Cyberrisques, confiance numérique et blockchain au cœur des discussions

Sept millions de jeux de données volées chaque jour dans le monde*. Sachant que nous produisons de plus en plus de données et que nous les partageons constamment avec des tiers, ce chiffre donne le vertige et il nous concerne tous. Et si parmi ces informations volées, il y avait des données très personnelles, telles que son profil génétique ?

Lors du 7ème Connected Event dédié au thème de la cybersécurité, les orateurs ont tous adressé la problématique de la sécurité des données étant donné l’ampleur de l’enjeu.

Malgré des cyberattaques en forte augmentation, nous ne pouvons tout simplement pas arrêter de produire des données car c’est le carburant de cette nouvelle économie numérique : nos données et celles produites par les objets connectés servent à « nourrir » les algorithmes d’intelligence artificielle qui rendent par exemple possible les véhicules autonomes, la livraison de médicaments par drones ou encore de pouvoir diagnostiquer et prévenir les maladies.

Regardons plus en détail ce dernier exemple pour saisir l’enjeu qui nous attend en matière de cybersécurité.

Pour développer une médecine personnalisée, la recherche doit pouvoir avoir accès à notre profil génétique

La médecine personnalisée consiste à proposer au patient un traitement adapté en fonction de son profil génétique. Le coût nécessaire pour effectuer le séquençage du génome humain a été considérablement réduit : on est passé de $100’000’000 en 2001 à moins de $1’000 aujourd’hui selon Genome.gov. En conséquence, on est maintenant capable de numériser les données génomiques d’une personne rapidement et à un coût raisonnable.

Pour développer les algorithmes qui vont nous permettre de diagnostiquer des maladies et les prévenir, il est nécessaire de les entrainer avec une grande quantité de ces données. Nous devons donc être en mesure de regrouper toutes ces informations sensibles et les rendre accessibles à la communauté de chercheurs. Paradoxalement, par la nature même de ces données, le risque est très important lorsqu’on les expose à des tiers. Notre séquençage ADN a les caractéristiques suivantes :

  1. Il est de manière inhérente identifiable : nous avons tous un profil génétique unique
  2. Il ne peut être changé : en opposition à un mot de passe qui peut être modifié
  3. Il contient des informations personnelles sensibles : une prédisposition à développer un cancer par exemple

Le vol de ces informations peut donc nous exposer à des discriminations génétiques. De plus, comme certaines propriétés de son profil génétique sont similaires à celle de sa famille, les conséquences d’un vol peuvent également affecter nos proches.

Pour établir une confiance numérique, la technologie Blockchain contribue à la solution

Pour convaincre les gens de mettre leur profil génétique à disposition de la recherche, il va donc falloir amener de la confiance dans le système. C’est précisément l’objectif de la technologie Blockchain. Cette dernière permet en effet de :

  1. Garantir la confidentialité : la Blockchain utilise des technologies avancées de cryptographie
  2. Assurer l’intégrité des données : la base de données distribuée d’une Blockchain rend la manipulation des informations qu’elle contient impossible
  3. Obtenir une traçabilité : toutes les transactions sont enregistrées

Pour mettre en place une telle infrastructure de partage de données médicales sensibles et développer l’écosystème, le projet « Data Protection for Personalized Health » a été lancé au travers de l’initiative stratégique des EPF, Personalized Health and related technologies. Ce projet combine l’excellence des différents laboratoires de recherches et les hôpitaux. Lancé en avril dernier pour une durée de 3 ans, ce projet permet à la Suisse d’être bien positionnée pour contribuer à la recherche de solutions.

Est-il possible de s’assurer face aux cyberrisques ?

Les machines intelligentes prennent une place de plus en plus grande dans notre quotidien. Si elles commettent des erreurs ou si elles se font manipuler au travers d’une cyberattaque, les conséquences sont très diverses. Si notre assistant vocal type Google Home nous commande la mauvaise taille d’une paire de chaussures, l’impact est très faible, nous pouvons simplement la retourner. C’est plus grave si en mode automatique, notre Tesla provoque un accident sur l’autoroute… et qu’ensuite elle appelle le service d’urgence américain plutôt que le 117.

Pour un assureur, il devient compliqué de déterminer qui est responsable. Si l’on prend le cas de notre voiture Tesla qui cause un accident : qui est responsable ? Celui qui a développé l’algorithme ou celui qui a fourni des données erronées à l’algorithme.

Beaucoup de questions restent encore sans réponse et le marché de l’assurance « cyber » n’en est qu’à ses débuts comme le montrent les chiffres donnés par Swiss Re Institute : les primes d’assurance cyber ne représentent encore qu’une fraction des primes d’assurance pour les véhicules à moteur par exemple ($184 milliards pour les véhicules à moteur contre $0.4 milliard pour les cyberrisques en Europe, Moyen-Orient et Afrique).

Comment peut-on diminuer le risque de vol de données ?

Finalement, tous les acteurs s’accordent sur le fait que dans un premier temps, pour prévenir les risques de vol de données, la sensibilisation et la formation sont essentielles. En analogie avec une maison, une entreprise peut utiliser les dernières technologies à disposition pour s’assurer que la porte d’entrée soit bien fermée, si les fenêtres sont ouvertes, cela reste très facile de se servir comme l’illustre la photo ci-dessous prise dans le train entre Lausanne et Berne : un ordinateur équipé d’un VPN (réseau privé virtuel sécurisé) laissé pendant plusieurs minutes sur le siège sans être verrouillé.

Dans cette économie numérique, le vol de données sur notre ordinateur a un impact plus grand que le vol de notre porte-monnaie dans son sac. En plus, dans un pays où l’on a plutôt tendance à être sur-assuré, il est pour le moment difficile de souscrire une bonne assurance.

  • Retrouvez les présentations du Connected Event :

  • Découvrez toutes les entités actives dans la cybersécurité sur le territoire vaudois sur le site : vaud.digital
  • Consultez l’enquête de la CVCI « Les entreprises vaudoises face aux enjeux de la cybersécurité » :

https://www.cvci.ch/fileadmin/documents/cvci.ch/pdf/Medias/publications/divers/12315_ENQUETE_CYBERSECURITE_PROD_PP.pdf

 

*Source : Gemalto Breach Level Index 2017