Pascal Lamia, par ces temps de crise, des criminels cherchent à exploiter les craintes et les angoisses de la population. Quelles activités avez-vous pu observer pendant le confinement ?
Les cybercriminels exploitent fréquemment l’actualité. Ils utilisent les craintes et les angoisses de la population pour servir leurs propres fins. Le Centre national pour la cybersécurité (NCSC) observe ainsi régulièrement une recrudescence des cyberattaques lors d’événements tels que les catastrophes météorologiques ou les tremblements de terre. On voit alors fleurir les courriels trompeurs dans lesquels les attaquants font référence à l’événement et invitent les destinataires à faire un don. La crise du coronavirus n’a pas fait exception. Des centaines de noms de domaine se terminant par .ch ont été créés à des fins probablement frauduleuses. Le NCSC a mis sur pied un monitorage afin d’identifier ces sites et dès que l’un d’eux se révèle frauduleux ou malveillant, le NCSC le fait bloquer en collaboration avec les partenaires compétents (fournisseurs d’accès Internet, Switch, etc.). Le NCSC reste en étroit contact avec ces partenaires et poursuit encore le monitorage, ce qui lui permet de réagir très rapidement en cas de besoin.
Ces dernières semaines, la Suisse a connu une véritable poussée de numérisation. Les infrastructures ont parfois dû être amplifiées au pas de charge et l’architecture de sécurité a été quelque peu négligée. Quels systèmes devront être mis à niveau ?
Lorsqu’une crise nécessite une montée en puissance rapide des infrastructures, les règles du Business Continuity Management exigent une pondération entre la continuité des opérations et la garantie de la sécurité. Mais dans tous les cas, il faut démanteler l’infrastructure de crise le plus rapidement possible, au plus tard à la fin de la crise, afin de restaurer la sécurité des systèmes. La nécessité d’une remise à niveau des systèmes dépend fortement de l’infrastructure existante et du secteur d’activité de l’entreprise. Pour un cabinet dentaire, il faut mettre l’accent sur les systèmes qui contiennent des données sur les patients, afin de les protéger si possible avant que des tiers non autorisés y accèdent. Mais pour une boutique en ligne, il s’agirait de garantir la disponibilité du magasin en ligne, car c’est là que l’entreprise génère son chiffre d’affaires. Les entreprises n’ont cependant pas découvert leur responsabilité en matière de sécurité des données et des informations avec la crise du coronavirus. Cette responsabilité existait avant et elle continuera d’exister après. La cybersécurité doit être traitée au niveau de la direction. Si ce n’est pas le cas, la protection n’est généralement pas suffisante.
Est-ce que l’augmentation du nombre de télétravailleurs représente un risque sécuritaire particulier pour les entreprises ? Dans les cabinets dentaires, quelles sont les interfaces non sécurisées ou insuffisamment sécurisées ?
Le NCSC ne distingue pas de risques de sécurité différents en cas de télétravail ou de travail au cabinet. Le personnel doit être conscient de ses responsabilités lors du traitement de données sensibles. Les cabinets dentaires devraient donc donner des directives précises à leur personnel sur la manière de traiter correctement les données et les informations et en particulier lors du remplacement du matériel informatique, qu’il soit défectueux ou obsolète. Qu’advient-il par exemple des données enregistrées sur le disque dur ? Cette question ainsi que d’autres doivent être définies au préalable. Une attention particulière doit naturellement être portée aux accès à distance. Si le médecin ou le personnel peuvent par exemple accéder à l’infrastructure et aux données du cabinet depuis leur domicile, ces accès nécessitent une protection spéciale. La connexion doit être cryptée et sécurisée par un système d’identification à deux facteurs, soit une ID d’utilisateur et un mot de passe ainsi qu’un facteur supplémentaire comme un SMS.
De nombreux appareils que l’on trouve dans les cabinets dentaires sont connectés à Internet. Les fabricants sont-ils obligés de garantir la sécurité de leurs produits ou cette tâche incombe-t-elle au propriétaire du cabinet ?
Pendant longtemps, les fabricants n’étaient pas – assez – conscients du danger. De ce fait, les nouveaux appareils étaient bons et avantageux, mais leur sécurité laissait à désirer. Entre-temps, il y a eu une prise de conscience et les fabricants cherchent aujourd’hui à intégrer une sécurité aussi bonne que possible à leurs appareils dès le début de la conception. Néanmoins, la sécurité informatique relève de la responsabilité des propriétaires de cabinet.
En avril 2020, la Global Cyber Alliance (GCA) a lancé, conjointement avec ICTswitzerland et l’Académie suisse des sciences techniques (SATW), la version suisse du GCA Cybersecurity Toolkit pour les PME, qui propose des outils gratuits et efficaces, y compris des instructions, pour une utilisation sécurisée d’Internet. Que pensez-vous de cette « boîte à outils » ?
Le NCSC était dans l’équipe de projet, qu’elle a fait bénéficier de ses compétences lors de la conception du produit. Cela a par exemple permis de perfectionner le test de sécurité pour les PME afin de le rendre encore plus attrayant pour les petites entreprises (https://ictswitzerland.ch/fr/sujets/cybersecurite/test-rapide-de-cybersecurite-pour-pme/). Ce test rapide permet aux entreprises de dresser un état des lieux et leur indique si elles ont mis en place les principales mesures techniques, organisationnelles et humaines visant à garantir au moins une protection de base sur le plan de la cybersécurité. Il ne s’agit pas de proposer une analyse complète, mais cela permet au moins aux cabinets dentaires, qui n’ont probablement pas de connaissances approfondies en matière de sécurité informatique, de faire un point de la situation facilement et rapidement.
Quelles nouveautés apporte le test rapide de cybersécurité pour les PME par rapport à la version précédente ?
Comme je l’ai dit, le test rapide a été simplifié et rendu plus attrayant. Les questions ont été reformulées et raccourcies, de sorte que les médecins ne doivent pas investir plus de quelques minutes pour se faire une première image de la cybersécurité au sein de leur cabinet. Le résultat du test rapide devrait servir de base de discussion pour un entretien avec le responsable de l’informatique ou l’entreprise chargée de l’informatique du cabinet. C’est un premier pas vers une approche commune et un traitement plus sûr des informations et des données.
La SSO et la FMH ont mis au point des exigences minimales pour la sécurité informatique des cabinets. Qu’en pensez-vous ?
Je salue cette initiative et encourage la SSO à poursuivre sur cette voie. Ce guide devra être réexaminé régulièrement et mis à jour si nécessaire. Les pirates informatiques ne dorment jamais et nous devons donc constamment nous adapter à la situation actuelle afin de pouvoir réagir rapidement.