Genève: capitale mondiale de la cybersécurité numérique?

19 août 202219 août 2022 Christophe Gerber - ELCA

La réputation de la Suisse s’est faite autour de produits d’excellence, comme les montres, les fromages ou les couteaux d’officiers. Il en est un qu’il est urgent de mettre en avant, celui de la fiabilité numérique. De la même manière que les banques ont acquis, depuis le 19-ème siècle, la confiance des nations, la Suisse doit devenir un coffre-fort numérique, de dimension mondiale.

En bonne compagnie

Nous sommes en bonne compagnie pour partager cette conviction. Le président de Microsoft, Brad Smith, plaide depuis des années pour une «Convention numérique de Genève», un texte fondateur qui se baserait sur le modèle des Conventions de Genève de 1949, pour réguler les technologies liées à Internet. Il a contribué à créer, en 2019, le «CyberPeace Institute», où il siège aux côtés notamment de Martin Vetterli, président de l’EPFL ou de Khoo Boon Hui, ancien président d’Interpol. Le «Cyberpeace Institute» aujourd’hui déjà aide les ONG, basées à Genève, à améliorer leur sécurité numérique. Cette ONG se base sur un réseau d’entreprises et d’experts. Logiquement, Elca en fait partie et met à disposition des spécialistes pour intervenir sur demande afin d’améliorer la résilience numérique de la Genève internationale.

Invité récemment par la CCIG, la Chambre de commerce et d’industrie genevoise, Brad Smith, a lancé à nouveau un appel devant des PME, pour que Genève contribue à augmenter les standards de sécurité de l’ère numérique. La ville internationale abrite toutes les grandes organisations onusiennes et des centaines d’organisations non-gouvernementales. Elle doit et devenir la capitale mondiale de la cybersécurité. Si elle ne le fait pas, les institutions internationales risquent de partir vers des lieux plus sécurisés. Le défi est à relever et il est à notre portée.

Pourquoi est-ce primordial

La Suisse a des atouts à faire valoir pour prendre la tête du domaine de la cybersécurité mondiale: sa neutralité, sa stabilité politique et sa sécurité juridique. Il s’agit aujourd’hui de ne pas rater le tournant du numérique. En effet, si la confédération a offert un havre de paix physique durant le 20ème siècle, le 21ème, numérique, nous met en face de nouveaux challenges qu’il s’agit de ne pas manquer.

De plus, le Swiss made est apprécié en matière de sécurité, nous avons pu en juger il y a quelques semaines, lors du Forum International de la cybersécurité de Lille. Il s’agit de l’un des plus grands rassemblements en Europe, qui s’est tenu début juin, en présence de dizaines de milliers de visiteurs sur trois jours. Dans un contexte d’explosion des menaces cyber, tous les acteurs clés du domaine étaient à Lille et «Présence Suisse» y avait un Pavillon, qui accueillait huit sociétés suisses et start-up, dont ELCA.

Première constatation qui nous a tous frappés: La place suisse jouit grande confiance, supérieure à celle placée dans les plateformes américaines et même européennes. La Suisse représente un havre de paix et sa stabilité politique est un atout aussi dans le domaine numérique.

Et les coûts, me direz-vous?

Pour les prestations de consulting et les coûts des services, la Suisse est certes plus chère que la plupart des autres pays, sauf peut-être l’Angleterre. Cependant, il faut savoir que dans le domaine de la cybersécurité, les tarifs ne sont pas seuls décisifs et que les sociétés sont enclines à mettre en jeu des montants élevés, pour assurer une sécurité numérique, souvent décisive pour leur avenir. Les entreprises se rendent compte également du coût de la non-sécurité.

C’est surtout la qualité et l’indépendance des services suisses qui peut faire différence. Ce bien là est difficilement quantifiable et il s’agit d’exploiter ce trésor que nous possédons. D’autant qu’en matière de cybersécurité, à l’exception des aspects cloud, le lieu physique où se situent les sociétés n’a que peu d’importance. ELCA, depuis la Suisse contrôle la sécurité des infrastructures de ses clients dans le monde entier, grâce à son service managé de sécurité «Senthorus», société suisse, issue d’un partenariat avec le leader de la cyberdefense Bluevoyant. L’objectif est de combler le manque d’une police du numérique, en complément des institutions publiques déjà bien chargées.

Le temps file est il est plus que jamais nécessaire de pousser les réflexions autour des infrastructures souveraines de confiance dont notre pays, tout comme la Genève internationale a besoin. Si nous manquons ce tournant, d’autres pays le feront pour nous.

La justice suisse pionnière en matière de numérisation

11 août 202210 août 2022 Yves Pitton - ELCA

Le monde judiciaire suisse a lancé, il y a 6 ans, un projet titanesque, qui se fait sans bruit mais qui peut servir de modèle à tous les autres secteurs de la société, engagés dans la bascule numérique.

Imagine-t-on que, d’ici 2026, les magistrats et les avocats seront libérés des montagnes de papiers, des milliers de documents entassés dans des classeurs? Que les avocats et les juges pourront consulter les dossiers en ligne, communiquer en ligne? Qu’il sera possible d’envisager plus facilement le télétravail dans le monde judiciaire, introduit durant la période de confinement. D’ici 4 ans, le monde de la justice suisse travaillera avec des dossiers électroniques et il s’agit bien d’une révolution. Les premiers cantons pourront bénéficier de la solution dès la fin 2023.

Le changement va impacter tout le fonctionnement des tribunaux, parquets, bureaux d’avocats et se fera au bénéfice du justiciable. Nous ne sommes pas peu fiers que notre société, ELCA Informatique, ait été choisi, aux côtés d’une société alémanique Zühlke, pour participer de manière importante à cette opération modèle, qui se fait au niveau national, dans toutes les régions de Suisse et dans les quatre langues.

La justice donne le ton

Le nom de code du projet, qui est encore inconnu du grand public : Justitia 4.0. Il est porté conjointement par le pouvoir judiciaire, le pouvoir exécutif et les avocats. Le principe de la dématérialisation des domaines du droit pénal, civil et administratif a été accepté en 2016 déjà, par tous les cantons, le Ministère public de la Confédération, les tribunaux, les parquets, les ordres des avocats. Le projet est passé dans sa phase de concrétisation en 2019 et a connu une phase d’accélération, en juillet de cette année, par la désignation des sociétés partenaires. Parmi les 6 fournisseurs qui étaient en lice, deux sociétés, l’une alémanique, l’autre romande, ont été choisies: Zühlke Engineering, basée à Schlieren dans le canton de Zürich, développera la plateforme sécurisée et ELCA, sera responsable de l’exploitation technique, de la validation de la plateforme (tests), de la gestion opérationnelle du cloud et des données ainsi que du support.

Le projet est pionnier, car il est national et le fédéralisme n’a pas été un frein au processus de numérisation. Ce qui se fait lentement en matière de santé, avec le dossier électronique du patient, ce qui en est encore en ses balbutiements, en matière d’assurances sociales, ce qui a échoué devant le peuple en matière d’identité électronique, est en voie de réussite dans le monde du judiciaire.

D’ici 4 ans, les dossiers physiques actuels seront remplacés par des dossiers électroniques. En clair, dès l’achèvement du système, les échanges juridiques se feront en un clic, via la plateforme centrale «Justitia.Swiss» où les pièces pourront être déposées, échangées, notifiées et consultées à distance; et ceci de manière sécurisée.

Cela devrait accélérer les processus de la justice, avec une amélioration notable de la collaboration entre cantons et de la collaboration internationale. Et avec, au final, un gain notable pour les justiciables, qui pourront compter sur une justice plus souple et plus rapide. La numérisation, au service de la société, avec un partenariat public-privé: le processus est un modèle et démontre que des sociétés suisses sont capables de relever des défis aussi sensibles et critiques.

Un cloud souverain suisse pour abriter les données

La protection des données et la sécurité des informations sont évidemment un des grands enjeux du projet. La capacité d’assurer le bon fonctionnement de la plateforme, sur durées qui se mesurent en décennies et ce de façon souveraine est également un défi dans une monde informatique et un contexte international en perpétuel changement. A terme, les données de la justice suisse se retrouveront sur le cloud souverain d’ELCA, un cloud suisse, géré, en Suisse par une société suisse. On se souvient de la polémique, engendrée par l’attribution du stockage d’une partie des données de l’administration fédérale à la chinoise Alibaba et aux sociétés américaines Amazon, IBM, Microsoft et Oracle, pour un contrat total de 110 millions de francs. Les milieux politiques s’étaient inquiétés d’une possible colonisation numérique du pays.

Le projet est une opportunité unique pour ELCA qui pourra s’appuyer sur ses compétences prouvées dans le domaine de la sécurité et de la gestion de son cloud souverain; c’est également un grand défi qui devra assurer non seulement l’hébergement des données, la gestion opérationnelle du cloud, mais aussi la logique de soutien et de réponse aux clients, avec un service accessible 7 jours sur 7, 24 heures sur 24 et en 4 langues. Il s’agit d’un projet d’envergure qui engage ELCA pour la prochaine décennie, qui nécessite du personnel supplémentaire, et qui par conséquent démontre l’ancrage suisse du groupe ELCA et son engagement dans le développement des compétences critiques en Suisse. Justitia 4.0 prouve aussi que la Suisse a tout en main pour préparer son futur numérique, pour peu que les partenaires, publics et privés, agissent dans la concertation, main dans la main.

Comment le numérique transforme le domaine bancaire

22 juillet 202222 juillet 2022 Roberta Profeta

Le numérique se place aujourd’hui en tête des priorités du secteur financier et les enjeux sont énormes. L’industrie bancaire voit apparaître de nouveaux acteurs, comme les Big Techs, des banques numériques et des fintechs, ainsi que de nouveaux produits et des modèles d’affaires qui transforment le secteur en profondeur. Face à cette évolution, la Confédération suisse a publié en février 2022 le rapport «Finance numérique: champs d’action 2022+» qui identifie des actions concrètes et ciblées en vue de l’adoption d’une approche du monde bancaire à l’épreuve du temps.

Un facteur de compétitivité

Les banques ont toutes accéléré leur cadence en matière de transformation numérique, car il en va de leur survie et de leur compétitivité. Les nouveaux acteurs du marché – à l’image des banques numériques – innovent en permanence et deviennent des concurrents importants dans certains segments comme les paiements ou les crédits aux entreprises. Ils utilisent leurs capacités pour écouter et résoudre les problèmes courants des clients bancaires tout en ciblant des domaines spécifiques à résoudre. Interprétant des données précises sur les comportements et les préférences de leurs clients cibles, ils développent et proposent des solutions innovantes en conséquence. En Suisse, la plupart de fintechs sont basées à Zurich, la cité qui compte plus de startups que le reste du pays et qui occupe le 16ème rang en Europe des écosystèmes favorables aux startups. À Zurich se trouve également le centre européen de Google, qui n’emploie pas moins de 5000 personnes. Le centre de la blockchain reste pour sa part à Zoug.

Les clients ne sont plus ce qu’ils étaient!

Le comportement et les attentes des clients ont irrévocablement changé: les interactions quotidiennes, privées et professionnelles, se sont de plus en plus orientées vers le numérique. La crise du Covid a elle-aussi contribué à rendre plus urgente la transformation numérique de l’industrie bancaire. Les services financiers numériques connaissent un essor exponentiel: chaque jour amène son lot d’innovation, avec par exemple la possibilité d’ouvrir très facilement un compte bancaire en ligne en quelques instants, d’effectuer des paiements mobiles transfrontaliers, des demandes de BNPL («buy now pay later»), d’appliquer l’intelligence artificielle aux investissements, etc.

Il est bien fini le temps où les clients entretenaient des relations privilégiées et durables avec une seule banque, basées sur la «tradition». Désormais ces mêmes clients s’attendent à ce que leurs besoins soient anticipés, compris et ciblés; ils recherchent le meilleur service possible. Cela met une pression énorme sur les banques du monde entier: elles doivent changer d’approche, devenir numériques avant tout dans leurs propositions de valeur et éviter le «trop compliqué», le «trop lent» ou le «trop ennuyeux».

Des avancées majeures ces dernières années

La Suisse est au demeurant bien armée dans cette compétition, à l’image des paiements instantanés dont l’implantation au niveau national est prévue pour le mois d’août 2024. L’enjeu actuel – pour la plupart des banques – est d’accélérer leur transformation numérique: Les modifications fondamentales du marché les poussent – en particulier les établissements de petite et moyenne taille – à mieux comprendre les tendances du secteur et à aligner leurs stratégies sur les nouveaux besoins clients, sur la base de capacités numériques ciblées.

Pour y parvenir, ils recherchent des partenaires extérieurs de confiance, en mesure de leur fournir des conseils avisés, une expérience confirmée et l’expertise nécessaire en matière de transformation numérique et d’implantation de nouveaux modèles d’affaires digitales. Il est attendu de ces partenaires qu’ils soient capables de comprendre leurs besoins et plus encore ceux de leurs clients – par une étude minutieuse des «processus clients», en ciblant les actions à engager et en synthétisant une «carte des besoins» personnalisée.

Les sociétés suisses de la high tech sont bien placées sur ce marché. Elca Informatique a lancé le premier chatbot en Suisse dès 2017 et développé la première plate-forme de courtage hypothécaire 100% digitale en Suisse en 2019. L’expertise en matière de stratégie ‘future-proof’ et de modèles commerciaux numériques est cruciale.

Il est important que le secteur bancaire soit accompagné dans la transformation digitale. Il y va de l’avenir du secteur financier.

Numérique: Et si la Suisse se faisait confiance?

3 juin 20223 juin 2022 Yves Pitton - ELCA

Et si pour une fois la Suisse décidait de se faire confiance. De rompre avec sa traditionnelle modestie et de faire valoir ses atouts, qui sont immenses, dans le domaine de la hightech, de la gouvernance d’internet, de la cybersécurité. Et de l’innovation numérique où de véritables révolutions sont en cours, qui vont toucher de près les Suisses. L’Organisation mondiale de la propriété intellectuelle a classé notre pays à la première place de l’Indice mondial de l’innovation. Avec un tel palmarès, les Américains de la Silicon Valley, où j’ai eu le bonheur de travailler, auraient déjà rajouté une étoile à leur drapeau. Mais la Suisse n’aime pas se vendre. A tort. Il faut changer notre vision de nous-même et prendre conscience de nos atouts. Car le pays est prêt pour affronter l’avenir digital et les propositions pullulent. Prenons quelques exemples.

Des innovations qui vont changer le quotidien

Le « Symposium de Prévoyance Suisse » se tiendra à Zurich, du 8 et 9 juin prochain, en présence de quelques 2’300 visiteurs du monde des instituts financiers, des assurances ou encore des entreprises informatiques. Il y sera beaucoup question de digitalisation et la Suisse romande pourra mettre en avant quelques initiatives pionnières, dont celle récompensée par une distinction aux Digital Economy Awards, en septembre dernier à Zurich. La solution primée, fruit d’un partenariat entre la caisse vaudoise de compensation AVS et la société Neosis, consiste à ouvrir des canaux de communication, pour offrir aux citoyens, indépendants et entreprises, toutes les informations voulues sur leurs avoirs et prestations de prévoyance. L’ingéniosité du système suisse des 3 piliers n’est plus à démontrer. Et sa complexité non plus! Qui laisse les citoyens dans un brouillard complet sur les avoirs dont ils disposeront au moment de leur retraite. S’informer prend des semaines et les réponses, sous format papier, sont impossibles à déchiffrer. En ce domaine, la situation est pourtant en train de bouger à grande vitesse. Les entreprises vaudoises, affiliées à la caisse de compensation, et bientôt les citoyens, auront prochainement la possibilité d’aller sur un portail, pour y adresser en un clic, leur demande et avoir une vision compréhensible et simple de leur situation. Un chatbot pourra même répondre à leurs questions. L’OFAS, l’office fédéral des assurances sociales, suit de près ces initiatives. Il ne s’agit-là que d’un exemple, parmi beaucoup d’autres.

La Suisse doit cultiver sa confiance numérique

La Suisse et singulièrement la Suisse romande, dispose d’un incroyable écosystème numérique, qu’il s’agit de valoriser, en cultivant la confiance en ses talents. Prenons un autre exemple, celle de l’identité électronique, dont la pertinence n’est pas remise en cause, en attendant de régler ses modalités d’application. Sait-on qu’il existe une solution appliquée en Suisse, à savoir VaudID-Santé, qui répond à toutes les exigences, même celles des utilisateurs les plus critiques? Elle offre un aperçu centralisé et convivial des données gérées par les utilisateurs eux-mêmes. De plus, elle est entièrement sécurisée et pour ainsi dire à l’épreuve des balles. En tant qu’innovation, elle rencontrera certainement des difficultés d’acceptation au début. Mais une chose est sûre: c’est la voie que la Suisse va suivre.

Énumérer les écoles romandes de pointe, en la matière de cybersécurité, c’est égrener une longue liste, qui va de l’EPFL à la Haute École d’ingénierie et d’architecture de Fribourg, ou encore l’Université de Lausanne qui héberge le Swiss Cybersecurity Advisory and Research Group. L’institut de recherche Idiap a par ailleurs été choisi comme seul partenaire européen dans le projet de recherche exclusif Abacus de Google. Et la liste n’est de loin pas complète. Sait-on que Genève abrite plus de 50% des activités internationales en rapport avec l’Internet et héberge de nombreuses organisations telles que l’Internet Society, la Geneva Internet Platform, l’Internet Governance Forum, l’Internet Corporation for Assigned Names and Numbers, le Geneva Center for Security Policy et l’International Telecommunication Union. Et que la Suisse est en train de se construire une réputation mondiale dans le domaine de la gouvernance d’internet. Qui dit mieux!

La Suisse a tous les atouts

La bascule numérique de la société est en bonne voie et la Suisse a tous les atouts pour la mener, en toute transparence et sécurité. Elle possède un puissant d’alliage d’esprit d’innovation et de capacité entrepreneuriale. Elle abrite des écoles de très haut niveau, tournées vers le futur digital, en matière d’ingénierie, de cryptage, d’algorithmes et de sécurité et également toutes les compétences nécessaires à l’industrialisation de ces solutions.

Il s’agit de le dire haut et fort, une bonne fois pour toute.

Cyberattaque: trouver le bon partenaire pour se défendre

5 mai 20221 juin 2022 Christophe Gerber - ELCA

Mais que fait la police en matière de cybersécurité? Que font nos forces de l’ordre et nos autorités pour nous protéger, alors que les cyberattaques se multiplient et que le grand public découvre l’ampleur du phénomène. Absolument plus personne n’est à l’abri et la récente attaque, qui touchait des données de santé de privés, dans des cabinets médicaux neuchâtelois, a frappé les esprits.

La réponse à cette question a été donnée au dernier salon «Swiss Cyber Security Days», qui s’est tenu début avril à Fribourg. Et elle est simple: ne comptez pas sur la confédération pour se substituer à la responsabilité des cantons, des PME et des particuliers. Chacun est responsable de sa sécurité.

Est-ce que le 117 répond-t-il en cas de cyberattaque?

Pour prendre un parallèle concret, dans le monde physique, se protéger des voleurs, en fermant son appartement à clé, en renforçant son système de sécurité, en mettant un cadenas ou une caméra si nécessaire, est une affaire individuelle. Chacun, particulier, PME, administration ou association doit s’organiser. Chacun doit trouver aujourd’hui le meilleur moyen d’assurer sa cybersécurité. En revanche, en cas de cambriolage, dans la vraie vie, les personnes victimes appellent la police, qui répond présente. Mais qui contacte-t-on en cas de cyberattaque? C’est la question prioritaire, à laquelle il faut penser dès maintenant, pour éviter des ennuis en série. Est-ce que le 117 répond-t-il en cas de cyberattaque?

Chacun doit s’organiser sans compter sur l’état

La Berne fédérale s’est dotée de plusieurs centres de compétence forts pour lutter contre la cybercriminalité et la cybermenace. Le département des finances d’Ueli Maurer, présent au salon Swiss Cyber Security Days de Fribourg, chapeaute le Centre national pour la cybersécurité (NCSC). Du côté militaire, l’armée œuvre depuis quelques années maintenant à la création d’un commandement cyber, opérationnel en 2024 et un premier bataillon de spécialistes a été créé. Il est important de noter que ces organisations militaires auront comme première préoccupation de protéger l’infrastructure du DDPS et ne seront pas à disposition pour répondre à des besoins civils en priorité. Par ailleurs, plusieurs cantons, à l’image de Genève ou du Jura, ont renforcé leurs effectifs d’agents consacrés à la cybercriminalité ou ont monté des structures ad hoc. Fribourg a nommé un commissaire à la sécurité numérique.

Ceci est, certes, un bon pas en avant. Les pouvoirs publics sont donc en train de s’organiser. Mais il est à supposer que ces quelques effectifs supplémentaires ne suffiront pas a tenir le flux grandissant des demandes. Le 117 du numérique risque de «sonner occupé» pendant quelque temps encore.

Une PME sur quatre en Suisse a déjà été attaquée

Mais qu’en est-il des PME, les victimes les plus fréquentes du piratage ? Les tentatives d’intrusion enregistrées par les entreprises helvétiques ont bondi de 65% par rapport à 2020, selon des chiffres publiés dans le Temps par le spécialiste californien en sécurité informatique Check Point Software. Selon de récentes études de marché, une PME sur quatre en Suisse, a déjà été attaquée, parfois avec des conséquences fatales. Les attaques par rançongiciel sont celles qui ont le plus augmenté. Les pirates qui auront crypté des systèmes informatiques, restituent les données contre une rançon, qui peut aller jusqu’à plusieurs centaines de milliers de francs.

Les PME suscitent en priorité la convoitise des voleurs de données. En réponse, des entreprises comme ELCA ont étendu leur offre. Elles proposent un accompagnement sur toute la chaine, de l’anticipation à la remise en place des systèmes, en passant par la protection et la défense.

Alors que faire? Se défendre c’est avoir un partenaire fiable

Les PME ne disposent pas des mêmes ressources, en termes financiers ou de personnels, que les grandes entreprises. Pourtant, elles possèdent elles aussi des données sensibles sur leurs clients, fournisseurs et employés ou des documents stratégiques, qui intéressent la concurrence. Les dangers de déstabilisation, liés aux cyberattaques, sont donc très grands.

Alors que faire? Il ne suffit pas d’installer un antivirus, firewall, backup, cryptage, etc. Il faut aussi mettre en place des processus complets de protection. Tout cela nécessite des investissements et des partenaires fiables, généralement extérieurs, car la plupart des PME n’ont pas d’équipes propres affectées à la cybersécurité. Ceci est compréhensible car ces spécialistes sont rares et leur maintien à bon niveau de compétence est couteux.

La difficulté réside à trouver la bonne approche et les bons partenaires. Les visiteurs d’une conférence telle que les Swiss Cyber Security Days se rendra à l’évidence de la difficile tâche du choix, au vu du nombre de prestataires spécialisés. Mais lequel choisir?

Une compréhension de cet écosysteme complexe

Ce partenaire doit avoir une compréhension claire de cet écosystème complexe, des menaces et des réponses possibles, sur toute la chaine de valeur de l’entreprise. Prendre le temps du choix du partenaire de confiance, de proximité, qui servira de coordinateur des autres spécialistes est une nécessité.

Le Groupe ELCA par exemple, fort de plus de 50 ans d’expérience dans la mise en place de systèmes complexes, est aujourd’hui en mesure de déployé l’éventail complet de cette chaine vertueuse, de l’anticipation à la restauration des systèmes rendus défectueux suite à une attaque. Au bénéfice d’une taille suffisante de spécialistes, le Groupe est en mesure de répondre au pied levé aux sollicitations des entreprises en difficulté.

Autant le dire tout de suite, cela a un coût, qui en vaut la peine, car une PME correctement protégée n’est plus rentable pour un hackeur. Il est donc fondamental que chacun prenne la cybersécurité au sérieux afin de ne pas allonger la liste des victimes.

Urgence: il faut sécuriser les données des patients!

8 avril 202217 février 2023 Sébastien Fabbri - ELCA 1 commentaire

Imagine-t-on une banque qui placerait l’argent de ses clients dans des coffres-forts ouverts à tous? Non! Alors pourquoi ce qui est impensable pour les institutions financières se pratique-t-il couramment dans le monde médical? De nombreux médecins stockent les dossiers de leurs patients, qui contiennent des données sensibles et extrêmement personnelles, dans des serveurs, sans mesures de sécurité particulières. Qui souhaiterait que ses différentes pathologies et traitements soient étalés sur la place publique?

La catastrophe était programmée et elle s’est produite dans le canton de Neuchâtel, où 43’651 fichiers médicaux se sont retrouvés en ligne sur le darknet, après avoir été la proie de pirates informatiques. Un patient séropositif ou un autre qui consomme de la drogue ont ainsi vu leur secret médical violé. «Une catastrophe», a commenté le président de la Société neuchâteloise de médecine, Dominique Bünzli.

Cette dernière cyberattaque en date va peut-être enfin donner le signal d’une vraie mobilisation pour sécuriser les données. Si Neuchâtel a été touchée cette fois-ci, toute la Suisse est concernée.

L’avertissement neuchâtelois

La menace des cyberattaques est d’autant plus prégnante que le monde médical est en train de faire sa bascule numérique, avec le dossier électronique du patient, le DEP.

Cela fait des années que l’on en parle du dossier électronique et son introduction se fait à la manière suisse, fédéraliste. La loi est entrée en vigueur en avril 2017 et depuis avril 2020, le DEP est obligatoire pour tous les établissements stationnaires, publics autant que privés, tout comme depuis avril 2022 pour les EMS.

Le DEP promet un gain de temps, d’efficacité et une meilleure prise en charge. Qui se souvient du nom de tous ses différents médicaments? Qui n’a pas oublié un jour d’informer ses différents médecins des médicaments prescrits, lorsque plusieurs pathologies sont cumulées? Qui n’a pas cherché pendant des heures son carnet de vaccination papier? Qui n’a pas dû insister de nombreuses fois auprès de son médecin ou d’un hôpital pour obtenir les informations concernant ses traitements?

Lever les obstacles en sécurisant les données

Le DEP est une solution qui se veut simple pour pallier la coordination trop souvent défaillante du système de santé suisse, disent les milieux concernés. Mais il se heurte encore à pas mal de résistances, en raison des changements culturels nécessaires et de la grande question de la sécurité des données qui préoccupe évidemment patients et professionnels de la santé.

Pourtant les solutions sont là.

Le concept du DEP est bien rôdé, on sait ce qu’il faut faire pour le mettre en place et les outils informatiques sont là. Reste à accompagner le changement de mentalité nécessaire à son adoption, à large échelle.

Outre une infrastructure technique basée sur les standards de sécurité les plus stricts et auditée régulièrement par des organismes indépendants, l’accès au dossier est protégé par une identité électronique hautement sécurisée. Que ce soit pour les patients ou les professionnels de la santé. De par la loi, tout accès par d’autres personnes, comme les assureurs maladie par exemple, est interdite.

Pour ce faire, CloudTrust, une filiale du groupe Elca, a créé la solution TrustID qui permet à des entités souveraines de fournir des identités électroniques vérifiées. Cela garantit un accès uniquement aux personnes identifiées au dossier électronique et de pouvoir tracer avec certitude qui a accédé à quel dossier et quand.

Cette identité électronique est reconnue par toutes les communautés de références en Suisse pour l’établissement d’un DEP, Communautés en un coup d’oeil – eHealth Suisse (e-health-suisse.ch. Chacun peut établir son identité électronique en quelques étapes après avoir téléchargé l’application sur son smartphone trustID : the trusted Swiss digital identity (eID) | ELCA et fait vérifier son identité en personne ou par vidéo. CloudTrust propose aussi cette identité électronique pour les professionnels de santé.

Mettre en œuvre des plateformes digitales connectées au DEP pour apporter des solutions aux patients

ELCA accompagne aussi ses clients dans la mise en œuvre de plate-forme digitales e-santé connectées au DEP. Elle a notamment participé à la mise en œuvre et continue de faire évoluer la plateforme d’Ofac, la coopérative des pharmaciens suisses.

Mario Magada, le Directeur général d’Ofac, vient d’annoncer le lancement, ce printemps, de l’accès au DEP de la Confédération via la plate-forme abilis e-santé. Quelque 400 pharmacies en Suisse sur les 1000 membres de la coopérative proposeront à leurs clients d’ouvrir un dossier électronique d’ici la fin de l’année. Ceux-ci peuvent ainsi avoir, en un seul endroit, sécurisé, toutes leurs données médicales, analyses de sang, radiographies ou autres vaccinations…

L’intérêt de la mise en œuvre de ce type de système, et de l’adhésion progressive de la population, est d’améliorer l’efficience de la coordination des soins et d’augmenter la responsabilisation des patients par rapport à la gestion de leur santé. La numérisation du secteur de la santé permettra ainsi de minimiser les analyses inutiles et la transmission d’informations non sécurisées par fax et lettres pour une prise en charge des patients et une meilleure santé publique globale.

La gestion de nos données: une priorité!

15 mars 202217 février 2023 Yves Pitton - ELCA

La commission de la politique de sécurité du Conseil national réclame un cloud souverain pour la Suisse. Elle demande, à juste titre, que le projet associe les milieux académiques, scientifiques et économiques, dans l’optique de partenariats publics-privés. Tout ne devrait donc pas être centralisé par la Confédération. La prise de conscience de l’importance du stockage et de la protection des données est en train de faire un bond de géant. Rappelons qu’à fin 2020, la Suisse ne voyait pas la nécessité de se doter d’une infrastructure numérique indépendante, estimant qu’il n’était pas démontré qu’il s’agissait là d’un «facteur de succès pour la place économique suisse». Les mentalités évoluent et la question du stockage et du traitement des données se pose dorénavant, avec urgence.

Les données sensibles

Aujourd’hui de plus en plus d’entreprises, d’autorités, d’administrations et d’institutions confient le traitement de leurs données à des entreprises externes, misant sur le cloud computing. Les applications et les données ne se trouvent donc plus sur les réseaux internes, mais dans le nuage, et l’accès aux données, aux services et à l’infrastructure se fait à distance.

La première question qui devrait être posée est celle du degré de sensibilité et de criticité des données confiées, pour leur assurer le plus haut niveau de sécurité. Les données les plus sensibles doivent être inviolables et inaccessibles. Nous devons donc pouvoir en garantir l’accès et l’intégrité, que ce soit lors du stockage, des transferts et du traitement.

Les paramètres importants pour protéger les données

Aborder le problème de la gestion et du stockage des données sous l’angle de la souveraineté territoriale est extrêmement important mais pas suffisant. Il est important d’avoir une approche globale qui permet de pérenniser le système dans son ensemble. Les paramètres importants qui doivent entrer en ligne de compte sont :

la localisation des données et leur for juridique
la capacité d’influence et d’accès (eg US Cloud Act)
la gestion du cryptage (si nécessaire) et des clés de cryptage en particulier
un concept qui englobe une stratégie cloud, une gouvernance, la security compliance, le data management,
une approche systémique qui couvrira les outils métiers et autres systèmes legacy, un plan de migration tenant compte des intérêts, besoins et contraintes du client, ainsi que leur paramétrage,
Un monitoring précis qui devra prendre en compte les coûts, les charges des systèmes, mais également la sécurité en temps réel
Une identification et une gestion des risques (souveraineté, espionnage économique, dépendance envers un fournisseur, etc…) avec des scénarii concrets, des échelles des temps et les plans de mitigation des systèmes et des données.

Par ailleurs, l’informatique en nuage pose le problème de la perte de contrôle voire d’usage abusifs des données. Il est donc vital dans cette approche de pouvoir faire confiance à un ou des partenaires, qui sauront amener les compétences et l’expérience nécessaire pour accompagner une migration dans le cloud.

Avant de mettre des données dans un nuage, il faut choisir soigneusement le prestataire, en procédant notamment à une analyse complète des risques des points de vue organisationnel, juridique et technique. Le rapport de confiance avec le prestataire et la gestion du cycle de vie des données de bout en bout est aussi important que la localisation du cloud. Les derniers cas de hacking, de sécurité et des données compromises montrent bien les limites et les risques d’une approche trop restrictive.

ELCA a non seulement une très large expérience de tels projets et une palette de solutions liées aux datacenters suisses souverains ELCA et de datacenters publiques (Microsoft Azure, AWS, Google), mais également dans le design de la stratégie cloud, compliance et sécuritaire, les migrations numériques et la gestion de ces infrastructures au niveau opérationnel et sécuritaire.

Les investissements conséquents qu’ELCA consent aujourd’hui et en particulier la création d’une entité de Solutions Suisses qui englobe entre autres ELCACloud Services, ELCA Security, sont des éléments importants dans notre stratégie d’accompagnement des sociétés suisses qui veulent protéger, pérenniser et assurer l’intégrité de leurs données et assurer la continuité de leurs activités professionnelles.

Souveraineté numérique: la Suisse se mobilise enfin!

14 mars 202217 février 2023 Cédric Moret - ELCA 4 commentaires

La Suisse a, dans son Histoire, creusé des trous dans les Alpes pour assurer sa sécurité et préserver son indépendance et voilà que, sans combattre, le pays a confié le stockage d’une partie des données de l’Administration fédérale à des sociétés étrangères. L’appel à la chinoise Alibaba et aux américaines Amazon, IBM, Microsoft et Oracle, a surpris tous ceux qui s’inquiètent de la perte de souveraineté du pays, dans un des domaines clé de sa sécurité digitale. La Suisse, colonie numérique de la Chine et des États-Unis?

La décision a eu pour conséquences, heureuses, de réveiller les consciences. Une initiative parlementaire a été déposé à Berne, signée par tous les partis. En Suisse romande, la présidente du gouvernement vaudois, la Conseillère d’État Nuria Gorrite, a lancée l’idée d’un cloud souverain romand, un projet qu’elle entend mener avec la conférence latine des directeurs cantonaux du numérique. Et au bout du lac, un groupe de travail teste désormais la faisabilité d’un cloud sécurisé à l’intention de la Genève internationale.

Mais pourquoi est-ce important?

On ne connaît pas les détails des contrats cadres négociés par l’Administration fédérale avec les sociétés étrangères, mais une chose est certaine : sans réaction des nations européenne et de la Suisse, les GAFAM américains et les BATX chinois, qui gèrent déjà une partie de notre vie privée, vont faire main basse également sur les données publiques. «Imaginerait-on nos archives d’État en mains chinoises?», a demandé Nuria Gorrite. La Confédération avait jusqu’à présent une approche très libérale du dossier, estimant qu’il ne relevait pas du rôle de l’État. Or, on le sait désormais, il s’agit d’un aspect prioritaire de notre sécurité. Imaginez que la Suisse, au siècle passé, ait laissé des privés creuser leurs propres tunnels à travers les alpes, pour y faire passer des routes, trains et canalisations de gaz, sans aucun contrôle!

A ce stade, la bonne question à se poser est celle de savoir si le secteur IT du pays, privé ou public, est en mesure de prendre en charge le stockage de ces données en Suisse.

La réponse est non et oui!

Non, car il est illusoire d’imaginer, en Suisse, une entreprise de la taille des géants du net. Aucun prestataire helvétique n’a été retenu par la Confédération pour le contrat à 110 millions de francs, conclu en juillet. Même Swisscom a annoncé confier ses données à Amazon. Tout faire en CH jusqu’au dernier boulon, n’est pas réaliste, coûteux et surtout pas nécessaire.

Oui, si l’on considère qu’il y a plusieurs segments de marché possible: le marché grand public, dont l’offre relève nettement des géants du net, les commandes étatiques, avec des demandes de mise à disposition de stockage de donnée et finalement les «oubliés», à savoir tous les services sensibles pour la population, les entreprises et les organisations non gouvernementales et étatiques. C’est dans ce domaine clé que le secteur High Tech suisse a un rôle important à jouer, en partenariat avec le secteur public. Il est impératif que le stockage et le traitement des données, notamment, de santé, bancaires ou d’infrastructures sensibles, se fassent sur le territoire suisse, sous contrôle suisse. Bien entendu des coopérations avec les géants internationaux est nécessaire, mais de manière contrôlée.

Une prise de conscience nationale

La prise de conscience nationale, dans les milieux politiques et le grand public, de l’importance de la digitalisation au 21e siècle, pour éviter d’être dépendants d’infrastructures, plateformes et outils de fournisseurs étrangers, est salutaire. En ce sens, le projet de la conférence latine des directeurs cantonaux du numérique, et celui de la Genève Internationale, représentent une très bonne nouvelle.

Elca, comme société qui accompagne la transition digitale de la Suisse, est intéressée en premier chef par ce dossier et a développé 3 entités dédiées à ces sujets, avec une société offrant un cloud hybride, en collaboration avec les acteurs internationaux, une société dédiée à la cybersécurité et un nouveau centre d’opération de sécurité (SOC). Comme le dit très justement la Conseillère d’État Nuria Gorrite, «c’est aussi une formidable opportunité pour des sociétés locales, avec des créations d’emploi à la clé».

La Suisse doit relever le défi de sa politique d’industrialisation numérique, pour ces trente prochaines années. Elle doit soutenir un écosystème d’innovation locale. La Chine, en 20 ans, a rattrapé son retard, avec une feuille de route et des investissements clairs. Notre pays peut le faire, si les volontés publiques et privées s’y engagent. Pour cela, il faut que Confédération et cantons s’engagent à soutenir un secteur crucial pour l’avenir du pays.

La Suisse risque de perdre la bataille des talents

11 mars 202217 février 2023 Yves Pitton - ELCA 3 commentaires

L’Accord-cadre entre la Suisse et Bruxelles a été enterré, le 26 mai 2021, et il n’y aura pas d’accord-cadre 2.0. Le Conseil fédéral vient de privilégier une approche sectorielle pour l’accès au marché européen et la réponse de l’Union européenne est attendue avec beaucoup d’impatience. Car l’éviction de la Suisse du programme Horizon, dont elle n’est plus qu’un état tiers, se fait sentir, avec des effets immédiats pour le secteur académique, avec des effets à moyen terme pour l’économique suisse.

La semaine dernière, le président de l’EPZ, Joël Mesot, invité à un débat à l’université de Genève, n’a laissé aucune ambiguïté sur les conséquences de ce déclassement: «Wir sind stark betroffen». Ainsi donc l’une des voix les plus importantes du monde académique suisse, à la tête de l’une des 10 meilleures écoles du monde, déclare que nous pourrions très vite perdre pied au niveau international.

Et qu’en est-il de toutes les sociétés, qui comme Elca, sont actives dans des domaines de pointe, comme l’IT? Pour citer une autre invitée de ce débat, la Rectrice de l’Université de Fribourg, nous disons: «Nous ne sommes pas en soucis pour demain mais pour après-demain».

La course au talent

Elca emploie environ 1’700 personnes, essentiellement des ingénieurs, spécialistes de secteurs comme le développement de logiciel, l’infrastructure cloud ou la cybersécurité. On y parle beaucoup de compétences et de confiance et le premier risque que fait courir à notre société le blocage actuel des discussions entre Berne et Bruxelles, est celui de perdre, à terme, l’accès aux talents. Nous le disons franchement, nous qui sommes l’une de plus grosses entreprises de la place à engager des ingénieurs de pointe, nous sommes suisses et fiers de l’être, mais nous irons là où se trouvent les bonnes personnes.

Actuellement, la qualité des universités et des hautes écoles suisses attire les meilleurs cerveaux de la planète. Nous n’avons aucun intérêt à voir le secteur académique suisse perdre de son attractivité. Or celui-ci se trouve relégué dans le deuxième wagon du nouveau programme “Horizon Europe”, décidé par la Commission européenne, doté d’un budget total de 100 milliards d’euros pour la période 2021-2027.

Un de nos défis est de garder dans nos sociétés et notre pays, les meilleurs talents dans les domaines stratégiques que sont, notamment, l’intelligence artificielle, le quantique, la cybersécurité, les développements technologiques. C’est une priorité.

Conserver l’attractivité de la place académique et économique

Elca a lié des partenariats, notamment avec l’EPFL où nous avons des bureaux, avec la Trust Valley, qui fédère le monde académique et les prestataires privés. Le «Center for digital trust» de l’EPFL est également très important pour toutes nos prestations. Nous ne sommes pas inquiets pour le court terme mais à moyen terme, nous craignons une perte d’attractivité de nos Hautes écoles. Google n’a pas choisi par hasard Zurich pour y installer son centre européen, avec 5’000 emplois à la clé pour de très nombreux informaticiens, formés dans nos hautes écoles. La Suisse attire des étudiants, professeurs, chercheurs du monde entier. Que se passera-t-il lorsque la Suisse aura perdu de sa force d’attractivité.

Tous les talents ont besoin d’être stimulés, confrontés à d’autres compétences. Les fonds européens permettent à de nombreuses sociétés suisses, engagées dans les secteurs de pointe, de financer des emplois, avec un effet multiplicateur. Ces employés travaillent avec des homologues européens et boostent des projets, qui avancent plus vite et profitent à la Suisse.

Cohérence politique

La Suisse a un système politique d’une très grande stabilité et cohérence, et cela est un atout pour l’économie. Nous ne devons pas perdre ces deux qualités. Ainsi la souveraineté du pays est fréquemment avancée pour refuser l’Accord-cadre et ses dispositions sur la Cour européenne de justice. Pourquoi dès lors, dans le même temps, la Confédération a-t-elle confié la gestion de ses données à 5 entreprises étrangères?

Les Hautes écoles comme l’économie suisse ont besoin d’une stratégie claire et inventive dans la gestion du dossier européen, pour éviter la marginalisation de la Suisse, dont nous aurions tous beaucoup à perdre.

Sommes-nous prêts pour la cyberguerre?

1 mars 202217 février 2023 Christophe Gerber - ELCA 5 commentaires

La cybermenace est en train de changer de visage, à un rythme accéléré. Aux crimes crapuleux et demandes de rançon de ces dernières années, s’ajoutent, de plus en plus souvent, des opérations à buts politiques contre des personnes ou des états. Deux événements récents l’illustrent.

En janvier, le CICR, a été victime d’un piratage massif, sans demande de rançon, selon les annonces officielles. Rien d’étonnant à cela, au vu de la nature des données volées, qui pourraient bien être récupérées par une organisation étatique malintentionnée, pour lancer des actions à l’encontre de personnes ou de groupes de personnes.

L’Ukraine, de son côté, subit depuis quelques jours une attaque militaire conventionnelle, précédée par des années d’actions dans le cyberespace. Voilà bien là, l’un des nouveaux visages de la guerre en ce 21ème siècle. Ces attaques interpellent tous les citoyens, y compris en Suisse. Serions-nous prêts, si des infrastructures vitales pour le fonctionnement de notre pays étaient visées par un sabotage informatique? Ces derniers mois des régies, des administrations publiques, des commerces, des communes ont été piratés. Et si c’était, par exemple, notre approvisionnement en énergie ou notre système de transactions bancaires?

Le scénario du pire en Ukraine

L’Ukraine apparaît comme un véritable laboratoire à ciel ouvert pour les opérations cyber, au point que l’OTAN a affirmé une première forme de coopération avec elle en ce domaine. Les attaques que Kiev a subies, au cours de ces dernières années, ne se comptent plus. Tous les domaines stratégiques du pays ont été touchés, comme en 2015, lorsque la centrale électrique d’Ivano-Frankivsk avait privé une partie de la région d’électricité en plein mois de décembre. Ou à la mi-janvier de cette année, lorsque des sites web et plusieurs agences gouvernementales ont été bloqués.

Des dizaines, voire des centaines de milliers d’attaques sont détectées chaque jour dans le monde. Toutes n’ont pas la même gravité ou les mêmes conséquences mais les cyberattaques et les désinformations sont bien les armes de la déstabilisation, en complément ou préparation à des attaques plus conventionnelles.

Nous sommes tous concernés

Il y deux sortes d’attaques informatiques:

celles qui visent le vol de données, qui peuvent toucher toutes les entreprises, organismes publics ou particuliers
celles qui visent à paralyser les services essentiels d’une entreprise ou d’un État, ce que l’on appelle la cybercoercition. Lorsque les tensions augmentent entre pays, ce sont ces infrastructures critiques, centres de distribution de services, d’énergie, banques, bourses, notamment, qui sont désormais ciblées par les cyberattaques. Pour contrer ce type d’infiltrations, il faut mettre en place une défense à la hauteur de l’intérêt stratégique des infrastructures et les anti-virus ne suffisent plus. Il faut être capable de détecter à temps des attaques furtives et complexes mais surtout de pouvoir y répondre, de remettre en état l’infrastructure affectée et possiblement de contre-attaquer.

Est-on prêts en Suisse?

La réponse est non. Il y a encore une grande naïveté dans notre approche, en ce domaine. Imaginons, le piratage informatique d’un service industriel, responsable de la distribution électrique de tout un canton. Des centrales électriques, des barrages, des éoliennes, voire des centrales nucléaires, pourraient être paralysés. Ce scénario est -il possible? Oui. La bonne question à poser désormais est la suivante: quels sont les moyens dont la Suisse veut se doter pour arriver à une protection adéquate?

Notre pays a finalement pris conscience de ce type de danger et des mesures de protection à prendre. La Commission de la politique de la sécurité du Conseil national s’est prononcé, il y a peu, en faveur de la mise en place d’un cloud souverain suisse. Un tel service servira comme une sorte de zone protégée afin d’y stocker des données sensibles et d’y faire fonctionner des services nécessitant un haut degré de protection. Le tout mis en place en collaboration publique-privée mais surtout sous la seule juridiction suisse.

Il est important aussi que la Suisse se dote d’une réelle capacité intégrée de cyberdéfense. Ce qui se met en place au niveau de la confédération est une première étape mais ne protégera pas notre économie ni les particuliers. Il faut pour ceci accélérer la mise en place d’un écosystème industriel de cyberdéfense. Ce réseau local d’entreprises spécialisées permettra de mieux détecter les attaques et surtout d’y répondre avec une réelle capacité d’intervention.

Dans le monde physique, le rôle et l’efficacité de l’armée, de la police et des entreprises de sécurité privées ont été démontrés. Il manque aujourd’hui ce même type de réseau dans le monde virtuel. Il est temps de passer à la vitesse supérieure afin d’assurer la survie numérique de nos infrastructures.