Prévoyance

Les cyberattaques peuvent être mortelles

Christophe Gerber - ELCA

Plus rien n’arrête les pirates du net, même pas la mise en danger de vies humaines. En ce sens, quelques évènements récents ont de quoi inquiéter. Le dimanche 9 octobre, une maternité privée du douzième arrondissement de Paris, les Bluets, a été touchée par une cyberattaque. Un hôpital est un lieu où chaque minute compte et où tout doit être organisé au cordeau. On tremble à l’idée de ce qui pourrait se passer en cas de paralysie totale d’un service de soins intensifs.

La clinique les Bluets n’est pas la seule dans son cas car aujourd’hui il n’y a plus de lieu préservé. Les données personnelles de santé, attirent toutes les convoitises. En avril, des cabinets médicaux neuchâtelois ont été piratés et les hôpitaux suisses sont quotidiennement visés, pour l’heure, sans dégâts majeurs. On le sait désormais : les cyberattaques concernent tous les secteurs et se protéger devient vitale. Le mot n’est pas usurpé.

Cette attaque récente ne doit pas nous faire oublier les vols de données contre des organisations humanitaires.

 

Des hackers russes

Dans l’attaque parisienne, c’est un groupe de hackers russes, qui est pointé du doigt, précisément spécialisé dans le piratage des données de la santé. Ce groupe de rançongiciel, “Vice Society”, est apparu pour la première fois durant l’été 2021 et cible régulièrement des écoles et des hôpitaux, dans le monde entier. Contrairement à d’autres pirates qui s’opposent à toucher les établissements de santé, rien n’es arrête ce groupe de hackers et l’autorité américaine de cybersécurité a publié un rapport sur eux, en septembre de cette année. “Vice Society” s’attaque également aux secteurs de la formation et aux Universités.

 

A Paris, la clinique des Bluets assure plusieurs milliers de naissances chaque année. A la suite de l’attaque, elle a été contrainte de réduire sa capacité d’accueil en salle de naissance et les systèmes de surveillance centralisé des fonctions vitales des bébés in utero ont même été rendus inopérants. Des consultations en procréation médicale assistée ont été annulées. Selon une méthode bien rôdée, les pirates ont exigé une somme d’argent, dont le montant n’a pas été divulgué, à payer dans les cinq jours, sous peine de voir toutes les données mises en ligne. Ces opérations de ransomware, de chantage numérique, sont de plus en plus fréquentes.

 

Vos données intéressent.

Le paiement cash et immédiat n’est pas le seul but visé par les pirates. Les bases de données volées peuvent aussi être vendues sur le dark web, et il s’agit-là d’une source de revenu prodigieuse. Pour avoir ces bases de données, les hackers redoublent de stratégie, notamment en lançant des attaques de « phishing », contraction de password et fishing, ce qui veut littéralement dire « pêche aux mots de passe ».

 

En français, on parle d« hameçonnage ». Plus concrètement, il s’agit de courriels frauduleux dont le but est de dérober les identifiants des personnes les plus crédules. Les e-mails semblent provenir de sources fiables. Les utilisateurs sont invités à cliquer sur une URL liée à un formulaire Web, qui charge un logiciel malveillant sur l’ordinateur. On appelle cela les liens malicieux. Dans l’affaire de la clinique parisienne, selon les informations données, les adresses e-mail utilisées habituellement par les équipes de la maternité sont inutilisables depuis l’attaque.

 

Les campagnes de «  phishing” ne visent pas une personne en particulier, mais des centaines, voire des milliers de destinataires. A contrario, le “spear phishing », le harponnage, est une attaque très ciblée, qui ne vise qu’une seule personne. Pour la mettre en œuvre, les hackers prétendent vous connaître, prennent le temps de mener des recherches sur vous et de créer des messages personnels et pertinents. Vous avez peut-être reçu des nouvelles d’un ancien collègue longtemps plus vu, qui vous annonce qu’il va quitter son emploi, pour se réorienter professionnellement. Et qui vous demande de cliquer sur un lien pour en savoir plus. Cette personne existe. Il est plausible qu’elle change d’emploi et vous vous faites prendre. Le harponnage peut être très difficile à combattre. Les personnes prudentes vont vérifier mais 8 fois sur 10, elles vont donner leur adresse mail.

 

Une technique que les escrocs utilisent également pour ajouter de la crédibilité à leur histoire est le clonage de sites Web : ils imitent des sites Web légitimes pour vous inciter à entrer des informations personnelles identifiables ou des identifiants de connexion. Si vous suivez des cours à la faculté X et que les pirates le savent par vos données volées, ils pourront par exemple envoyer une fausse Newsletter afin de vous inciter à vous abonner. Et vous voilà pris. Si vous êtes touché par une maladie grave, vous allez être immédiatement sensible à un faux lien qui vous promet tel ou tel remède miracle.

 

Renforcer la sécurité

Face à l’ingéniosité des hackers, une seule parade : la vigilance. Il est impératif pour les particuliers, les administrations publiques et les entreprises de s’équiper et de trouver le bon partenaire de sécurité. Il existe aujourd’hui des applications pour renforcer les accès, avec une authentification à plusieurs facteurs, qui peut être également biométrique pour les systèmes critiques.

 

Les équipes de sécurité des entreprises n’ont souvent pas les outils de monitoring et d’intervention adaptés. De plus, mettre en place de telles équipes 24 heures sur 24 est couteux et demande des compétences particulières. L’adversaire choisit rarement les heures de bureau pour passer à l’attaque. En cas d’attaque, il s’agit d’isoler le serveur vérolé et de réagir le plus rapidement possible, en allant récupérer les informations volées sur le serveur de l’entreprise et en identifiant les comportements frauduleux.

 

Avec Senthorus, le groupe Elca a mis sur pied un service de protection efficace liant des technologies d’avant-garde permettant une défense en temps réel et surtout une équipe d’intervention engageable en Suisse 24 heures sur 24, sept jours sur sept. Le centre de sécurité est base aujourd’hui sur les sites de Lausanne et Genève.

 

La motivation de l’attaquant n’est plus uniquement financière. La santé, la formation sont des domaines clés de notre vie sociale. Aujourd’hui ils sont menacés et les défendre est désormais un objectif prioritaire.

digitalisation innovation suisse

Numérique: Et si la Suisse se faisait confiance?

Yves Pitton - ELCA

Et si pour une fois la Suisse décidait de se faire confiance. De rompre avec sa traditionnelle modestie et de faire valoir ses atouts, qui sont immenses, dans le domaine de la hightech, de la gouvernance d’internet, de la cybersécurité. Et de l’innovation numérique où de véritables révolutions sont en cours, qui vont toucher de près les Suisses. L’Organisation mondiale de la propriété intellectuelle a classé notre pays à la première place de l’Indice mondial de l’innovation. Avec un tel palmarès, les Américains de la Silicon Valley, où j’ai eu le bonheur de travailler, auraient déjà rajouté une étoile à leur drapeau. Mais la Suisse n’aime pas se vendre. A tort. Il faut changer notre vision de nous-même et prendre conscience de nos atouts. Car le pays est prêt pour affronter l’avenir digital et les propositions pullulent. Prenons quelques exemples.

 

Des innovations qui vont changer le quotidien

Le « Symposium de Prévoyance Suisse » se tiendra à Zurich, du 8 et 9 juin prochain, en présence de quelques 2’300 visiteurs du monde des instituts financiers, des assurances ou encore des entreprises informatiques. Il y sera beaucoup question de digitalisation et la Suisse romande pourra mettre en avant quelques initiatives pionnières, dont celle récompensée par une distinction aux Digital Economy Awards, en septembre dernier à Zurich. La solution primée, fruit d’un partenariat entre la caisse vaudoise de compensation AVS et la société Neosis, consiste à ouvrir des canaux de communication, pour offrir aux citoyens, indépendants et entreprises, toutes les informations voulues sur leurs avoirs et prestations de prévoyance. L’ingéniosité du système suisse des 3 piliers n’est plus à démontrer. Et sa complexité non plus! Qui laisse les citoyens dans un brouillard complet sur les avoirs dont ils disposeront au moment de leur retraite. S’informer prend des semaines et les réponses, sous format papier, sont impossibles à déchiffrer. En ce domaine, la situation est pourtant en train de bouger à grande vitesse. Les entreprises vaudoises, affiliées à la caisse de compensation, et bientôt les citoyens, auront prochainement la possibilité d’aller sur un portail, pour y adresser en un clic, leur demande et avoir une vision compréhensible et simple de leur situation. Un chatbot pourra même répondre à leurs questions. L’OFAS, l’office fédéral des assurances sociales, suit de près ces initiatives. Il ne s’agit-là que d’un exemple, parmi beaucoup d’autres.

 

La Suisse doit cultiver sa confiance numérique

La Suisse et singulièrement la Suisse romande, dispose d’un incroyable écosystème numérique, qu’il s’agit de valoriser, en cultivant la confiance en ses talents. Prenons un autre exemple, celle de l’identité électronique, dont la pertinence n’est pas remise en cause, en attendant de régler ses modalités d’application. Sait-on qu’il existe une solution appliquée en Suisse, à savoir VaudID-Santé, qui répond à toutes les exigences, même celles des utilisateurs les plus critiques? Elle offre un aperçu centralisé et convivial des données gérées par les utilisateurs eux-mêmes. De plus, elle est entièrement sécurisée et pour ainsi dire à l’épreuve des balles. En tant qu’innovation, elle rencontrera certainement des difficultés d’acceptation au début. Mais une chose est sûre: c’est la voie que la Suisse va suivre.

 

Énumérer les écoles romandes de pointe, en la matière de cybersécurité, c’est égrener une longue liste, qui va de l’EPFL à la Haute École d’ingénierie et d’architecture de Fribourg, ou encore l’Université de Lausanne qui héberge le Swiss Cybersecurity Advisory and Research Group. L’institut de recherche Idiap a par ailleurs été choisi comme seul partenaire européen dans le projet de recherche exclusif Abacus de Google. Et la liste n’est de loin pas complète. Sait-on que Genève abrite plus de 50% des activités internationales en rapport avec l’Internet et héberge de nombreuses organisations telles que l’Internet Society, la Geneva Internet Platform, l’Internet Governance Forum, l’Internet Corporation for Assigned Names and Numbers, le Geneva Center for Security Policy et l’International Telecommunication Union. Et que la Suisse est en train de se construire une réputation mondiale dans le domaine de la gouvernance d’internet. Qui dit mieux!

 

La Suisse a tous les atouts

La bascule numérique de la société est en bonne voie et la Suisse a tous les atouts pour la mener, en toute transparence et sécurité. Elle possède un puissant d’alliage d’esprit d’innovation et de capacité entrepreneuriale. Elle abrite des écoles de très haut niveau, tournées vers le futur digital, en matière d’ingénierie, de cryptage, d’algorithmes et de sécurité et également toutes les compétences nécessaires à l’industrialisation de ces solutions.

Il s’agit de le dire haut et fort, une bonne fois pour toute.