Cybersécurité

La gestion de nos données: une priorité!

Yves Pitton - ELCA

La commission de la politique de sécurité du Conseil national réclame un cloud souverain pour la Suisse. Elle demande, à juste titre, que le projet associe les milieux académiques, scientifiques et économiques, dans l’optique de partenariats publics-privés. Tout ne devrait donc pas être centralisé par la Confédération. La prise de conscience de l’importance du stockage et de la protection des données est en train de faire un bond de géant. Rappelons qu’à fin 2020, la Suisse ne voyait pas la nécessité de se doter d’une infrastructure numérique indépendante, estimant qu’il n’était pas démontré qu’il s’agissait là d’un «facteur de succès pour la place économique suisse». Les mentalités évoluent et la question du stockage et du traitement des données se pose dorénavant, avec urgence.

 

Les données sensibles

Aujourd’hui de plus en plus d’entreprises, d’autorités, d’administrations et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur le cloud computing. Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le nuage, et l’accès aux données, aux services et à l’infrastructure se fait à distance.

 

La première question qui devrait être posée est celle du degré de sensibilité et de criticité des données confiées, pour leur assurer le plus haut niveau de sécurité. Les données les plus sensibles doivent être inviolables et inaccessibles. Nous devons donc pouvoir en garantir l’accès et l’intégrité, que ce soit lors du stockage, des transferts et du traitement.

 

Les paramètres importants pour protéger les données

Aborder le problème de la gestion et du stockage des données sous l’angle de la souveraineté territoriale est extrêmement important mais pas suffisant. Il est important d’avoir une approche globale qui permet de pérenniser le système dans son ensemble. Les paramètres importants qui doivent entrer en ligne de compte sont :

  • la localisation des données et leur for juridique
  • la capacité d’influence et d’accès (eg US Cloud Act)
  • la gestion du cryptage (si nécessaire) et des clés de cryptage en particulier
  • un concept qui englobe une stratégie cloud, une gouvernance, la security compliance, le data management,
  • une approche systémique qui couvrira les outils métiers et autres systèmes legacy, un plan de migration tenant compte des intérêts, besoins et contraintes du client, ainsi que leur paramétrage,
  • Un monitoring précis qui devra prendre en compte les coûts, les charges des systèmes, mais également la sécurité en temps réel
  • Une identification et une gestion des risques (souveraineté, espionnage économique, dépendance envers un fournisseur, etc…) avec des scénarii concrets, des échelles des temps et les plans de mitigation des systèmes et des données.

 

Par ailleurs, l’informatique en nuage pose le problème de la perte de contrôle voire d’usage abusifs des données. Il est donc vital dans cette approche de pouvoir faire confiance à un ou des partenaires, qui sauront amener les compétences et l’expérience nécessaire pour accompagner une migration dans le cloud.

 

Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire, en procédant notamment à une analyse complète des risques des points de vue organisationnel, juridique et technique. Le rapport de confiance avec le prestataire et la gestion du cycle de vie des données de bout en bout est aussi important que la localisation du cloud. Les derniers cas de hacking, de sécurité et des données compromises montrent bien les limites et les risques d’une approche trop restrictive.

 

ELCA a non seulement une très large expérience de tels projets et une palette de solutions liées aux datacenters suisses souverains ELCA et de datacenters publiques (Microsoft Azure, AWS, Google), mais également dans le design de la stratégie cloud, compliance et sécuritaire, les migrations numériques et la gestion de ces infrastructures au niveau opérationnel et sécuritaire.

 

Les investissements conséquents qu’ELCA consent aujourd’hui et en particulier la création d’une entité de Solutions Suisses qui englobe entre autres ELCACloud Services, ELCA Security, sont des éléments importants dans notre stratégie d’accompagnement des sociétés suisses qui veulent protéger, pérenniser et assurer l’intégrité de leurs données et assurer la continuité de leurs activités professionnelles.

Souveraineté numérique: la Suisse se mobilise enfin!

Cédric Moret - ELCA 4 commentaires

La Suisse a, dans son Histoire, creusé des trous dans les Alpes pour assurer sa sécurité et préserver son indépendance et voilà que, sans combattre, le pays a confié le stockage d’une partie des données de l’Administration fédérale à des sociétés étrangères. L’appel à la chinoise Alibaba et aux américaines Amazon, IBM, Microsoft et Oracle, a surpris tous ceux qui s’inquiètent de la perte de souveraineté du pays, dans un des domaines clé de sa sécurité digitale. La Suisse, colonie numérique de la Chine et des États-Unis?

 

La décision a eu pour conséquences, heureuses, de réveiller les consciences. Une initiative parlementaire a été déposé à Berne, signée par tous les partis. En Suisse romande, la présidente du gouvernement vaudois, la Conseillère d’État Nuria Gorrite, a lancée l’idée d’un cloud souverain romand, un projet qu’elle entend mener avec la conférence latine des directeurs cantonaux du numérique. Et au bout du lac, un groupe de travail teste désormais la faisabilité d’un cloud sécurisé à l’intention de la Genève internationale.

Mais pourquoi est-ce important?

On ne connaît pas les détails des contrats cadres négociés par l’Administration fédérale avec les sociétés étrangères, mais une chose est certaine : sans réaction des nations européenne et de la Suisse, les GAFAM américains et les BATX chinois, qui gèrent déjà une partie de notre vie privée, vont faire main basse également sur les données publiques. «Imaginerait-on nos archives d’État en mains chinoises?», a demandé Nuria Gorrite. La Confédération avait jusqu’à présent une approche très libérale du dossier, estimant qu’il ne relevait pas du rôle de l’État. Or, on le sait désormais, il s’agit d’un aspect prioritaire de notre sécurité. Imaginez que la Suisse, au siècle passé, ait laissé des privés creuser leurs propres tunnels à travers les alpes, pour y faire passer des routes, trains et canalisations de gaz, sans aucun contrôle!

A ce stade, la bonne question à se poser est celle de savoir si le secteur IT du pays, privé ou public, est en mesure de prendre en charge le stockage de ces données en Suisse.

La réponse est non et oui!

Non, car il est illusoire d’imaginer, en Suisse, une entreprise de la taille des géants du net. Aucun prestataire helvétique n’a été retenu par la Confédération pour le contrat à 110 millions de francs, conclu en juillet. Même Swisscom a annoncé confier ses données à Amazon. Tout faire en CH jusqu’au dernier boulon, n’est pas réaliste, coûteux et surtout pas nécessaire.

Oui, si l’on considère qu’il y a plusieurs segments de marché possible: le marché grand public, dont l’offre relève nettement des géants du net, les commandes étatiques, avec des demandes de mise à disposition de stockage de donnée et finalement les «oubliés», à savoir tous les services sensibles pour la population, les entreprises et les organisations non gouvernementales et étatiques. C’est dans ce domaine clé que le secteur High Tech suisse a un rôle important à jouer, en partenariat avec le secteur public. Il est impératif que le stockage et le traitement des données, notamment, de santé, bancaires ou d’infrastructures sensibles, se fassent sur le territoire suisse, sous contrôle suisse. Bien entendu des coopérations avec les géants internationaux est nécessaire, mais de manière contrôlée.

Une prise de conscience nationale

La prise de conscience nationale, dans les milieux politiques et le grand public, de l’importance de la digitalisation au 21e siècle, pour éviter d’être dépendants d’infrastructures, plateformes et outils de fournisseurs étrangers, est salutaire. En ce sens, le projet de la conférence latine des directeurs cantonaux du numérique, et celui de la Genève Internationale, représentent une très bonne nouvelle.

Elca, comme société qui accompagne la transition digitale de la Suisse, est intéressée en premier chef par ce dossier et a développé 3 entités dédiées à ces sujets, avec une société offrant un cloud hybride, en collaboration avec les acteurs internationaux, une société dédiée à la cybersécurité et un nouveau centre d’opération de sécurité (SOC). Comme le dit très justement la Conseillère d’État Nuria Gorrite, «c’est aussi une formidable opportunité pour des sociétés locales, avec des créations d’emploi à la clé».

La Suisse doit relever le défi de sa politique d’industrialisation numérique, pour ces trente prochaines années. Elle doit soutenir un écosystème d’innovation locale. La Chine, en 20 ans, a rattrapé son retard, avec une feuille de route et des investissements clairs. Notre pays peut le faire, si les volontés publiques et privées s’y engagent. Pour cela, il faut que Confédération et cantons s’engagent à soutenir un secteur crucial pour l’avenir du pays.

Sommes-nous prêts pour la cyberguerre?

Christophe Gerber - ELCA 5 commentaires

La cybermenace est en train de changer de visage, à un rythme accéléré. Aux crimes crapuleux et demandes de rançon de ces dernières années, s’ajoutent, de plus en plus souvent, des opérations à buts politiques contre des personnes ou des états. Deux événements récents l’illustrent.

 

En janvier, le CICR, a été victime d’un piratage massif, sans demande de rançon, selon les annonces officielles. Rien d’étonnant à cela, au vu de la nature des données volées, qui pourraient bien être récupérées par une organisation étatique malintentionnée, pour lancer des actions à l’encontre de personnes ou de groupes de personnes.

 

L’Ukraine, de son côté, subit depuis quelques jours une attaque militaire conventionnelle, précédée par des années d’actions dans le cyberespace. Voilà bien là, l’un des nouveaux visages de la guerre en ce 21ème siècle. Ces attaques interpellent tous les citoyens, y compris en Suisse. Serions-nous prêts, si des infrastructures vitales pour le fonctionnement de notre pays étaient visées par un sabotage informatique? Ces derniers mois des régies, des administrations publiques, des commerces, des communes ont été piratés. Et si c’était, par exemple, notre approvisionnement en énergie ou notre système de transactions bancaires?

 

Le scénario du pire en Ukraine

L’Ukraine apparaît comme un véritable laboratoire à ciel ouvert pour les opérations cyber, au point que l’OTAN a affirmé une première forme de coopération avec elle en ce domaine. Les attaques que Kiev a subies, au cours de ces dernières années, ne se comptent plus. Tous les domaines stratégiques du pays ont été touchés, comme en 2015, lorsque la centrale électrique d’Ivano-Frankivsk avait privé une partie de la région d’électricité en plein mois de décembre.  Ou à la mi-janvier de cette année, lorsque des sites web et plusieurs agences gouvernementales ont été bloqués.

 

Des dizaines, voire des centaines de milliers d’attaques sont détectées chaque jour dans le monde. Toutes n’ont pas la même gravité ou les mêmes conséquences mais les cyberattaques et les désinformations sont bien les armes de la déstabilisation, en complément ou préparation à des attaques plus conventionnelles.

 

Nous sommes tous concernés

Il y deux sortes d’attaques informatiques:

  • celles qui visent le vol de données, qui peuvent toucher toutes les entreprises, organismes publics ou particuliers
  • celles qui visent à paralyser les services essentiels d’une entreprise ou d’un État, ce que l’on appelle la cybercoercition. Lorsque les tensions augmentent entre pays, ce sont ces infrastructures critiques, centres de distribution de services, d’énergie, banques, bourses, notamment, qui sont désormais ciblées par les cyberattaques. Pour contrer ce type d’infiltrations, il faut mettre en place une défense à la hauteur de l’intérêt stratégique des infrastructures et les anti-virus ne suffisent plus. Il faut être capable de détecter à temps des attaques furtives et complexes mais surtout de pouvoir y répondre, de remettre en état l’infrastructure affectée et possiblement de contre-attaquer.

 

Est-on prêts en Suisse?

La réponse est non. Il y a encore une grande naïveté dans notre approche, en ce domaine. Imaginons, le piratage informatique d’un service industriel, responsable de la distribution électrique de tout un canton. Des centrales électriques, des barrages, des éoliennes, voire des centrales nucléaires, pourraient être paralysés. Ce scénario est -il possible? Oui. La bonne question à poser désormais est la suivante: quels sont les moyens dont la Suisse veut se doter pour arriver à une protection adéquate?

 

Notre pays a finalement pris conscience de ce type de danger et des mesures de protection à prendre. La Commission de la politique de la sécurité du Conseil national s’est prononcé, il y a peu, en faveur de la mise en place d’un cloud souverain suisse. Un tel service servira comme une sorte de zone protégée afin d’y stocker des données sensibles et d’y faire fonctionner des services nécessitant un haut degré de protection. Le tout mis en place en collaboration publique-privée mais surtout sous la seule juridiction suisse.

 

Il est important aussi que la Suisse se dote d’une réelle capacité intégrée de cyberdéfense. Ce qui se met en place au niveau de la confédération est une première étape mais ne protégera pas notre économie ni les particuliers. Il faut pour ceci accélérer la mise en place d’un écosystème industriel de cyberdéfense. Ce réseau local d’entreprises spécialisées permettra de mieux détecter les attaques et surtout d’y répondre avec une réelle capacité d’intervention.

 

Dans le monde physique, le rôle et l’efficacité de l’armée, de la police et des entreprises de sécurité privées ont été démontrés. Il manque aujourd’hui ce même type de réseau dans le monde virtuel. Il est temps de passer à la vitesse supérieure afin d’assurer la survie numérique de nos infrastructures.

Des stades de football plus sûrs, grâce à la blockchain

Marc Mazzariol - ELCA 2 commentaires

Le hooliganisme n’est plus un phénomène réservé aux stades étrangers. Rencontres après rencontres, des débordements viennent entacher les matchs de football en Suisse et menacent la sécurité de ceux qui aiment le sport. Les derniers en date ont eu lieu après le match de quart de finale de la Coupe de Suisse, entre Yverdon et le Lausanne-Sport, avec des heurts à l’extérieur du stade et des dommages au matériel urbain. En décembre dernier, après des incidents à Zurich, Lucerne et Saint-Gall, la Conférence des directrices et directeurs des départements cantonaux de justice et police et la Conférence des commandants des polices cantonales de Suisse ont estimé que le maintien du statu quo n’était plus une option. En 2019 déjà, la Conseillère fédérale Viola Amherd, ministre des sports, avait promis de durcir le ton, face à ceux qui cherchent «la castagne».

Des billets personnalisés pour entrer dans les stades 

On s’achemine vers l’introduction de billets personnalisés pour entrer dans les stades. Cela dit, la perspective provoque des réactions enflammées, du côté du noyau dur des fans de football. Le blocage est historique. Même la Swiss Football League, n’y est pas favorable, mettant en doute l’efficacité de ces mesures et redoutant qu’elles ne dissuadent les supporters de se rendre aux stades. Des réactions qui se comprennent, à la sortie d’une période de pandémie qui a mis les nerfs de tout un chacun à rude épreuve. Cependant, il faut savoir que la blockchain peut réconcilier tout le monde. Aujourd’hui déjà, le groupe ELCA, via sa solution TIXnGO, peut assurer le traçage des billets délivrés lors des plus grandes manifestations sportives internationales de football. Et permettre à l’organisateur de connaître l’identité de dizaines de milliers de supporters qui remplissent un stade. Le système SecuTix a été adopté par de grands clubs comme l’Ajax Amsterdam.

Qu’apporte la blockchain?

Les utilisateurs achètent leurs billets comme d’habitude sur le site internet du club et reçoivent un courriel pour télécharger une application. Les billets sont accessibles dans l’application une fois que l’utilisateur s’est identifié. L’application permet à l’utilisateur de transférer un ou plusieurs billets à des proches. Les destinataires reçoivent à leur tour un courriel, téléchargent l’application, s’identifient et obtiennent les billets.

Toutes les personnes qui ont reçu des billets sont connues de l’organisateur. Ce dernier peut à tout moment révoquer un billet. A noter que cela permet aussi à l’organisateur d’envoyer une notification en temps réel à tous les possesseurs de billets. Fonctionnalité qui a d’ailleurs été très utile en cette période de COVID.

Le système est parfaitement sécurisé et évite la copie et la fraude de billet. En effet, le code-barre qui permet de passer le portique d’entrée n’apparait que quelques minutes avant l’événement, limitant ainsi les possibilités de transactions frauduleuses. La blockchain privée basée sur Ethereum garantit la traçabilité de tous les transferts de billets.

La sécurité des données personnelles (nom, prénom, email) est assurée par un stockage des données sur une zone sécurisée de la mémoire du téléphone et sans stocker aucune donnée personnelle en clair dans la blockchain.

Est-ce que cela pourrait fonctionner chez nous?

Le système ELCA, via sa solution TIXnGO, est déjà adopté par de nombreux acteurs internationaux majeurs du monde du football, du golf, du cricket, du tennis ou de la culture. En Suisse romande, le Paléo a été l’un des pionniers. Mais peut-on demander à tout un chacun de s’enregistrer, me direz-vous? Les supporters ne vont jamais vouloir télécharger l’application? Faux. Le système marche pour de grandes manifestations et des stades de plus de 40’000 places ont été remplis quasi exclusivement sur la base de cette technologie. Question de génération alors? Faux encore, sa simplicité la met à la portée de tout un chacun, quel que soit son âge.

L’organisateur d’une manifestation sportive a tout intérêt à connaître son public, si on lui prouve que la technologie pour le faire est simple et fonctionnelle et qu’elle ne va pas dissuader les fans de venir au stade. Ces derniers souhaitent également, sans doute, participer à des matchs, en toute sécurité. Seuls les casseurs et les fraudeurs seront impactés par ce supplément de contrôle. Ce qui, avouez-le, n’est pas un problème.

Soyons clairs: Toutes les mesures prises n’éviteront pas les incidents. Les contrôles aux aéroports ne suppriment pas le terrorisme. Il le limite. C’est déjà un grand progrès.

Cyberattaque: il est urgent de se protéger!

Christophe Gerber - ELCA 1 commentaire

Plus personne n’est à l’abri! Qu’on se le dise. Le phénomène des cyberattaques a pris une ampleur telle que plus personne ne peut parier qu’il ne verra un jour ses données personnelles, bancaires ou médicales, jetées en pâture sur la place publique.

 

Il y avait eu l’an dernier les cyberattaques contre les villes de Morges ou de Montreux. Puis contre des PME, chaînes de magasins, régies immobilières, administrations. Et voilà qu’un nouveau palier a été franchi, la semaine dernière, avec la cyberattaque contre le CICR. Les pirates numériques ont plongé cette fois-ci dans les serveurs de l’organisation pour voler les données de plus de 500’000 personnes vulnérables, séparées de leur famille, dans des situations de crise, disparues ou détenues. Ce que redoutait l’organisation, une des craintes majeures de l’organisations depuis des années, est devenu réalité, au point que l’ancien directeur général de l’organisation, Yves Daccord, parle de «risque réputationnel majeur». Le CICR s’est engagé, sur une base de confiance, à conserver la confidentialité absolue des données qu’il collecte. Même si l’on ne semble pas connaître les auteurs de l’opération, même si l’on ne sait si ces données seront publiées et à quelle fin, il se pourrait bien que les motivations des pirates ne soient pas forcément financières mais politiques. On tremble à l’idée qu’elles ne tombent dans des mains hostiles, d’organisation ou de gouvernement, avec des vues géostratégiques précises. C’est une mine d’or.

 

Nous sommes tous concernés

Il faut penser de toute une urgence à un cadre légal, des réponses diplomatiques, une nouvelle grammaire de la sécurité, à l’heure du grand banditisme numérique. La Suisse, terre d’accueil des organisations humanitaires, état neutre et dépositaire des grandes conventions internationales, a un rôle central à jouer. Il semble que le ministre de affaires étrangères Ignazio Cassis s’y emploie.

 

L’attaque contre le CICR est un point de bascule. Elle met en évidence, pour tous ceux qui en doutaient encore, la valeur inestimable des données publiques ou privées. Elle exige des actions sur le plan politique, légal et technologique pour résoudre le problème de stockage et de sécurisation des services numériques.

 

Concernant les ONG, on évoque un traité international pour un espace humanitaire numérique. Mais les entreprises et les particuliers sont tout autant concernés. Imaginons l’attaque d’une PME travaillant avec des outils connectés. Sa production pourrait être bloquée durant des semaines voire des mois, au risque de la faire disparaître. Imaginons une famille classique, qui possède comme tout un chacun aujourd’hui un pc, téléphone mobile, connexion internet, dont les enfants font du «gaming», les parents du télétravail, des achats en ligne etc. Cette famille est à la merci des pirates.

 

Une chance pour la Suisse?

Le phénomène des cyberattaques a poussé des sociétés comme ELCA, jusqu’à présent plutôt orientée vers les grosses entreprises, à développer des propositions de sécurisation des données pour PME et collectivités. Un état de lieux et des propositions d’amélioration de la protection que l’on peut considérer comme une sorte de check up de l’outil numérique, à l’heure du banditisme sur le net. Pour les particuliers, ELCA agit désormais en partenariat avec des assurances cyber. Les besoins sont énormes, tant du côté des particuliers que des PME, notaires, médecins ou tous les autres acteurs sociaux.

 

A tous les niveaux, du particulier aux grandes organisations, il faut une mobilisation massive pour répondre aux cyberattaques. L’enjeu est de transformer la catastrophe en opportunité, pour la Genève internationale, pour la Suisse et pour ses entreprises de la High tech.