont des domaines clés de notre vie sociale. Aujourd’hui ils sont menacés et les défendre est désormais un objectif prioritaire.

A quand le dossier électronique du patient?

L’adoption du dossier électronique du patient, DEP, a pris un sérieux coup de fouet, en ce début d’automne et les initiatives s’emballent sur le plan politique. Encore faut-il que l’ensemble de la population et du corps médical l’adopte. Pour cela, deux conditions doivent être remplies: le système doit être simple et les données doivent être absolument confidentielles et sécurisées.

 

Autorités et partenaires s’engagent pour le DEP

Tous les patients et patientes neuchâtelois peuvent désormais ouvrir leur DEP. Dans le canton d’Argovie et en Suisse orientale, les personnes intéressées peuvent se rendre dans certaines filiales de la Poste pour ouvrir un DEP. L’ex régie fédérale a d’ailleurs pris une participation majoritaire dans le réseau Axsana, qui regroupe 14 cantons alémaniques. Le Conseiller fédéral Alain Berset veut réviser la loi pour faire du DEP un instrument de l’assurance obligatoire de soins et le Conseil des États vient d’adopter une série de motions du National, qui va faciliter l’entrée en force du recueil numérique. Après des années de tergiversations, la Suisse entend donc bien rattraper son retard.

 

Les résistances subsistent

Force est cependant de constater que toutes les personnes concernées, à commencer par le personnel médical, ne sont pas encore convaincues de l’utilité du DEP. «Faut-il (déjà) tout arrêter?», se demandait, il y a quelques mois, dans un blog paru dans «Le Temps», un médecin, mettant en évidence, notamment, le caractère obligatoire du DEP pour le personnel de santé, ce qui représentait «une surcharge de travail considérable». «Tous les médecins n’ont pas un dossier médical informatisé et pour ceux qui ont en un, la grande majorité n’est pas capable de transférer automatiquement les données au DEP». Rappelons que les professionnels de la santé exerçant dans le domaine ambulatoire sont tenus de se raccorder au DEP. Pour les médecins nouvellement autorisés, cette obligation existe depuis le 1er janvier 2022.

 

Le DEP devra permettre à tout un chacun d’inscrire en ligne ses informations médicales. Cela peut être sa liste de médicaments, un rapport d’opération, de sortie d’hôpital, des informations sur des allergies ou des rapports de soins à domicile. Pour simplifier, disons que le DEP permettra aux patients d’avoir accès en tout temps et en tout lieu aux données relatives à leur santé, créant ainsi un climat de confiance plus grand lors des prises en charge et une meilleure coordination des professionnels de santé.

 

Mais quelles sont les conditions pour que la population et le personnel médical l’adoptent rapidement?

 

Le DEP doit être simple d’utilisation

Plusieurs acteurs sont actifs aujourd’hui dans le dossier. L’OFAC, la coopérative professionnelle des pharmaciens suisses, communique abondamment sur le sujet et invite les citoyens à ouvrir des DEP, aujourd’hui déjà directement dans les pharmacies.  L’association Cara, qui regroupe les cantons de Genève, Valais, Vaud, Fribourg et Jura, est également très présente. Le canton de Neuchâtel, a réalisé un projet-pilote auprès de personnes diabétiques «Mon Dossier Santé» et vient d’ouvrir le DEP à l’ensemble de la population. La Poste, qui fait une entrée en force dans le numérique, met à disposition l’infrastructure technique du DEP dans 12 cantons des quatre régions de Suisse.

 

L’enjeu pour tous ces acteurs est de se positionner pour le futur, en séduisant le plus de grand nombre de patients possibles. Les différentes communautés font leur implémentation en suivant les principes mis en place par le Conseil fédéral. Mais, à terme, il est fort à parier qu’une infrastructure technique uniforme s’imposera. Ce DEP devra être convivial et facile d’accès pour tous les utilisateurs, comme le demande une motion de commission du National.

 

Le DEP doit être confidentiel et sécurisé

Le DEP est personnel et sauf en cas d’urgence médicale, c’est le patient, et uniquement le patient, qui décide quels professionnels de la santé auront accès au dossier. «Les employeurs, les assureurs et les autorités n’y auront pas accès», explique dans «Le Temps» Caroline Gallois-Viñas, à la tête de la structure du DEP du canton de Neuchâtel. Mais il faudra également que les médecins et les professionnels de la santé l’utilisent pour y insérer leurs données. C’est l’un des grands défis du projet. Et pour cela, il faut que le climat de confiance autour de la sécurité des données soit très fort. En début d’année, les cabinets neuchâtelois ont été hackés, on s’en souvient. Pour entrer dans la communauté neuchâteloise DEP, les médecins ont dû mettre à jour leur système, avoir un antivirus et un pare-feu.

 

Accompagner la mise en œuvre et intégration du DEP

ELCA, par le biais de sa filiale ELCA Security travaille avec différents partenaires et met à disposition la solution TrustID, une des solutions d’identité électronique (eID) nationale (l’unique solution destinée aux professionnels de santé et population sur l’ensemble du territoire) certifiées pour le DEP, et propose des services de sécurité complets et adaptés à ses clients dans le domaine de la santé (anticipation, protection, détection et défense contre les menaces cyber).

 

D’autre part, ELCA a mis en œuvre l’intégration du DEP aux systèmes primaires pour un grande partie des hôpitaux vaudois et interagit avec la plupart des acteurs du domaine de la santé.

 

Après des années de lancement ajourné, il semble bien que cette fois-ci, l’outil numérique, sensé apporté efficacité et transparence dans le domaine de la santé, soit en passe d’être adopté par la Suisse, imitant en cela les pays voisins. Les prochains mois seront décisifs.

«Blue City Project»: le projet qui veut inventer la ville de demain

La Suisse se prépare à un hiver de pénurie d’énergie, auquel elle ne s’attendait pas. La digitalisation pourrait-elle aider les pouvoirs publics, à l’avenir, à anticiper ce type de crises? Un projet va être lancé, courant septembre, par la ville de Lausanne, en consortium avec des acteurs académiques, comme l’EPFL, des acteurs publics, semi-publics, privés comme ELCA et des start-ups, qui devrait répondre à ces défis. Son nom: «Blue City Project», financé par Inno Suisse, l’agence fédérale qui promeut l’innovation en Suisse. D’ici 4 ans, c’est un tout nouveau modèle de gestion des villes qui devrait voir le jour.

 

Comment économiser le chauffage et favoriser un environnement durable? Comment mieux gérer les déchets, les espaces verts, les bâtiments publics? Comment faire la chasse au gaspi? Comment éviter les bouchons à la sortie du bureau, qui provoquent des pics de pollution? Comment rendre les villes plus fonctionnelles, plus économes et plus agréables pour ses habitants? «Blue City Project» va s’attaquer à toutes ces questions. Avec cette initiative, la Suisse se place parmi les leaders mondiaux dans le modèle de gestion des villes de demain.

 

Le jumeau numérique

«Blue City Project» se base sur la technologie fascinante du jumeau numérique, à savoir ce double de l’objet physique, qui vit dans un ordinateur. Le jumeau numérique n’est que données, algorithmes, et IA, mais cet avatar virtuel va permettre de simuler de nouveaux modèles de gestion. Pour beaucoup, il s’agit encore de science-fiction, mais, de fait, la technologie ne cesse d’évoluer et de se perfectionner et aujourd’hui, les jumeaux numériques sont partout, industrie, santé, architecture, transports, communication. À l’EPFL, plusieurs laboratoires, rassemblés dans le Centre pour les systèmes intelligents, travaillent sur cette technologie et ses différentes applications. On nage dans le futur avec pourtant des applications qui pourront avoir des effets tout à fait concrets, dans le quotidien, pour la population.

 

Un exemple: «Blue City Project» va travailler sur les économies d’énergie et sera en mesure de modéliser les réseaux énergétiques, puis de les montrer sur une enveloppe virtuelle pour effectuer différentes simulations et apporter les optimisations possibles. On aura ainsi une vue précise sur la consommation d’une ville, quartier par quartier et pourra identifier ainsi les possibilités d’améliorer son bilan carbone. Le consortium va travailler également sur une application pour régler le pilotage des feux de circulation, pour fluidifier le trafic et réduire ainsi la pollution. L’idée est que tous ces secteurs, publics et privés, travaillent ensemble pour créer une ville virtuelle à travers les jumeaux numériques. La crise Covid a démontré que les collectivités devaient élaborer des modèles de gestion plus efficaces des données publiques. «Blue Sky Project» s’y attelle.

 

L’enjeu de cybersécurité

Dans tout ce projet aux implications gigantesques, l’enjeu de la sécurité des données est évidemment majeur. Dans son rapport de 2020 sur la sécurité des appareils connectés, le Conseil fédéral pointe à quel point il est facile pour des cyberpirates de prendre le contrôle de milliers, voire de millions d’appareils connectés. Ces attaques sont motivées par l’appât du gain, la volonté de sabotage ou l’espionnage. Les impacts vont de l’indisponibilité momentanée de l’infrastructure informatique à la mise hors service d’infrastructures critiques par du sabotage. Ces attaques peuvent avoir de très lourdes conséquences financières voir humaines. En effet, lors de l’attaque Triton en 2017, la prise de control des systèmes de sécurité d’une industrie pétrochimique, aurait pu occasionner des accidents mortels. Dans notre contexte de smart city, on peut s’imaginer ce que donnerait une cyberattaque contre des centrales électriques ou le jumeau numérique d’un patient.

 

ELCA va apporter au projet son expertise en cybersécurité. Concrètement, ses équipes vont définir un concept de sécurité pour le jumeau numérique. Après études des besoins des différents acteurs de la smart city, les équipes ELCA vont développer un cadre pour contrôler l’accès aux jumeaux numériques, assurer l’intégrité et la confidentialité des données exposées. Enfin une attention particulière sera portée à la communication entre jumeaux numériques et physiques. L’approche envisagée est une approche de sécurité dès la conception. Cette approche donne lieu à un système plus résilient où la sécurité est intégrée plutôt que d’être ajoutée a posteriori comme un correctif.

Genève: capitale mondiale de la cybersécurité numérique?

La réputation de la Suisse s’est faite autour de produits d’excellence, comme les montres, les fromages ou les couteaux d’officiers. Il en est un qu’il est urgent de mettre en avant, celui de la fiabilité numérique. De la même manière que les banques ont acquis, depuis le 19-ème siècle, la confiance des nations, la Suisse doit devenir un coffre-fort numérique, de dimension mondiale.

 

En bonne compagnie

Nous sommes en bonne compagnie pour partager cette conviction. Le président de Microsoft, Brad Smith, plaide depuis des années pour une «Convention numérique de Genève», un texte fondateur qui se baserait sur le modèle des Conventions de Genève de 1949, pour réguler les technologies liées à Internet. Il a contribué à créer, en 2019, le «CyberPeace Institute», où il siège aux côtés notamment de Martin Vetterli, président de l’EPFL ou de Khoo Boon Hui, ancien président d’Interpol. Le «Cyberpeace Institute» aujourd’hui déjà aide les ONG, basées à Genève, à améliorer leur sécurité numérique. Cette ONG se base sur un réseau d’entreprises et d’experts. Logiquement, Elca en fait partie et met à disposition des spécialistes pour intervenir sur demande afin d’améliorer la résilience numérique de la Genève internationale.

Invité récemment par la CCIG, la Chambre de commerce et d’industrie genevoise, Brad Smith, a lancé à nouveau un appel devant des PME, pour que Genève contribue à augmenter les standards de sécurité de l’ère numérique. La ville internationale abrite toutes les grandes organisations onusiennes et des centaines d’organisations non-gouvernementales. Elle doit et devenir la capitale mondiale de la cybersécurité. Si elle ne le fait pas, les institutions internationales risquent de partir vers des lieux plus sécurisés. Le défi est à relever et il est à notre portée.

 

Pourquoi est-ce primordial

La Suisse a des atouts à faire valoir pour prendre la tête du domaine de la cybersécurité mondiale: sa neutralité, sa stabilité politique et sa sécurité juridique. Il s’agit aujourd’hui de ne pas rater le tournant du numérique. En effet, si la confédération a offert un havre de paix physique durant le 20ème siècle, le 21ème, numérique, nous met en face de nouveaux challenges qu’il s’agit de ne pas manquer.

De plus, le Swiss made est apprécié en matière de sécurité, nous avons pu en juger il y a quelques semaines, lors du Forum International de la cybersécurité de Lille. Il s’agit de l’un des plus grands rassemblements en Europe, qui s’est tenu début juin, en présence de dizaines de milliers de visiteurs sur trois jours. Dans un contexte d’explosion des menaces cyber, tous les acteurs clés du domaine étaient à Lille et «Présence Suisse» y avait un Pavillon, qui accueillait huit sociétés suisses et start-up, dont ELCA.

Première constatation qui nous a tous frappés: La place suisse jouit grande confiance, supérieure à celle placée dans les plateformes américaines et même européennes. La Suisse représente un havre de paix et sa stabilité politique est un atout aussi dans le domaine numérique.

 

Et les coûts, me direz-vous?

Pour les prestations de consulting et les coûts des services, la Suisse est certes plus chère que la plupart des autres pays, sauf peut-être l’Angleterre. Cependant, il faut savoir que dans le domaine de la cybersécurité, les tarifs ne sont pas seuls décisifs et que les sociétés sont enclines à mettre en jeu des montants élevés, pour assurer une sécurité numérique, souvent décisive pour leur avenir. Les entreprises se rendent compte également du coût de la non-sécurité.

C’est surtout la qualité et l’indépendance des services suisses qui peut faire différence. Ce bien là est difficilement quantifiable et il s’agit d’exploiter ce trésor que nous possédons. D’autant qu’en matière de cybersécurité, à l’exception des aspects cloud, le lieu physique où se situent les sociétés n’a que peu d’importance. ELCA, depuis la Suisse contrôle la sécurité des infrastructures de ses clients dans le monde entier, grâce à son service managé de sécurité «Senthorus», société suisse, issue d’un partenariat avec le leader de la cyberdefense Bluevoyant. L’objectif est de combler le manque d’une police du numérique, en complément des institutions publiques déjà bien chargées.

 

Le temps file est il est plus que jamais nécessaire de pousser les réflexions autour des infrastructures souveraines de confiance dont notre pays, tout comme la Genève internationale a besoin. Si nous manquons ce tournant, d’autres pays le feront pour nous.

Digitalisation en Suisse Justice

La justice suisse pionnière en matière de numérisation

Le monde judiciaire suisse a lancé, il y a 6 ans, un projet titanesque, qui se fait sans bruit mais qui peut servir de modèle à tous les autres secteurs de la société, engagés dans la bascule numérique.

Imagine-t-on que, d’ici 2026, les magistrats et les avocats seront libérés des montagnes de papiers, des milliers de documents entassés dans des classeurs? Que les avocats et les juges pourront consulter les dossiers en ligne, communiquer en ligne? Qu’il sera possible d’envisager plus facilement le télétravail dans le monde judiciaire, introduit durant la période de confinement. D’ici 4 ans, le monde de la justice suisse travaillera avec des dossiers électroniques et il s’agit bien d’une révolution. Les premiers cantons pourront bénéficier de la solution dès la fin 2023.

Le changement va impacter tout le fonctionnement des tribunaux, parquets, bureaux d’avocats et se fera au bénéfice du justiciable. Nous ne sommes pas peu fiers que notre société, ELCA Informatique, ait été choisi, aux côtés d’une société alémanique Zühlke, pour participer de manière importante à cette opération modèle, qui se fait au niveau national, dans toutes les régions de Suisse et dans les quatre langues.

 

La justice donne le ton

Le nom de code du projet, qui est encore inconnu du grand public : Justitia 4.0. Il est porté conjointement par le pouvoir judiciaire, le pouvoir exécutif et les avocats. Le principe de la dématérialisation des domaines du droit pénal, civil et administratif a été accepté en 2016 déjà, par tous les cantons, le Ministère public de la Confédération, les tribunaux, les parquets, les ordres des avocats. Le projet est passé dans sa phase de concrétisation en 2019 et a connu une phase d’accélération, en juillet de cette année, par la désignation des sociétés partenaires. Parmi les 6 fournisseurs qui étaient en lice, deux sociétés, l’une alémanique, l’autre romande, ont été choisies: Zühlke Engineering, basée à Schlieren dans le canton de Zürich, développera la plateforme sécurisée et ELCA, sera responsable de l’exploitation technique, de la validation de la plateforme (tests), de la gestion opérationnelle du cloud et des données ainsi que du support.

 

Le projet est pionnier, car il est national et le fédéralisme n’a pas été un frein au processus de numérisation. Ce qui se fait lentement en matière de santé, avec le dossier électronique du patient, ce qui en est encore en ses balbutiements, en matière d’assurances sociales, ce qui a échoué devant le peuple en matière d’identité électronique, est en voie de réussite dans le monde du judiciaire.

 

D’ici 4 ans, les dossiers physiques actuels seront remplacés par des dossiers électroniques. En clair, dès l’achèvement du système, les échanges juridiques se feront en un clic, via la plateforme centrale «Justitia.Swiss» où les pièces pourront être déposées, échangées, notifiées et consultées à distance; et ceci de manière sécurisée.

Cela devrait accélérer les processus de la justice, avec une amélioration notable de la collaboration entre cantons et de la collaboration internationale. Et avec, au final, un gain notable pour les justiciables, qui pourront compter sur une justice plus souple et plus rapide. La numérisation, au service de la société, avec un partenariat public-privé: le processus est un modèle et démontre que des sociétés suisses sont capables de relever des défis aussi sensibles et critiques.

 

Un cloud souverain suisse pour abriter les données

La protection des données et la sécurité des informations sont évidemment un des grands enjeux du projet. La capacité d’assurer le bon fonctionnement de la plateforme, sur durées qui se mesurent en décennies et ce de façon souveraine est également un défi dans une monde informatique et un contexte international en perpétuel changement. A terme, les données de la justice suisse se retrouveront sur le cloud souverain d’ELCA, un cloud suisse, géré, en Suisse par une société suisse. On se souvient de la polémique, engendrée par l’attribution du stockage d’une partie des données de l’administration fédérale à la chinoise Alibaba et aux sociétés américaines Amazon, IBM, Microsoft et Oracle, pour un contrat total de 110 millions de francs. Les milieux politiques s’étaient inquiétés d’une possible colonisation numérique du pays.

 

Le projet est une opportunité unique pour ELCA qui pourra s’appuyer sur ses compétences prouvées dans le domaine de la sécurité et de la gestion de son cloud souverain; c’est également un grand défi qui devra assurer non seulement l’hébergement des données, la gestion opérationnelle du cloud, mais aussi la logique de soutien et de réponse aux clients, avec un service accessible 7 jours sur 7, 24 heures sur 24 et en 4 langues.  Il s’agit d’un projet d’envergure qui engage ELCA pour la prochaine décennie, qui nécessite du personnel supplémentaire, et qui par conséquent démontre l’ancrage suisse du groupe ELCA et son engagement dans le développement des compétences critiques en Suisse. Justitia 4.0 prouve aussi que la Suisse a tout en main pour préparer son futur numérique, pour peu que les partenaires, publics et privés, agissent dans la concertation, main dans la main.

digitalisation innovation suisse

Numérique: Et si la Suisse se faisait confiance?

Et si pour une fois la Suisse décidait de se faire confiance. De rompre avec sa traditionnelle modestie et de faire valoir ses atouts, qui sont immenses, dans le domaine de la hightech, de la gouvernance d’internet, de la cybersécurité. Et de l’innovation numérique où de véritables révolutions sont en cours, qui vont toucher de près les Suisses. L’Organisation mondiale de la propriété intellectuelle a classé notre pays à la première place de l’Indice mondial de l’innovation. Avec un tel palmarès, les Américains de la Silicon Valley, où j’ai eu le bonheur de travailler, auraient déjà rajouté une étoile à leur drapeau. Mais la Suisse n’aime pas se vendre. A tort. Il faut changer notre vision de nous-même et prendre conscience de nos atouts. Car le pays est prêt pour affronter l’avenir digital et les propositions pullulent. Prenons quelques exemples.

 

Des innovations qui vont changer le quotidien

Le « Symposium de Prévoyance Suisse » se tiendra à Zurich, du 8 et 9 juin prochain, en présence de quelques 2’300 visiteurs du monde des instituts financiers, des assurances ou encore des entreprises informatiques. Il y sera beaucoup question de digitalisation et la Suisse romande pourra mettre en avant quelques initiatives pionnières, dont celle récompensée par une distinction aux Digital Economy Awards, en septembre dernier à Zurich. La solution primée, fruit d’un partenariat entre la caisse vaudoise de compensation AVS et la société Neosis, consiste à ouvrir des canaux de communication, pour offrir aux citoyens, indépendants et entreprises, toutes les informations voulues sur leurs avoirs et prestations de prévoyance. L’ingéniosité du système suisse des 3 piliers n’est plus à démontrer. Et sa complexité non plus! Qui laisse les citoyens dans un brouillard complet sur les avoirs dont ils disposeront au moment de leur retraite. S’informer prend des semaines et les réponses, sous format papier, sont impossibles à déchiffrer. En ce domaine, la situation est pourtant en train de bouger à grande vitesse. Les entreprises vaudoises, affiliées à la caisse de compensation, et bientôt les citoyens, auront prochainement la possibilité d’aller sur un portail, pour y adresser en un clic, leur demande et avoir une vision compréhensible et simple de leur situation. Un chatbot pourra même répondre à leurs questions. L’OFAS, l’office fédéral des assurances sociales, suit de près ces initiatives. Il ne s’agit-là que d’un exemple, parmi beaucoup d’autres.

 

La Suisse doit cultiver sa confiance numérique

La Suisse et singulièrement la Suisse romande, dispose d’un incroyable écosystème numérique, qu’il s’agit de valoriser, en cultivant la confiance en ses talents. Prenons un autre exemple, celle de l’identité électronique, dont la pertinence n’est pas remise en cause, en attendant de régler ses modalités d’application. Sait-on qu’il existe une solution appliquée en Suisse, à savoir VaudID-Santé, qui répond à toutes les exigences, même celles des utilisateurs les plus critiques? Elle offre un aperçu centralisé et convivial des données gérées par les utilisateurs eux-mêmes. De plus, elle est entièrement sécurisée et pour ainsi dire à l’épreuve des balles. En tant qu’innovation, elle rencontrera certainement des difficultés d’acceptation au début. Mais une chose est sûre: c’est la voie que la Suisse va suivre.

 

Énumérer les écoles romandes de pointe, en la matière de cybersécurité, c’est égrener une longue liste, qui va de l’EPFL à la Haute École d’ingénierie et d’architecture de Fribourg, ou encore l’Université de Lausanne qui héberge le Swiss Cybersecurity Advisory and Research Group. L’institut de recherche Idiap a par ailleurs été choisi comme seul partenaire européen dans le projet de recherche exclusif Abacus de Google. Et la liste n’est de loin pas complète. Sait-on que Genève abrite plus de 50% des activités internationales en rapport avec l’Internet et héberge de nombreuses organisations telles que l’Internet Society, la Geneva Internet Platform, l’Internet Governance Forum, l’Internet Corporation for Assigned Names and Numbers, le Geneva Center for Security Policy et l’International Telecommunication Union. Et que la Suisse est en train de se construire une réputation mondiale dans le domaine de la gouvernance d’internet. Qui dit mieux!

 

La Suisse a tous les atouts

La bascule numérique de la société est en bonne voie et la Suisse a tous les atouts pour la mener, en toute transparence et sécurité. Elle possède un puissant d’alliage d’esprit d’innovation et de capacité entrepreneuriale. Elle abrite des écoles de très haut niveau, tournées vers le futur digital, en matière d’ingénierie, de cryptage, d’algorithmes et de sécurité et également toutes les compétences nécessaires à l’industrialisation de ces solutions.

Il s’agit de le dire haut et fort, une bonne fois pour toute.

Cyberattaque: trouver le bon partenaire pour se défendre

Cyberattaque: trouver le bon partenaire pour se défendre

Mais que fait la police en matière de cybersécurité? Que font nos forces de l’ordre et nos autorités pour nous protéger, alors que les cyberattaques se multiplient et que le grand public découvre l’ampleur du phénomène. Absolument plus personne n’est à l’abri et la récente attaque, qui touchait des données de santé de privés, dans des cabinets médicaux neuchâtelois, a frappé les esprits.

 

La réponse à cette question a été donnée au dernier salon «Swiss Cyber Security Days», qui s’est tenu début avril à Fribourg. Et elle est simple: ne comptez pas sur la confédération pour se substituer à la responsabilité des cantons, des PME et des particuliers. Chacun est responsable de sa sécurité.

 

Est-ce que le 117 répond-t-il en cas de cyberattaque?

Pour prendre un parallèle concret, dans le monde physique, se protéger des voleurs, en fermant son appartement à clé, en renforçant son système de sécurité, en mettant un cadenas ou une caméra si nécessaire, est une affaire individuelle. Chacun, particulier, PME, administration ou association doit s’organiser. Chacun doit trouver aujourd’hui le meilleur moyen d’assurer sa cybersécurité. En revanche, en cas de cambriolage, dans la vraie vie, les personnes victimes appellent la police, qui répond présente. Mais qui contacte-t-on en cas de cyberattaque? C’est la question prioritaire, à laquelle il faut penser dès maintenant, pour éviter des ennuis en série. Est-ce que le 117 répond-t-il en cas de cyberattaque?

 

Chacun doit s’organiser sans compter sur l’état

La Berne fédérale s’est dotée de plusieurs centres de compétence forts pour lutter contre la cybercriminalité et la cybermenace. Le département des finances d’Ueli Maurer, présent au salon Swiss Cyber Security Days de Fribourg, chapeaute le Centre national pour la cybersécurité (NCSC). Du côté militaire, l’armée œuvre depuis quelques années maintenant à la création d’un commandement cyber, opérationnel en 2024 et un premier bataillon de spécialistes a été créé. Il est important de noter que ces organisations militaires auront comme première préoccupation de protéger l’infrastructure du DDPS et ne seront pas à disposition pour répondre à des besoins civils en priorité. Par ailleurs, plusieurs cantons, à l’image de Genève ou du Jura, ont renforcé leurs effectifs d’agents consacrés à la cybercriminalité ou ont monté des structures ad hoc. Fribourg a nommé un commissaire à la sécurité numérique.

 

Ceci est, certes, un bon pas en avant. Les pouvoirs publics sont donc en train de s’organiser. Mais il est à supposer que ces quelques effectifs supplémentaires ne suffiront pas a tenir le flux grandissant des demandes. Le 117 du numérique risque de «sonner occupé» pendant quelque temps encore.

 

Une PME sur quatre en Suisse a déjà été attaquée

Mais qu’en est-il des PME, les victimes les plus fréquentes du piratage ? Les tentatives d’intrusion enregistrées par les entreprises helvétiques ont bondi de 65% par rapport à 2020, selon des chiffres publiés dans le Temps par le spécialiste californien en sécurité informatique Check Point Software. Selon de récentes études de marché, une PME sur quatre en Suisse, a déjà été attaquée, parfois avec des conséquences fatales. Les attaques par rançongiciel sont celles qui ont le plus augmenté. Les pirates qui auront crypté des systèmes informatiques, restituent les données contre une rançon, qui peut aller jusqu’à plusieurs centaines de milliers de francs.

 

Les PME suscitent en priorité la convoitise des voleurs de données. En réponse, des entreprises comme ELCA ont étendu leur offre. Elles proposent un accompagnement sur toute la chaine, de l’anticipation à la remise en place des systèmes, en passant par la protection et la défense.

 

Alors que faire? Se défendre c’est avoir un partenaire fiable

Les PME ne disposent pas des mêmes ressources, en termes financiers ou de personnels, que les grandes entreprises. Pourtant, elles possèdent elles aussi des données sensibles sur leurs clients, fournisseurs et employés ou des documents stratégiques, qui intéressent la concurrence. Les dangers de déstabilisation, liés aux cyberattaques, sont donc très grands.

 

Alors que faire? Il ne suffit pas d’installer un antivirus, firewall, backup, cryptage, etc. Il faut aussi mettre en place des processus complets de protection. Tout cela nécessite des investissements et des partenaires fiables, généralement extérieurs, car la plupart des PME n’ont pas d’équipes propres affectées à la cybersécurité. Ceci est compréhensible car ces spécialistes sont rares et leur maintien à bon niveau de compétence est couteux.

 

La difficulté réside à trouver la bonne approche et les bons partenaires. Les visiteurs d’une conférence telle que les Swiss Cyber Security Days se rendra à l’évidence de la difficile tâche du choix, au vu du nombre de prestataires spécialisés. Mais lequel choisir?

 

Une compréhension de cet écosysteme complexe

Ce partenaire doit avoir une compréhension claire de cet écosystème complexe, des menaces et des réponses possibles, sur toute la chaine de valeur de l’entreprise. Prendre le temps du choix du partenaire de confiance, de proximité, qui servira de coordinateur des autres spécialistes est une nécessité.

 

Le Groupe ELCA par exemple, fort de plus de 50 ans d’expérience dans la mise en place de systèmes complexes, est aujourd’hui en mesure de déployé l’éventail complet de cette chaine vertueuse, de l’anticipation à la restauration des systèmes rendus défectueux suite à une attaque. Au bénéfice d’une taille suffisante de spécialistes, le Groupe est en mesure de répondre au pied levé aux sollicitations des entreprises en difficulté.

 

Autant le dire tout de suite, cela a un coût, qui en vaut la peine, car une PME correctement protégée n’est plus rentable pour un hackeur. Il est donc fondamental que chacun prenne la cybersécurité au sérieux afin de ne pas allonger la liste des victimes.

Urgence: il faut sécuriser les données des patients!

Imagine-t-on une banque qui placerait l’argent de ses clients dans des coffres-forts ouverts à tous? Non! Alors pourquoi ce qui est impensable pour les institutions financières se pratique-t-il couramment dans le monde médical? De nombreux médecins stockent les dossiers de leurs patients, qui contiennent des données sensibles et extrêmement personnelles, dans des serveurs, sans mesures de sécurité particulières. Qui souhaiterait que ses différentes pathologies et traitements soient étalés sur la place publique?

 

La catastrophe était programmée et elle s’est produite dans le canton de Neuchâtel, où 43’651 fichiers médicaux se sont retrouvés en ligne sur le darknet, après avoir été la proie de pirates informatiques. Un patient séropositif ou un autre qui consomme de la drogue ont ainsi vu leur secret médical violé. «Une catastrophe», a commenté le président de la Société neuchâteloise de médecine, Dominique Bünzli.

Cette dernière cyberattaque en date va peut-être enfin donner le signal d’une vraie mobilisation pour sécuriser les données. Si Neuchâtel a été touchée cette fois-ci, toute la Suisse est concernée.

 

L’avertissement neuchâtelois

La menace des cyberattaques est d’autant plus prégnante que le monde médical est en train de faire sa bascule numérique, avec le dossier électronique du patient, le DEP.

Cela fait des années que l’on en parle du dossier électronique et son introduction se fait à la manière suisse, fédéraliste. La loi est entrée en vigueur en avril 2017 et depuis avril 2020, le DEP est obligatoire pour tous les établissements stationnaires, publics autant que privés, tout comme depuis avril 2022 pour les EMS.

 

Le DEP promet un gain de temps, d’efficacité et une meilleure prise en charge. Qui se souvient du nom de tous ses différents médicaments? Qui n’a pas oublié un jour d’informer ses différents médecins des médicaments prescrits, lorsque plusieurs pathologies sont cumulées? Qui n’a pas cherché pendant des heures son carnet de vaccination papier? Qui n’a pas dû insister de nombreuses fois auprès de son médecin ou d’un hôpital pour obtenir les informations concernant ses traitements?

 

Lever les obstacles en sécurisant les données

Le DEP est une solution qui se veut simple pour pallier la coordination trop souvent défaillante du système de santé suisse, disent les milieux concernés. Mais il se heurte encore à pas mal de résistances, en raison des changements culturels nécessaires et de la grande question de la sécurité des données qui préoccupe évidemment patients et professionnels de la santé.

Pourtant les solutions sont là.

 

Le concept du DEP est bien rôdé, on sait ce qu’il faut faire pour le mettre en place et les outils informatiques sont là. Reste à accompagner le changement de mentalité nécessaire à son adoption, à large échelle.

 

Outre une infrastructure technique basée sur les standards de sécurité les plus stricts et auditée régulièrement par des organismes indépendants, l’accès au dossier est protégé par une identité électronique hautement sécurisée. Que ce soit pour les patients ou les professionnels de la santé. De par la loi, tout accès par d’autres personnes, comme les assureurs maladie par exemple, est interdite.

 

Pour ce faire, CloudTrust, une filiale du groupe Elca, a créé la solution TrustID qui permet à des entités souveraines de fournir des identités électroniques vérifiées. Cela garantit un accès uniquement aux personnes identifiées au dossier électronique et de pouvoir tracer avec certitude qui a accédé à quel dossier et quand.

 

Cette identité électronique est reconnue par toutes les communautés de références en Suisse pour l’établissement d’un DEP, Communautés en un coup d’oeil – eHealth Suisse (e-health-suisse.ch. Chacun peut établir son identité électronique en quelques étapes après avoir téléchargé l’application sur son smartphone trustID : the trusted Swiss digital identity (eID) | ELCA et fait vérifier son identité en personne ou par vidéo. CloudTrust propose aussi cette identité électronique pour les professionnels de santé.

 

Mettre en œuvre des plateformes digitales connectées au DEP pour apporter des solutions aux patients

ELCA accompagne aussi ses clients dans la mise en œuvre de plate-forme digitales e-santé connectées au DEP. Elle a notamment participé à la mise en œuvre et continue de faire évoluer la plateforme d’Ofac, la coopérative des pharmaciens suisses.

 

Mario Magada, le Directeur général d’Ofac, vient d’annoncer le lancement, ce printemps, de l’accès au DEP de la Confédération via la plate-forme abilis e-santé. Quelque 400 pharmacies en Suisse sur les 1000 membres de la coopérative proposeront à leurs clients d’ouvrir un dossier électronique d’ici la fin de l’année. Ceux-ci peuvent ainsi avoir, en un seul endroit, sécurisé, toutes leurs données médicales, analyses de sang, radiographies ou autres vaccinations…

 

L’intérêt de la mise en œuvre de ce type de système, et de l’adhésion progressive de la population, est d’améliorer l’efficience de la coordination des soins et d’augmenter la responsabilisation des patients par rapport à la gestion de leur santé. La numérisation du secteur de la santé permettra ainsi de minimiser les analyses inutiles et la transmission d’informations non sécurisées par fax et lettres pour une prise en charge des patients et une meilleure santé publique globale.

 

La gestion de nos données: une priorité!

La commission de la politique de sécurité du Conseil national réclame un cloud souverain pour la Suisse. Elle demande, à juste titre, que le projet associe les milieux académiques, scientifiques et économiques, dans l’optique de partenariats publics-privés. Tout ne devrait donc pas être centralisé par la Confédération. La prise de conscience de l’importance du stockage et de la protection des données est en train de faire un bond de géant. Rappelons qu’à fin 2020, la Suisse ne voyait pas la nécessité de se doter d’une infrastructure numérique indépendante, estimant qu’il n’était pas démontré qu’il s’agissait là d’un «facteur de succès pour la place économique suisse». Les mentalités évoluent et la question du stockage et du traitement des données se pose dorénavant, avec urgence.

 

Les données sensibles

Aujourd’hui de plus en plus d’entreprises, d’autorités, d’administrations et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur le cloud computing. Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le nuage, et l’accès aux données, aux services et à l’infrastructure se fait à distance.

 

La première question qui devrait être posée est celle du degré de sensibilité et de criticité des données confiées, pour leur assurer le plus haut niveau de sécurité. Les données les plus sensibles doivent être inviolables et inaccessibles. Nous devons donc pouvoir en garantir l’accès et l’intégrité, que ce soit lors du stockage, des transferts et du traitement.

 

Les paramètres importants pour protéger les données

Aborder le problème de la gestion et du stockage des données sous l’angle de la souveraineté territoriale est extrêmement important mais pas suffisant. Il est important d’avoir une approche globale qui permet de pérenniser le système dans son ensemble. Les paramètres importants qui doivent entrer en ligne de compte sont :

  • la localisation des données et leur for juridique
  • la capacité d’influence et d’accès (eg US Cloud Act)
  • la gestion du cryptage (si nécessaire) et des clés de cryptage en particulier
  • un concept qui englobe une stratégie cloud, une gouvernance, la security compliance, le data management,
  • une approche systémique qui couvrira les outils métiers et autres systèmes legacy, un plan de migration tenant compte des intérêts, besoins et contraintes du client, ainsi que leur paramétrage,
  • Un monitoring précis qui devra prendre en compte les coûts, les charges des systèmes, mais également la sécurité en temps réel
  • Une identification et une gestion des risques (souveraineté, espionnage économique, dépendance envers un fournisseur, etc…) avec des scénarii concrets, des échelles des temps et les plans de mitigation des systèmes et des données.

 

Par ailleurs, l’informatique en nuage pose le problème de la perte de contrôle voire d’usage abusifs des données. Il est donc vital dans cette approche de pouvoir faire confiance à un ou des partenaires, qui sauront amener les compétences et l’expérience nécessaire pour accompagner une migration dans le cloud.

 

Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire, en procédant notamment à une analyse complète des risques des points de vue organisationnel, juridique et technique. Le rapport de confiance avec le prestataire et la gestion du cycle de vie des données de bout en bout est aussi important que la localisation du cloud. Les derniers cas de hacking, de sécurité et des données compromises montrent bien les limites et les risques d’une approche trop restrictive.

 

ELCA a non seulement une très large expérience de tels projets et une palette de solutions liées aux datacenters suisses souverains ELCA et de datacenters publiques (Microsoft Azure, AWS, Google), mais également dans le design de la stratégie cloud, compliance et sécuritaire, les migrations numériques et la gestion de ces infrastructures au niveau opérationnel et sécuritaire.

 

Les investissements conséquents qu’ELCA consent aujourd’hui et en particulier la création d’une entité de Solutions Suisses qui englobe entre autres ELCACloud Services, ELCA Security, sont des éléments importants dans notre stratégie d’accompagnement des sociétés suisses qui veulent protéger, pérenniser et assurer l’intégrité de leurs données et assurer la continuité de leurs activités professionnelles.

Souveraineté numérique: la Suisse se mobilise enfin!

La Suisse a, dans son Histoire, creusé des trous dans les Alpes pour assurer sa sécurité et préserver son indépendance et voilà que, sans combattre, le pays a confié le stockage d’une partie des données de l’Administration fédérale à des sociétés étrangères. L’appel à la chinoise Alibaba et aux américaines Amazon, IBM, Microsoft et Oracle, a surpris tous ceux qui s’inquiètent de la perte de souveraineté du pays, dans un des domaines clé de sa sécurité digitale. La Suisse, colonie numérique de la Chine et des États-Unis?

 

La décision a eu pour conséquences, heureuses, de réveiller les consciences. Une initiative parlementaire a été déposé à Berne, signée par tous les partis. En Suisse romande, la présidente du gouvernement vaudois, la Conseillère d’État Nuria Gorrite, a lancée l’idée d’un cloud souverain romand, un projet qu’elle entend mener avec la conférence latine des directeurs cantonaux du numérique. Et au bout du lac, un groupe de travail teste désormais la faisabilité d’un cloud sécurisé à l’intention de la Genève internationale.

Mais pourquoi est-ce important?

On ne connaît pas les détails des contrats cadres négociés par l’Administration fédérale avec les sociétés étrangères, mais une chose est certaine : sans réaction des nations européenne et de la Suisse, les GAFAM américains et les BATX chinois, qui gèrent déjà une partie de notre vie privée, vont faire main basse également sur les données publiques. «Imaginerait-on nos archives d’État en mains chinoises?», a demandé Nuria Gorrite. La Confédération avait jusqu’à présent une approche très libérale du dossier, estimant qu’il ne relevait pas du rôle de l’État. Or, on le sait désormais, il s’agit d’un aspect prioritaire de notre sécurité. Imaginez que la Suisse, au siècle passé, ait laissé des privés creuser leurs propres tunnels à travers les alpes, pour y faire passer des routes, trains et canalisations de gaz, sans aucun contrôle!

A ce stade, la bonne question à se poser est celle de savoir si le secteur IT du pays, privé ou public, est en mesure de prendre en charge le stockage de ces données en Suisse.

La réponse est non et oui!

Non, car il est illusoire d’imaginer, en Suisse, une entreprise de la taille des géants du net. Aucun prestataire helvétique n’a été retenu par la Confédération pour le contrat à 110 millions de francs, conclu en juillet. Même Swisscom a annoncé confier ses données à Amazon. Tout faire en CH jusqu’au dernier boulon, n’est pas réaliste, coûteux et surtout pas nécessaire.

Oui, si l’on considère qu’il y a plusieurs segments de marché possible: le marché grand public, dont l’offre relève nettement des géants du net, les commandes étatiques, avec des demandes de mise à disposition de stockage de donnée et finalement les «oubliés», à savoir tous les services sensibles pour la population, les entreprises et les organisations non gouvernementales et étatiques. C’est dans ce domaine clé que le secteur High Tech suisse a un rôle important à jouer, en partenariat avec le secteur public. Il est impératif que le stockage et le traitement des données, notamment, de santé, bancaires ou d’infrastructures sensibles, se fassent sur le territoire suisse, sous contrôle suisse. Bien entendu des coopérations avec les géants internationaux est nécessaire, mais de manière contrôlée.

Une prise de conscience nationale

La prise de conscience nationale, dans les milieux politiques et le grand public, de l’importance de la digitalisation au 21e siècle, pour éviter d’être dépendants d’infrastructures, plateformes et outils de fournisseurs étrangers, est salutaire. En ce sens, le projet de la conférence latine des directeurs cantonaux du numérique, et celui de la Genève Internationale, représentent une très bonne nouvelle.

Elca, comme société qui accompagne la transition digitale de la Suisse, est intéressée en premier chef par ce dossier et a développé 3 entités dédiées à ces sujets, avec une société offrant un cloud hybride, en collaboration avec les acteurs internationaux, une société dédiée à la cybersécurité et un nouveau centre d’opération de sécurité (SOC). Comme le dit très justement la Conseillère d’État Nuria Gorrite, «c’est aussi une formidable opportunité pour des sociétés locales, avec des créations d’emploi à la clé».

La Suisse doit relever le défi de sa politique d’industrialisation numérique, pour ces trente prochaines années. Elle doit soutenir un écosystème d’innovation locale. La Chine, en 20 ans, a rattrapé son retard, avec une feuille de route et des investissements clairs. Notre pays peut le faire, si les volontés publiques et privées s’y engagent. Pour cela, il faut que Confédération et cantons s’engagent à soutenir un secteur crucial pour l’avenir du pays.