Les ONG, des proies de choix pour les hackers.

Retenez bien ces chiffres : Plus de 50 % des ONG ont déjà été la cible de cyberattaques, selon des statistiques diffusées en janvier de cette année par l’organisation CyberPeace Institute. Or 80 % d’entre elles présentaient des systèmes de protection défaillants. Saviez-vous que 18 minutes en moyenne suffisent à un hacker pour infiltrer un système informatique ? 18 minutes. En clair, à peine l’attaque a été repérée qu’il est peut-être déjà trop tard.

Ces chiffres sont assez alarmants, car l’on parle d’organisations qui viennent en aide à des populations fragilisées, à des réfugiés, des victimes de catastrophes naturelles, de guerres, de maladies ou de violations des droits humains. Alarmants aussi, car ces ONG détiennent de grandes quantités de données personnelles dont la confidentialité est souvent une question de vie ou de mort.

La stratégie de sécurité numérique des ONG est donc vitale, raison pour laquelle la société ELCA a organisé ce printemps un colloque sur la question, à Genève. La ville du bout du lac abrite 39 institutions et organismes internationaux et plus de 750 ONG. Elle est aussi l’un des hubs mondiaux de la régulation des technologies liées à internet.

 

Des données hautement sensibles

On l’a dit, si les ONG sont des cibles de choix pour les pirates du net, c’est qu’elles détiennent des informations hautement sensibles, tant au sujet de leurs donateurs que de leurs bénéficiaires ou de leurs employés. Ces dernières années ont vu les attaques se multiplier, même contre les plus grandes d’entre elles. En mai 2021, c’était le principal organisme d’aide au développement de Nouvelle-Zélande, le « Volunteer Service Abroad » qui était visé. Autre exemple, l’organisation « Save the Children », qui avait été rançonnée à hauteur d’un million de dollars.

Les problèmes de cybersécurité se sont également fortement accrus pour les plus petites ONG, avec le développement du télétravail et le stockage de données sensibles dans des endroits non sécurisés. Nombre d’entre elles travaillent par ailleurs dans des régions dont les infrastructures limitées peuvent les exposer, ainsi que leurs employés, à des risques cyber importants. Les ONG peuvent aussi être la cible de cyberattaques à caractère politique, comme le défaçage de sites web.

L’identité des ONG comme leurs sites web peuvent être utilisés pour propager de fausses informations, des « fake news », voire dans les cas les plus graves, pour détourner des financements participatifs.

 

Les bonnes questions à se poser

Les ONG ont pris conscience de la cybermenace mais elles n’ont souvent pas les ressources internes pour se protéger. Elles consacrent la priorité de leurs dons à l’aide aux victimes dont elles ont la charge. D’où l’importance pour elles, dans un premier temps, de dresser un état des lieux des menaces et de leur vulnérabilité, puis d’établir un processus interne de gestion de crise, en cas de cyberattaque.

Les ONG peuvent se faire accompagner dans ces démarches de protection des données par des partenariats avec le privé, de la mise en œuvre des exigences à l’évaluation et à l’audit, en passant par les outils d’authentification et de cryptage. Il est aussi primordial qu’elles soient en lien avec un SOC, soit un centre opérationnel de sécurité, qui possède une système d’alerte et de contrôle qui fonctionne en permanence. Une ONG peut être basée à Genève et avoir des équipes à Haïti par exemple, ce qui nécessite une permanence qu’elles ne peuvent bien souvent pas mettre sur pied. En cas d’attaque, il est primordial de pouvoir réagir très rapidement. On sait par ailleurs que les hackers agissent souvent la nuit, lorsqu’il n’y a personne derrière les bureaux. D’où l’importance d’une collaboration avec des partenaires extérieurs.

Lors du colloque de ce printemps, ELCASecurity et Senthorus, deux entités d’ELCA basées à Genève et spécialisées en cybersécurité, ont pu échanger avec les ONG. Senthorus a mis sur pied un service dédié, avec une équipe de professionnels de la sécurité qui opèrent en permanence, 7 jours sur 7 et 24 heures sur 24, plaçant la ville du bout du lac comme un centre de lutte contre la cybercriminalité. L’une des idées-forces qui est ressortie des échanges est l’importance pour les ONG de se regrouper, de mettre en commun leur moyen pour assurer une défense efficace contre les cyberattaques, en lien avec un SOC. Les PME ou les petites communes ont exactement les mêmes défis à relever. Elles contiennent suffisamment de données pour intéresser les hackers, elles sont trop petites pour se défendre toutes seules. Il y a là tout un champ stratégique à développer, car plus personne n’est épargné par la cybercriminalité et les ONG représentent des cibles de choix.

Et si les Communes se mettaient ensemble pour se défendre contre les cyberattaques ?

« En matière de cyberattaques, les communes valaisannes sont très exposées ». Le ministre valaisan des institutions et de la sécurité, Frédéric Favre, ne faisait pas mystère, fin décembre des menaces qui pèsent aujourd’hui sur les entités publiques. En Valais comme ailleurs, les Communes restent les grandes oubliées de la lutte pour la cybersécurité. Il y a eu Rolle, Montreux, Bülach, victimes de cyberpirates, mais plus largement aujourd’hui, toutes les Communes sont dans le viseur. D’où cette question : n’est-il pas temps de mutualiser les moyens de lutte ? Et le fédéralisme n’est-il pas un frein, dans la lutte contre la cybercriminalité ?

 

Un danger permanent

Imaginez que vous ayez des dettes, que vous soyez tombé à l’aide sociale ou votre enfant ait dû recourir aux services socio-pédagogiques. Souhaiteriez-vous que cela devienne public ? que ces informations soient diffusées sur le darknet ? que votre vie privée fasse l’objet des conversations à l’épicerie de votre village ?

On le sait, le vol des données lors de cyberattaques peut porter gravement atteinte à la réputation de certaines personnes et détruire durablement la confiance entre population et l’administration.

 

La Confédération a publié un guide, à l’attention des communes, dans le cadre de sa «Stratégie nationale de protection de la Suisse contre les cyber risques 2018–2022». Le document donne des recommandations concrètes sur la manière de se protéger de la cybercriminalité, le principe de base étant que l’attaquant a toujours l’avantage. Être conscient des dangers est déjà le début de la solution, car les méthodes des cybercriminels sont désormais bien connues. Les pirates, dans la plupart des cas, incitent un employé communal à ouvrir une pièce jointe à un courriel, à cliquer sur un lien, à indiquer des données personnelles, telles que mots de passe, ou à effectuer un versement.

Que ce soit par le Rançongiciel, ces logiciels malveillants qui sont envoyés en grand nombre, souvent par courriel, par les Chevaux de Troie e-Banking, ces programmes permettant aux pirates d’avoir accès aux comptes e-Banking ou par l’hameçonnage, les modes opératoires des criminels du net se sont professionnalisés et sont aujourd’hui très au point.

 

Comment se protéger ?

La Confédération recommande aux Communes de nommer, au sein de leur administration un ou une responsable des différentes tâches concernant la sécurité des systèmes informatiques. Une bonne stratégie contre les cyberattaques commence avant tout par des processus bien définis à l’avance et bien rodés. Il est également impératif de faire un inventaire complet des données sensibles à protéger en priorité. La sensibilisation du personnel aux questions de cybersécurité est tout aussi central. Enfin, il est conseillé de procéder à des mises à jour de sécurité. Un vieux logiciel est une porte d’entrée prisée par les logiciels malveillants.

 

Comment rendre ces coûts acceptables : Mutualiser les moyens

Les conseils par le guide fédéral sont précieux mais, en matière de lutte contre la cybercriminalité comme en toute chose, la Suisse privilégie le fédéralisme. En clair, les cantons et les communes doivent se charger d’assurer leur propre sécurité. On peut se demander si l’ampleur de la menace ne nécessite pas un pilotage différent, un pilotage d’en-haut.

Après tout la Confédération et les cantons investissent des moyens considérables pour assurer la sécurité et l’intégrité physique de la population. Pourquoi n’en feraient-ils pas autant pour leur sécurité numérique, qui est aujourd’hui un enjeu majeur ?

Est-ce que toutes les communes de ce pays ont les moyens d’employer des professionnels de la sécurité ?

En attendant, la première étape pourrait être une mutualisation des moyens du côté des petites communes surtout. Il en va des collectivités publiques comme des PME : les plus grandes s’en sortent et peuvent se payer des équipes de sécurité internes. Pour les plus petites en revanche, les dépenses sont difficiles à assumer, et ce sont elles qui aujourd’hui, courent les plus grands risques. D’où la nécessité de mutualiser les moyens, pour permettre une véritable évaluation en matière de sécurité, étape indispensable avant toute décision d’investissement.

Le groupe Elca, très actif dans la lutte contre la cybercriminalité, a mis au point une méthodologie spécialement destiné aux petites organisations. Celle-ci permet d’établir en quelques heures une évaluation de l’état de défense par des professionnels. Une sorte d’état des lieux.

Il est temps que la Suisse engage tous les moyens pour tenter de mettre fin au Far West numérique. Ceci passe par une collaboration plus étroite entre les institutions publiques et l’économie privée, qui ne cesse de se réinventer et d’innover dans les techniques de défense.

Les cyberattaques peuvent être mortelles

Plus rien n’arrête les pirates du net, même pas la mise en danger de vies humaines. En ce sens, quelques évènements récents ont de quoi inquiéter. Le dimanche 9 octobre, une maternité privée du douzième arrondissement de Paris, les Bluets, a été touchée par une cyberattaque. Un hôpital est un lieu où chaque minute compte et où tout doit être organisé au cordeau. On tremble à l’idée de ce qui pourrait se passer en cas de paralysie totale d’un service de soins intensifs.

La clinique les Bluets n’est pas la seule dans son cas car aujourd’hui il n’y a plus de lieu préservé. Les données personnelles de santé, attirent toutes les convoitises. En avril, des cabinets médicaux neuchâtelois ont été piratés et les hôpitaux suisses sont quotidiennement visés, pour l’heure, sans dégâts majeurs. On le sait désormais : les cyberattaques concernent tous les secteurs et se protéger devient vitale. Le mot n’est pas usurpé.

Cette attaque récente ne doit pas nous faire oublier les vols de données contre des organisations humanitaires.

 

Des hackers russes

Dans l’attaque parisienne, c’est un groupe de hackers russes, qui est pointé du doigt, précisément spécialisé dans le piratage des données de la santé. Ce groupe de rançongiciel, “Vice Society”, est apparu pour la première fois durant l’été 2021 et cible régulièrement des écoles et des hôpitaux, dans le monde entier. Contrairement à d’autres pirates qui s’opposent à toucher les établissements de santé, rien n’es arrête ce groupe de hackers et l’autorité américaine de cybersécurité a publié un rapport sur eux, en septembre de cette année. “Vice Society” s’attaque également aux secteurs de la formation et aux Universités.

 

A Paris, la clinique des Bluets assure plusieurs milliers de naissances chaque année. A la suite de l’attaque, elle a été contrainte de réduire sa capacité d’accueil en salle de naissance et les systèmes de surveillance centralisé des fonctions vitales des bébés in utero ont même été rendus inopérants. Des consultations en procréation médicale assistée ont été annulées. Selon une méthode bien rôdée, les pirates ont exigé une somme d’argent, dont le montant n’a pas été divulgué, à payer dans les cinq jours, sous peine de voir toutes les données mises en ligne. Ces opérations de ransomware, de chantage numérique, sont de plus en plus fréquentes.

 

Vos données intéressent.

Le paiement cash et immédiat n’est pas le seul but visé par les pirates. Les bases de données volées peuvent aussi être vendues sur le dark web, et il s’agit-là d’une source de revenu prodigieuse. Pour avoir ces bases de données, les hackers redoublent de stratégie, notamment en lançant des attaques de « phishing », contraction de password et fishing, ce qui veut littéralement dire « pêche aux mots de passe ».

 

En français, on parle d« hameçonnage ». Plus concrètement, il s’agit de courriels frauduleux dont le but est de dérober les identifiants des personnes les plus crédules. Les e-mails semblent provenir de sources fiables. Les utilisateurs sont invités à cliquer sur une URL liée à un formulaire Web, qui charge un logiciel malveillant sur l’ordinateur. On appelle cela les liens malicieux. Dans l’affaire de la clinique parisienne, selon les informations données, les adresses e-mail utilisées habituellement par les équipes de la maternité sont inutilisables depuis l’attaque.

 

Les campagnes de «  phishing” ne visent pas une personne en particulier, mais des centaines, voire des milliers de destinataires. A contrario, le “spear phishing », le harponnage, est une attaque très ciblée, qui ne vise qu’une seule personne. Pour la mettre en œuvre, les hackers prétendent vous connaître, prennent le temps de mener des recherches sur vous et de créer des messages personnels et pertinents. Vous avez peut-être reçu des nouvelles d’un ancien collègue longtemps plus vu, qui vous annonce qu’il va quitter son emploi, pour se réorienter professionnellement. Et qui vous demande de cliquer sur un lien pour en savoir plus. Cette personne existe. Il est plausible qu’elle change d’emploi et vous vous faites prendre. Le harponnage peut être très difficile à combattre. Les personnes prudentes vont vérifier mais 8 fois sur 10, elles vont donner leur adresse mail.

 

Une technique que les escrocs utilisent également pour ajouter de la crédibilité à leur histoire est le clonage de sites Web : ils imitent des sites Web légitimes pour vous inciter à entrer des informations personnelles identifiables ou des identifiants de connexion. Si vous suivez des cours à la faculté X et que les pirates le savent par vos données volées, ils pourront par exemple envoyer une fausse Newsletter afin de vous inciter à vous abonner. Et vous voilà pris. Si vous êtes touché par une maladie grave, vous allez être immédiatement sensible à un faux lien qui vous promet tel ou tel remède miracle.

 

Renforcer la sécurité

Face à l’ingéniosité des hackers, une seule parade : la vigilance. Il est impératif pour les particuliers, les administrations publiques et les entreprises de s’équiper et de trouver le bon partenaire de sécurité. Il existe aujourd’hui des applications pour renforcer les accès, avec une authentification à plusieurs facteurs, qui peut être également biométrique pour les systèmes critiques.

 

Les équipes de sécurité des entreprises n’ont souvent pas les outils de monitoring et d’intervention adaptés. De plus, mettre en place de telles équipes 24 heures sur 24 est couteux et demande des compétences particulières. L’adversaire choisit rarement les heures de bureau pour passer à l’attaque. En cas d’attaque, il s’agit d’isoler le serveur vérolé et de réagir le plus rapidement possible, en allant récupérer les informations volées sur le serveur de l’entreprise et en identifiant les comportements frauduleux.

 

Avec Senthorus, le groupe Elca a mis sur pied un service de protection efficace liant des technologies d’avant-garde permettant une défense en temps réel et surtout une équipe d’intervention engageable en Suisse 24 heures sur 24, sept jours sur sept. Le centre de sécurité est base aujourd’hui sur les sites de Lausanne et Genève.

 

La motivation de l’attaquant n’est plus uniquement financière. La santé, la formation sont des domaines clés de notre vie sociale. Aujourd’hui ils sont menacés et les défendre est désormais un objectif prioritaire.

A quand le dossier électronique du patient?

L’adoption du dossier électronique du patient, DEP, a pris un sérieux coup de fouet, en ce début d’automne et les initiatives s’emballent sur le plan politique. Encore faut-il que l’ensemble de la population et du corps médical l’adopte. Pour cela, deux conditions doivent être remplies: le système doit être simple et les données doivent être absolument confidentielles et sécurisées.

 

Autorités et partenaires s’engagent pour le DEP

Tous les patients et patientes neuchâtelois peuvent désormais ouvrir leur DEP. Dans le canton d’Argovie et en Suisse orientale, les personnes intéressées peuvent se rendre dans certaines filiales de la Poste pour ouvrir un DEP. L’ex régie fédérale a d’ailleurs pris une participation majoritaire dans le réseau Axsana, qui regroupe 14 cantons alémaniques. Le Conseiller fédéral Alain Berset veut réviser la loi pour faire du DEP un instrument de l’assurance obligatoire de soins et le Conseil des États vient d’adopter une série de motions du National, qui va faciliter l’entrée en force du recueil numérique. Après des années de tergiversations, la Suisse entend donc bien rattraper son retard.

 

Les résistances subsistent

Force est cependant de constater que toutes les personnes concernées, à commencer par le personnel médical, ne sont pas encore convaincues de l’utilité du DEP. «Faut-il (déjà) tout arrêter?», se demandait, il y a quelques mois, dans un blog paru dans «Le Temps», un médecin, mettant en évidence, notamment, le caractère obligatoire du DEP pour le personnel de santé, ce qui représentait «une surcharge de travail considérable». «Tous les médecins n’ont pas un dossier médical informatisé et pour ceux qui ont en un, la grande majorité n’est pas capable de transférer automatiquement les données au DEP». Rappelons que les professionnels de la santé exerçant dans le domaine ambulatoire sont tenus de se raccorder au DEP. Pour les médecins nouvellement autorisés, cette obligation existe depuis le 1er janvier 2022.

 

Le DEP devra permettre à tout un chacun d’inscrire en ligne ses informations médicales. Cela peut être sa liste de médicaments, un rapport d’opération, de sortie d’hôpital, des informations sur des allergies ou des rapports de soins à domicile. Pour simplifier, disons que le DEP permettra aux patients d’avoir accès en tout temps et en tout lieu aux données relatives à leur santé, créant ainsi un climat de confiance plus grand lors des prises en charge et une meilleure coordination des professionnels de santé.

 

Mais quelles sont les conditions pour que la population et le personnel médical l’adoptent rapidement?

 

Le DEP doit être simple d’utilisation

Plusieurs acteurs sont actifs aujourd’hui dans le dossier. L’OFAC, la coopérative professionnelle des pharmaciens suisses, communique abondamment sur le sujet et invite les citoyens à ouvrir des DEP, aujourd’hui déjà directement dans les pharmacies.  L’association Cara, qui regroupe les cantons de Genève, Valais, Vaud, Fribourg et Jura, est également très présente. Le canton de Neuchâtel, a réalisé un projet-pilote auprès de personnes diabétiques «Mon Dossier Santé» et vient d’ouvrir le DEP à l’ensemble de la population. La Poste, qui fait une entrée en force dans le numérique, met à disposition l’infrastructure technique du DEP dans 12 cantons des quatre régions de Suisse.

 

L’enjeu pour tous ces acteurs est de se positionner pour le futur, en séduisant le plus de grand nombre de patients possibles. Les différentes communautés font leur implémentation en suivant les principes mis en place par le Conseil fédéral. Mais, à terme, il est fort à parier qu’une infrastructure technique uniforme s’imposera. Ce DEP devra être convivial et facile d’accès pour tous les utilisateurs, comme le demande une motion de commission du National.

 

Le DEP doit être confidentiel et sécurisé

Le DEP est personnel et sauf en cas d’urgence médicale, c’est le patient, et uniquement le patient, qui décide quels professionnels de la santé auront accès au dossier. «Les employeurs, les assureurs et les autorités n’y auront pas accès», explique dans «Le Temps» Caroline Gallois-Viñas, à la tête de la structure du DEP du canton de Neuchâtel. Mais il faudra également que les médecins et les professionnels de la santé l’utilisent pour y insérer leurs données. C’est l’un des grands défis du projet. Et pour cela, il faut que le climat de confiance autour de la sécurité des données soit très fort. En début d’année, les cabinets neuchâtelois ont été hackés, on s’en souvient. Pour entrer dans la communauté neuchâteloise DEP, les médecins ont dû mettre à jour leur système, avoir un antivirus et un pare-feu.

 

Accompagner la mise en œuvre et intégration du DEP

ELCA, par le biais de sa filiale ELCA Security travaille avec différents partenaires et met à disposition la solution TrustID, une des solutions d’identité électronique (eID) nationale (l’unique solution destinée aux professionnels de santé et population sur l’ensemble du territoire) certifiées pour le DEP, et propose des services de sécurité complets et adaptés à ses clients dans le domaine de la santé (anticipation, protection, détection et défense contre les menaces cyber).

 

D’autre part, ELCA a mis en œuvre l’intégration du DEP aux systèmes primaires pour un grande partie des hôpitaux vaudois et interagit avec la plupart des acteurs du domaine de la santé.

 

Après des années de lancement ajourné, il semble bien que cette fois-ci, l’outil numérique, sensé apporté efficacité et transparence dans le domaine de la santé, soit en passe d’être adopté par la Suisse, imitant en cela les pays voisins. Les prochains mois seront décisifs.

«Blue City Project»: le projet qui veut inventer la ville de demain

La Suisse se prépare à un hiver de pénurie d’énergie, auquel elle ne s’attendait pas. La digitalisation pourrait-elle aider les pouvoirs publics, à l’avenir, à anticiper ce type de crises? Un projet va être lancé, courant septembre, par la ville de Lausanne, en consortium avec des acteurs académiques, comme l’EPFL, des acteurs publics, semi-publics, privés comme ELCA et des start-ups, qui devrait répondre à ces défis. Son nom: «Blue City Project», financé par Inno Suisse, l’agence fédérale qui promeut l’innovation en Suisse. D’ici 4 ans, c’est un tout nouveau modèle de gestion des villes qui devrait voir le jour.

 

Comment économiser le chauffage et favoriser un environnement durable? Comment mieux gérer les déchets, les espaces verts, les bâtiments publics? Comment faire la chasse au gaspi? Comment éviter les bouchons à la sortie du bureau, qui provoquent des pics de pollution? Comment rendre les villes plus fonctionnelles, plus économes et plus agréables pour ses habitants? «Blue City Project» va s’attaquer à toutes ces questions. Avec cette initiative, la Suisse se place parmi les leaders mondiaux dans le modèle de gestion des villes de demain.

 

Le jumeau numérique

«Blue City Project» se base sur la technologie fascinante du jumeau numérique, à savoir ce double de l’objet physique, qui vit dans un ordinateur. Le jumeau numérique n’est que données, algorithmes, et IA, mais cet avatar virtuel va permettre de simuler de nouveaux modèles de gestion. Pour beaucoup, il s’agit encore de science-fiction, mais, de fait, la technologie ne cesse d’évoluer et de se perfectionner et aujourd’hui, les jumeaux numériques sont partout, industrie, santé, architecture, transports, communication. À l’EPFL, plusieurs laboratoires, rassemblés dans le Centre pour les systèmes intelligents, travaillent sur cette technologie et ses différentes applications. On nage dans le futur avec pourtant des applications qui pourront avoir des effets tout à fait concrets, dans le quotidien, pour la population.

 

Un exemple: «Blue City Project» va travailler sur les économies d’énergie et sera en mesure de modéliser les réseaux énergétiques, puis de les montrer sur une enveloppe virtuelle pour effectuer différentes simulations et apporter les optimisations possibles. On aura ainsi une vue précise sur la consommation d’une ville, quartier par quartier et pourra identifier ainsi les possibilités d’améliorer son bilan carbone. Le consortium va travailler également sur une application pour régler le pilotage des feux de circulation, pour fluidifier le trafic et réduire ainsi la pollution. L’idée est que tous ces secteurs, publics et privés, travaillent ensemble pour créer une ville virtuelle à travers les jumeaux numériques. La crise Covid a démontré que les collectivités devaient élaborer des modèles de gestion plus efficaces des données publiques. «Blue Sky Project» s’y attelle.

 

L’enjeu de cybersécurité

Dans tout ce projet aux implications gigantesques, l’enjeu de la sécurité des données est évidemment majeur. Dans son rapport de 2020 sur la sécurité des appareils connectés, le Conseil fédéral pointe à quel point il est facile pour des cyberpirates de prendre le contrôle de milliers, voire de millions d’appareils connectés. Ces attaques sont motivées par l’appât du gain, la volonté de sabotage ou l’espionnage. Les impacts vont de l’indisponibilité momentanée de l’infrastructure informatique à la mise hors service d’infrastructures critiques par du sabotage. Ces attaques peuvent avoir de très lourdes conséquences financières voir humaines. En effet, lors de l’attaque Triton en 2017, la prise de control des systèmes de sécurité d’une industrie pétrochimique, aurait pu occasionner des accidents mortels. Dans notre contexte de smart city, on peut s’imaginer ce que donnerait une cyberattaque contre des centrales électriques ou le jumeau numérique d’un patient.

 

ELCA va apporter au projet son expertise en cybersécurité. Concrètement, ses équipes vont définir un concept de sécurité pour le jumeau numérique. Après études des besoins des différents acteurs de la smart city, les équipes ELCA vont développer un cadre pour contrôler l’accès aux jumeaux numériques, assurer l’intégrité et la confidentialité des données exposées. Enfin une attention particulière sera portée à la communication entre jumeaux numériques et physiques. L’approche envisagée est une approche de sécurité dès la conception. Cette approche donne lieu à un système plus résilient où la sécurité est intégrée plutôt que d’être ajoutée a posteriori comme un correctif.

Genève: capitale mondiale de la cybersécurité numérique?

La réputation de la Suisse s’est faite autour de produits d’excellence, comme les montres, les fromages ou les couteaux d’officiers. Il en est un qu’il est urgent de mettre en avant, celui de la fiabilité numérique. De la même manière que les banques ont acquis, depuis le 19-ème siècle, la confiance des nations, la Suisse doit devenir un coffre-fort numérique, de dimension mondiale.

 

En bonne compagnie

Nous sommes en bonne compagnie pour partager cette conviction. Le président de Microsoft, Brad Smith, plaide depuis des années pour une «Convention numérique de Genève», un texte fondateur qui se baserait sur le modèle des Conventions de Genève de 1949, pour réguler les technologies liées à Internet. Il a contribué à créer, en 2019, le «CyberPeace Institute», où il siège aux côtés notamment de Martin Vetterli, président de l’EPFL ou de Khoo Boon Hui, ancien président d’Interpol. Le «Cyberpeace Institute» aujourd’hui déjà aide les ONG, basées à Genève, à améliorer leur sécurité numérique. Cette ONG se base sur un réseau d’entreprises et d’experts. Logiquement, Elca en fait partie et met à disposition des spécialistes pour intervenir sur demande afin d’améliorer la résilience numérique de la Genève internationale.

Invité récemment par la CCIG, la Chambre de commerce et d’industrie genevoise, Brad Smith, a lancé à nouveau un appel devant des PME, pour que Genève contribue à augmenter les standards de sécurité de l’ère numérique. La ville internationale abrite toutes les grandes organisations onusiennes et des centaines d’organisations non-gouvernementales. Elle doit et devenir la capitale mondiale de la cybersécurité. Si elle ne le fait pas, les institutions internationales risquent de partir vers des lieux plus sécurisés. Le défi est à relever et il est à notre portée.

 

Pourquoi est-ce primordial

La Suisse a des atouts à faire valoir pour prendre la tête du domaine de la cybersécurité mondiale: sa neutralité, sa stabilité politique et sa sécurité juridique. Il s’agit aujourd’hui de ne pas rater le tournant du numérique. En effet, si la confédération a offert un havre de paix physique durant le 20ème siècle, le 21ème, numérique, nous met en face de nouveaux challenges qu’il s’agit de ne pas manquer.

De plus, le Swiss made est apprécié en matière de sécurité, nous avons pu en juger il y a quelques semaines, lors du Forum International de la cybersécurité de Lille. Il s’agit de l’un des plus grands rassemblements en Europe, qui s’est tenu début juin, en présence de dizaines de milliers de visiteurs sur trois jours. Dans un contexte d’explosion des menaces cyber, tous les acteurs clés du domaine étaient à Lille et «Présence Suisse» y avait un Pavillon, qui accueillait huit sociétés suisses et start-up, dont ELCA.

Première constatation qui nous a tous frappés: La place suisse jouit grande confiance, supérieure à celle placée dans les plateformes américaines et même européennes. La Suisse représente un havre de paix et sa stabilité politique est un atout aussi dans le domaine numérique.

 

Et les coûts, me direz-vous?

Pour les prestations de consulting et les coûts des services, la Suisse est certes plus chère que la plupart des autres pays, sauf peut-être l’Angleterre. Cependant, il faut savoir que dans le domaine de la cybersécurité, les tarifs ne sont pas seuls décisifs et que les sociétés sont enclines à mettre en jeu des montants élevés, pour assurer une sécurité numérique, souvent décisive pour leur avenir. Les entreprises se rendent compte également du coût de la non-sécurité.

C’est surtout la qualité et l’indépendance des services suisses qui peut faire différence. Ce bien là est difficilement quantifiable et il s’agit d’exploiter ce trésor que nous possédons. D’autant qu’en matière de cybersécurité, à l’exception des aspects cloud, le lieu physique où se situent les sociétés n’a que peu d’importance. ELCA, depuis la Suisse contrôle la sécurité des infrastructures de ses clients dans le monde entier, grâce à son service managé de sécurité «Senthorus», société suisse, issue d’un partenariat avec le leader de la cyberdefense Bluevoyant. L’objectif est de combler le manque d’une police du numérique, en complément des institutions publiques déjà bien chargées.

 

Le temps file est il est plus que jamais nécessaire de pousser les réflexions autour des infrastructures souveraines de confiance dont notre pays, tout comme la Genève internationale a besoin. Si nous manquons ce tournant, d’autres pays le feront pour nous.

Digitalisation en Suisse Justice

La justice suisse pionnière en matière de numérisation

Le monde judiciaire suisse a lancé, il y a 6 ans, un projet titanesque, qui se fait sans bruit mais qui peut servir de modèle à tous les autres secteurs de la société, engagés dans la bascule numérique.

Imagine-t-on que, d’ici 2026, les magistrats et les avocats seront libérés des montagnes de papiers, des milliers de documents entassés dans des classeurs? Que les avocats et les juges pourront consulter les dossiers en ligne, communiquer en ligne? Qu’il sera possible d’envisager plus facilement le télétravail dans le monde judiciaire, introduit durant la période de confinement. D’ici 4 ans, le monde de la justice suisse travaillera avec des dossiers électroniques et il s’agit bien d’une révolution. Les premiers cantons pourront bénéficier de la solution dès la fin 2023.

Le changement va impacter tout le fonctionnement des tribunaux, parquets, bureaux d’avocats et se fera au bénéfice du justiciable. Nous ne sommes pas peu fiers que notre société, ELCA Informatique, ait été choisi, aux côtés d’une société alémanique Zühlke, pour participer de manière importante à cette opération modèle, qui se fait au niveau national, dans toutes les régions de Suisse et dans les quatre langues.

 

La justice donne le ton

Le nom de code du projet, qui est encore inconnu du grand public : Justitia 4.0. Il est porté conjointement par le pouvoir judiciaire, le pouvoir exécutif et les avocats. Le principe de la dématérialisation des domaines du droit pénal, civil et administratif a été accepté en 2016 déjà, par tous les cantons, le Ministère public de la Confédération, les tribunaux, les parquets, les ordres des avocats. Le projet est passé dans sa phase de concrétisation en 2019 et a connu une phase d’accélération, en juillet de cette année, par la désignation des sociétés partenaires. Parmi les 6 fournisseurs qui étaient en lice, deux sociétés, l’une alémanique, l’autre romande, ont été choisies: Zühlke Engineering, basée à Schlieren dans le canton de Zürich, développera la plateforme sécurisée et ELCA, sera responsable de l’exploitation technique, de la validation de la plateforme (tests), de la gestion opérationnelle du cloud et des données ainsi que du support.

 

Le projet est pionnier, car il est national et le fédéralisme n’a pas été un frein au processus de numérisation. Ce qui se fait lentement en matière de santé, avec le dossier électronique du patient, ce qui en est encore en ses balbutiements, en matière d’assurances sociales, ce qui a échoué devant le peuple en matière d’identité électronique, est en voie de réussite dans le monde du judiciaire.

 

D’ici 4 ans, les dossiers physiques actuels seront remplacés par des dossiers électroniques. En clair, dès l’achèvement du système, les échanges juridiques se feront en un clic, via la plateforme centrale «Justitia.Swiss» où les pièces pourront être déposées, échangées, notifiées et consultées à distance; et ceci de manière sécurisée.

Cela devrait accélérer les processus de la justice, avec une amélioration notable de la collaboration entre cantons et de la collaboration internationale. Et avec, au final, un gain notable pour les justiciables, qui pourront compter sur une justice plus souple et plus rapide. La numérisation, au service de la société, avec un partenariat public-privé: le processus est un modèle et démontre que des sociétés suisses sont capables de relever des défis aussi sensibles et critiques.

 

Un cloud souverain suisse pour abriter les données

La protection des données et la sécurité des informations sont évidemment un des grands enjeux du projet. La capacité d’assurer le bon fonctionnement de la plateforme, sur durées qui se mesurent en décennies et ce de façon souveraine est également un défi dans une monde informatique et un contexte international en perpétuel changement. A terme, les données de la justice suisse se retrouveront sur le cloud souverain d’ELCA, un cloud suisse, géré, en Suisse par une société suisse. On se souvient de la polémique, engendrée par l’attribution du stockage d’une partie des données de l’administration fédérale à la chinoise Alibaba et aux sociétés américaines Amazon, IBM, Microsoft et Oracle, pour un contrat total de 110 millions de francs. Les milieux politiques s’étaient inquiétés d’une possible colonisation numérique du pays.

 

Le projet est une opportunité unique pour ELCA qui pourra s’appuyer sur ses compétences prouvées dans le domaine de la sécurité et de la gestion de son cloud souverain; c’est également un grand défi qui devra assurer non seulement l’hébergement des données, la gestion opérationnelle du cloud, mais aussi la logique de soutien et de réponse aux clients, avec un service accessible 7 jours sur 7, 24 heures sur 24 et en 4 langues.  Il s’agit d’un projet d’envergure qui engage ELCA pour la prochaine décennie, qui nécessite du personnel supplémentaire, et qui par conséquent démontre l’ancrage suisse du groupe ELCA et son engagement dans le développement des compétences critiques en Suisse. Justitia 4.0 prouve aussi que la Suisse a tout en main pour préparer son futur numérique, pour peu que les partenaires, publics et privés, agissent dans la concertation, main dans la main.

digitalisation innovation suisse

Numérique: Et si la Suisse se faisait confiance?

Et si pour une fois la Suisse décidait de se faire confiance. De rompre avec sa traditionnelle modestie et de faire valoir ses atouts, qui sont immenses, dans le domaine de la hightech, de la gouvernance d’internet, de la cybersécurité. Et de l’innovation numérique où de véritables révolutions sont en cours, qui vont toucher de près les Suisses. L’Organisation mondiale de la propriété intellectuelle a classé notre pays à la première place de l’Indice mondial de l’innovation. Avec un tel palmarès, les Américains de la Silicon Valley, où j’ai eu le bonheur de travailler, auraient déjà rajouté une étoile à leur drapeau. Mais la Suisse n’aime pas se vendre. A tort. Il faut changer notre vision de nous-même et prendre conscience de nos atouts. Car le pays est prêt pour affronter l’avenir digital et les propositions pullulent. Prenons quelques exemples.

 

Des innovations qui vont changer le quotidien

Le « Symposium de Prévoyance Suisse » se tiendra à Zurich, du 8 et 9 juin prochain, en présence de quelques 2’300 visiteurs du monde des instituts financiers, des assurances ou encore des entreprises informatiques. Il y sera beaucoup question de digitalisation et la Suisse romande pourra mettre en avant quelques initiatives pionnières, dont celle récompensée par une distinction aux Digital Economy Awards, en septembre dernier à Zurich. La solution primée, fruit d’un partenariat entre la caisse vaudoise de compensation AVS et la société Neosis, consiste à ouvrir des canaux de communication, pour offrir aux citoyens, indépendants et entreprises, toutes les informations voulues sur leurs avoirs et prestations de prévoyance. L’ingéniosité du système suisse des 3 piliers n’est plus à démontrer. Et sa complexité non plus! Qui laisse les citoyens dans un brouillard complet sur les avoirs dont ils disposeront au moment de leur retraite. S’informer prend des semaines et les réponses, sous format papier, sont impossibles à déchiffrer. En ce domaine, la situation est pourtant en train de bouger à grande vitesse. Les entreprises vaudoises, affiliées à la caisse de compensation, et bientôt les citoyens, auront prochainement la possibilité d’aller sur un portail, pour y adresser en un clic, leur demande et avoir une vision compréhensible et simple de leur situation. Un chatbot pourra même répondre à leurs questions. L’OFAS, l’office fédéral des assurances sociales, suit de près ces initiatives. Il ne s’agit-là que d’un exemple, parmi beaucoup d’autres.

 

La Suisse doit cultiver sa confiance numérique

La Suisse et singulièrement la Suisse romande, dispose d’un incroyable écosystème numérique, qu’il s’agit de valoriser, en cultivant la confiance en ses talents. Prenons un autre exemple, celle de l’identité électronique, dont la pertinence n’est pas remise en cause, en attendant de régler ses modalités d’application. Sait-on qu’il existe une solution appliquée en Suisse, à savoir VaudID-Santé, qui répond à toutes les exigences, même celles des utilisateurs les plus critiques? Elle offre un aperçu centralisé et convivial des données gérées par les utilisateurs eux-mêmes. De plus, elle est entièrement sécurisée et pour ainsi dire à l’épreuve des balles. En tant qu’innovation, elle rencontrera certainement des difficultés d’acceptation au début. Mais une chose est sûre: c’est la voie que la Suisse va suivre.

 

Énumérer les écoles romandes de pointe, en la matière de cybersécurité, c’est égrener une longue liste, qui va de l’EPFL à la Haute École d’ingénierie et d’architecture de Fribourg, ou encore l’Université de Lausanne qui héberge le Swiss Cybersecurity Advisory and Research Group. L’institut de recherche Idiap a par ailleurs été choisi comme seul partenaire européen dans le projet de recherche exclusif Abacus de Google. Et la liste n’est de loin pas complète. Sait-on que Genève abrite plus de 50% des activités internationales en rapport avec l’Internet et héberge de nombreuses organisations telles que l’Internet Society, la Geneva Internet Platform, l’Internet Governance Forum, l’Internet Corporation for Assigned Names and Numbers, le Geneva Center for Security Policy et l’International Telecommunication Union. Et que la Suisse est en train de se construire une réputation mondiale dans le domaine de la gouvernance d’internet. Qui dit mieux!

 

La Suisse a tous les atouts

La bascule numérique de la société est en bonne voie et la Suisse a tous les atouts pour la mener, en toute transparence et sécurité. Elle possède un puissant d’alliage d’esprit d’innovation et de capacité entrepreneuriale. Elle abrite des écoles de très haut niveau, tournées vers le futur digital, en matière d’ingénierie, de cryptage, d’algorithmes et de sécurité et également toutes les compétences nécessaires à l’industrialisation de ces solutions.

Il s’agit de le dire haut et fort, une bonne fois pour toute.

Cyberattaque: trouver le bon partenaire pour se défendre

Cyberattaque: trouver le bon partenaire pour se défendre

Mais que fait la police en matière de cybersécurité? Que font nos forces de l’ordre et nos autorités pour nous protéger, alors que les cyberattaques se multiplient et que le grand public découvre l’ampleur du phénomène. Absolument plus personne n’est à l’abri et la récente attaque, qui touchait des données de santé de privés, dans des cabinets médicaux neuchâtelois, a frappé les esprits.

 

La réponse à cette question a été donnée au dernier salon «Swiss Cyber Security Days», qui s’est tenu début avril à Fribourg. Et elle est simple: ne comptez pas sur la confédération pour se substituer à la responsabilité des cantons, des PME et des particuliers. Chacun est responsable de sa sécurité.

 

Est-ce que le 117 répond-t-il en cas de cyberattaque?

Pour prendre un parallèle concret, dans le monde physique, se protéger des voleurs, en fermant son appartement à clé, en renforçant son système de sécurité, en mettant un cadenas ou une caméra si nécessaire, est une affaire individuelle. Chacun, particulier, PME, administration ou association doit s’organiser. Chacun doit trouver aujourd’hui le meilleur moyen d’assurer sa cybersécurité. En revanche, en cas de cambriolage, dans la vraie vie, les personnes victimes appellent la police, qui répond présente. Mais qui contacte-t-on en cas de cyberattaque? C’est la question prioritaire, à laquelle il faut penser dès maintenant, pour éviter des ennuis en série. Est-ce que le 117 répond-t-il en cas de cyberattaque?

 

Chacun doit s’organiser sans compter sur l’état

La Berne fédérale s’est dotée de plusieurs centres de compétence forts pour lutter contre la cybercriminalité et la cybermenace. Le département des finances d’Ueli Maurer, présent au salon Swiss Cyber Security Days de Fribourg, chapeaute le Centre national pour la cybersécurité (NCSC). Du côté militaire, l’armée œuvre depuis quelques années maintenant à la création d’un commandement cyber, opérationnel en 2024 et un premier bataillon de spécialistes a été créé. Il est important de noter que ces organisations militaires auront comme première préoccupation de protéger l’infrastructure du DDPS et ne seront pas à disposition pour répondre à des besoins civils en priorité. Par ailleurs, plusieurs cantons, à l’image de Genève ou du Jura, ont renforcé leurs effectifs d’agents consacrés à la cybercriminalité ou ont monté des structures ad hoc. Fribourg a nommé un commissaire à la sécurité numérique.

 

Ceci est, certes, un bon pas en avant. Les pouvoirs publics sont donc en train de s’organiser. Mais il est à supposer que ces quelques effectifs supplémentaires ne suffiront pas a tenir le flux grandissant des demandes. Le 117 du numérique risque de «sonner occupé» pendant quelque temps encore.

 

Une PME sur quatre en Suisse a déjà été attaquée

Mais qu’en est-il des PME, les victimes les plus fréquentes du piratage ? Les tentatives d’intrusion enregistrées par les entreprises helvétiques ont bondi de 65% par rapport à 2020, selon des chiffres publiés dans le Temps par le spécialiste californien en sécurité informatique Check Point Software. Selon de récentes études de marché, une PME sur quatre en Suisse, a déjà été attaquée, parfois avec des conséquences fatales. Les attaques par rançongiciel sont celles qui ont le plus augmenté. Les pirates qui auront crypté des systèmes informatiques, restituent les données contre une rançon, qui peut aller jusqu’à plusieurs centaines de milliers de francs.

 

Les PME suscitent en priorité la convoitise des voleurs de données. En réponse, des entreprises comme ELCA ont étendu leur offre. Elles proposent un accompagnement sur toute la chaine, de l’anticipation à la remise en place des systèmes, en passant par la protection et la défense.

 

Alors que faire? Se défendre c’est avoir un partenaire fiable

Les PME ne disposent pas des mêmes ressources, en termes financiers ou de personnels, que les grandes entreprises. Pourtant, elles possèdent elles aussi des données sensibles sur leurs clients, fournisseurs et employés ou des documents stratégiques, qui intéressent la concurrence. Les dangers de déstabilisation, liés aux cyberattaques, sont donc très grands.

 

Alors que faire? Il ne suffit pas d’installer un antivirus, firewall, backup, cryptage, etc. Il faut aussi mettre en place des processus complets de protection. Tout cela nécessite des investissements et des partenaires fiables, généralement extérieurs, car la plupart des PME n’ont pas d’équipes propres affectées à la cybersécurité. Ceci est compréhensible car ces spécialistes sont rares et leur maintien à bon niveau de compétence est couteux.

 

La difficulté réside à trouver la bonne approche et les bons partenaires. Les visiteurs d’une conférence telle que les Swiss Cyber Security Days se rendra à l’évidence de la difficile tâche du choix, au vu du nombre de prestataires spécialisés. Mais lequel choisir?

 

Une compréhension de cet écosysteme complexe

Ce partenaire doit avoir une compréhension claire de cet écosystème complexe, des menaces et des réponses possibles, sur toute la chaine de valeur de l’entreprise. Prendre le temps du choix du partenaire de confiance, de proximité, qui servira de coordinateur des autres spécialistes est une nécessité.

 

Le Groupe ELCA par exemple, fort de plus de 50 ans d’expérience dans la mise en place de systèmes complexes, est aujourd’hui en mesure de déployé l’éventail complet de cette chaine vertueuse, de l’anticipation à la restauration des systèmes rendus défectueux suite à une attaque. Au bénéfice d’une taille suffisante de spécialistes, le Groupe est en mesure de répondre au pied levé aux sollicitations des entreprises en difficulté.

 

Autant le dire tout de suite, cela a un coût, qui en vaut la peine, car une PME correctement protégée n’est plus rentable pour un hackeur. Il est donc fondamental que chacun prenne la cybersécurité au sérieux afin de ne pas allonger la liste des victimes.

Urgence: il faut sécuriser les données des patients!

Imagine-t-on une banque qui placerait l’argent de ses clients dans des coffres-forts ouverts à tous? Non! Alors pourquoi ce qui est impensable pour les institutions financières se pratique-t-il couramment dans le monde médical? De nombreux médecins stockent les dossiers de leurs patients, qui contiennent des données sensibles et extrêmement personnelles, dans des serveurs, sans mesures de sécurité particulières. Qui souhaiterait que ses différentes pathologies et traitements soient étalés sur la place publique?

 

La catastrophe était programmée et elle s’est produite dans le canton de Neuchâtel, où 43’651 fichiers médicaux se sont retrouvés en ligne sur le darknet, après avoir été la proie de pirates informatiques. Un patient séropositif ou un autre qui consomme de la drogue ont ainsi vu leur secret médical violé. «Une catastrophe», a commenté le président de la Société neuchâteloise de médecine, Dominique Bünzli.

Cette dernière cyberattaque en date va peut-être enfin donner le signal d’une vraie mobilisation pour sécuriser les données. Si Neuchâtel a été touchée cette fois-ci, toute la Suisse est concernée.

 

L’avertissement neuchâtelois

La menace des cyberattaques est d’autant plus prégnante que le monde médical est en train de faire sa bascule numérique, avec le dossier électronique du patient, le DEP.

Cela fait des années que l’on en parle du dossier électronique et son introduction se fait à la manière suisse, fédéraliste. La loi est entrée en vigueur en avril 2017 et depuis avril 2020, le DEP est obligatoire pour tous les établissements stationnaires, publics autant que privés, tout comme depuis avril 2022 pour les EMS.

 

Le DEP promet un gain de temps, d’efficacité et une meilleure prise en charge. Qui se souvient du nom de tous ses différents médicaments? Qui n’a pas oublié un jour d’informer ses différents médecins des médicaments prescrits, lorsque plusieurs pathologies sont cumulées? Qui n’a pas cherché pendant des heures son carnet de vaccination papier? Qui n’a pas dû insister de nombreuses fois auprès de son médecin ou d’un hôpital pour obtenir les informations concernant ses traitements?

 

Lever les obstacles en sécurisant les données

Le DEP est une solution qui se veut simple pour pallier la coordination trop souvent défaillante du système de santé suisse, disent les milieux concernés. Mais il se heurte encore à pas mal de résistances, en raison des changements culturels nécessaires et de la grande question de la sécurité des données qui préoccupe évidemment patients et professionnels de la santé.

Pourtant les solutions sont là.

 

Le concept du DEP est bien rôdé, on sait ce qu’il faut faire pour le mettre en place et les outils informatiques sont là. Reste à accompagner le changement de mentalité nécessaire à son adoption, à large échelle.

 

Outre une infrastructure technique basée sur les standards de sécurité les plus stricts et auditée régulièrement par des organismes indépendants, l’accès au dossier est protégé par une identité électronique hautement sécurisée. Que ce soit pour les patients ou les professionnels de la santé. De par la loi, tout accès par d’autres personnes, comme les assureurs maladie par exemple, est interdite.

 

Pour ce faire, CloudTrust, une filiale du groupe Elca, a créé la solution TrustID qui permet à des entités souveraines de fournir des identités électroniques vérifiées. Cela garantit un accès uniquement aux personnes identifiées au dossier électronique et de pouvoir tracer avec certitude qui a accédé à quel dossier et quand.

 

Cette identité électronique est reconnue par toutes les communautés de références en Suisse pour l’établissement d’un DEP, Communautés en un coup d’oeil – eHealth Suisse (e-health-suisse.ch. Chacun peut établir son identité électronique en quelques étapes après avoir téléchargé l’application sur son smartphone trustID : the trusted Swiss digital identity (eID) | ELCA et fait vérifier son identité en personne ou par vidéo. CloudTrust propose aussi cette identité électronique pour les professionnels de santé.

 

Mettre en œuvre des plateformes digitales connectées au DEP pour apporter des solutions aux patients

ELCA accompagne aussi ses clients dans la mise en œuvre de plate-forme digitales e-santé connectées au DEP. Elle a notamment participé à la mise en œuvre et continue de faire évoluer la plateforme d’Ofac, la coopérative des pharmaciens suisses.

 

Mario Magada, le Directeur général d’Ofac, vient d’annoncer le lancement, ce printemps, de l’accès au DEP de la Confédération via la plate-forme abilis e-santé. Quelque 400 pharmacies en Suisse sur les 1000 membres de la coopérative proposeront à leurs clients d’ouvrir un dossier électronique d’ici la fin de l’année. Ceux-ci peuvent ainsi avoir, en un seul endroit, sécurisé, toutes leurs données médicales, analyses de sang, radiographies ou autres vaccinations…

 

L’intérêt de la mise en œuvre de ce type de système, et de l’adhésion progressive de la population, est d’améliorer l’efficience de la coordination des soins et d’augmenter la responsabilisation des patients par rapport à la gestion de leur santé. La numérisation du secteur de la santé permettra ainsi de minimiser les analyses inutiles et la transmission d’informations non sécurisées par fax et lettres pour une prise en charge des patients et une meilleure santé publique globale.