Voici les dV-News 12-2023 et leur sélection d’articles et liens.
La Suisse assiégée – Place enfin au réveil et au réalisme
Il y a quelque chose que nous détestons faire chez digiVolution, c’est de dire: «nous avions prévenu» ! Dans le cadre de l’attaque contre la société XPLAIN, nous écrivions il y a 15 jours, en réaction aux affirmations qu’aucune donnée opérationnelle n’avait été exposée, «on mesurera l’ampleur réelle plus tard». Et quelle surprise… de telles données se retrouvent dans la nature ! Il incombe maintenant au NCSC de défaire l’imbroglio, de réparer et de faire oublier la communication précipitée et peu professionnelle de certains offices.
Dans la même veine, la firme Bobst annonçait en avril avoir subit une cyberattaque, tout en restant optimiste. «Nos défenses ont été très efficaces» et «à notre connaissance, nous n’avons subi aucune fuite de données». Pourtant le 9 juin, plusieurs médias rapportaient que des données sensibles ont bel et bien été dérobées et sont désormais disponibles dans le dark web. Espérons que la commune de Bex aura eu plus de chance…!
Cette semaine, très vraisemblablement en lien avec le conflit russo-ukrainien et l’intervention du Président Zelensky au Parlement, plusieurs attaques DDoS, des «dénis de service distribués» pour les non-initiés, ont rendu temporairement indisponibles divers services, notamment dans les villes de Lausanne, Zürich, St-Gall, Fribourg et Bâle-Ville, ainsi que l’aéroport de Genève. Même la vénérable Association Suisse des Banquiers a été victime de la vague qui a déferlé sur la Suisse. Les conséquences sont apparemment limitées au dégât d’image et à la confiance dans nos institutions à assurer leur cybersécurité. Aurons-nous toujours autant de chance?
Une situation frustrante, car au moins une solution aurait drastiquement réduit l’impact de ces attaques. Il s’agit de SCION et du Anapaya GATE, une solution suisse née à l’EPFZ, disponible depuis le début de l’année et qui protège notamment contre les DDoS en rendant les services invisibles pour les cybercriminels. Oui, la Suisse est le premier pays à disposer – pour autant qu’elle en fasse bon usage – d’une infrastructure Internet nationale capable d’augmenter massivement sa sécurité.
Si on considère le verre à moitié vide, oui les nombreux incidents du mois de juin font mal. Il est rageant de constater, après tout ce qui a été dit sur les cybermenaces, que des entités publiques et des entreprises importantes se fassent à ce point malmener et montrent même qu’elles ne savent pas où se trouvent leurs données et comment elles sont gérées… Et cela à 2 mois et demi de l’entrée en vigueur de la nouvelle loi?
Si on regarde au contraire le verre à moitié plein, les dégâts ont été heureusement limités et on ne peut qu’espérer qu’ils fassent office de last wake up call pour les dirigeants suisses. Malgré les critiques récurrentes et faciles, l’administration fédérale fait le boulot et s’améliore graduellement sous les impulsions d’un NCSC courageux, mais dont les moyens sont encore bien trop faibles. Cela devrait aller beaucoup plus vite, mais qui connaît la complexité des services de la Confédération et ses nombreux éléments hérités (les legacy ) sait aussi le temps nécessaire pour opérer des changements de fond.
Alors oui il y aura toujours et encore des incidents et notre slogan chez digiVolution est «Être cyberattaqué n’est pas honteux. C’est de ne pas s’y être préparé qui l’est !».
Nos recommandations sont simples. Il faut:
- enfin mettre en place PARTOUT les mesures connues et disponibles,
- PUNIR ceux qui ne mettent pas en place ces mesures dans des délais raisonnables (pour rappel, la négligence constitue un délit pénal),
- FORMER les décideurs et leurs états-majors à la gestion de crise et cesser de communiquer des informations qui s’avéreront fausses une fois les informations réelles disponibles. Il faut avoir le courage de dire «je ne sais pas encore».
À l’issue de ces deux semaines maudites, la Suisse se sent un peu comme le pont George Washington à New York dans la fumée des incendies qui ravagent le Canada. Ce serait bien d’agir avant que ce soit plus grave. Non?
Pour ceux qui ne savent pas par où commencer, digiVolution disposent de compétences stratégiques de premier plan pour les accompagner.
Avenir de la sécurité de la société numérique
Nous l’avons déjà écrit dans de précédents billets, si les prévisions sur la cybercriminalité se réalisent, en 2025 déjà les dégâts à l’échelle mondiale atteindront près de 10’500 milliards $, soit 10% du produit mondial brut. Ramené à la Suisse, c’est comme si celle-ci jetait par la fenêtre 16 fois le budget de son armée et tout indique que la descente aux enfers n’est pas terminée. Tout simplement insupportable! Les USA semblent les seuls à avoir identifié et à vouloir briser cette spirale infernale dont on connaît l’issue fatale depuis 50 ans. Même si les USA parviennent à leurs fins (en gros, il s’agit de tordre les pouces à toute une industrie de l’IT qui sort d’un demi-siècle de libertarisme), quand, ou et quel effet se fera-t-il sentir? Chez digiVolution nous réfléchissons à des solutions sociétales innovantes qui répondront à cette urgence et aux nombreux défis de la mutation numérique, notamment celle de l’évolution démographique dont les conséquences sont encore largement inconnues.
Pour cela NOUS AVONS BESOIN D’AIDE MATÉRIELLE. Contactez-nous svp.
Petit cyber-digest
Les sujets qui ont retenu notre attention durant les deux semaines écoulées.
- Duplicité – Peut-on encore croire les patrons des géants de la tech? La planète s’est émue parce que des industriels de renom se sont soudainement vu pousser des ailes d’éthique. Apparemment dépassés par leurs inventions ils ont appelé à une pause dans le développement de l’IA, alors que dans les coulisses certains poursuivaient de plus belle la fuite en avant. Un autre a témoigné devant le Congrès américain sur le danger absolu que représente l’A et la nécessité de la réglementer. Mais 4 mois auparavant, il prétendait l’exact contraire dans un interview qui a miraculeusement disparu de la Toile. Heureusement, The Internet Archive l’a retrouvé.
- Inauguration du centre d’innovation UNLIMITRUST – Le 6 juin dernier, la Suisse s’est enrichie d’un campus de premier plan grâce à SICPA, leader mondial des encres de sécurité pour billets de banque et acteur majeur des solutions d’authentification, d’identification et de traçabilité sécurisées. Unlimitrust est le premier hub dédié à l’émergence de l’économie de la confiance, un domaine essentiel qui comme la résilience et la souveraineté ne cesse pourtant de se dégrader. En tout cas, il y a de quoi faire pour remonter la pente et avec Unlimitrust, SICPA offre à la Suisse un outil de très haute valeur. Merci.
- Association FUTURS – Le 13 juin, grâce à une brochette de passionnés menés par le Dr. Quentin Ladetto, responsable de la prospective chez armasuisse, est née cette association qui vise à promouvoir et développer la prospective, l’exploration d’idées émergentes et le rapport positif à l’incertitude. Une très belle soirée inaugurale, où tout le monde s’est pris aux jeux des questions qui avaient été préparées et la démonstration que l’associationfuturs relève d’un vrai besoin. Peut-être réussirons-nous (digiVolution en est déjà membre) à faire mentir la citation de Pierre Dac : «La prévision est difficile surtout lorsqu’elle concerne l’avenir!».
- Vie privée – Il y a 15 jours, nous nous inquiétions du projet de loi européenne présenté par le gouvernement espagnol qui exigerait des entreprises technologiques qu’elles analysent leurs plateformes à la recherche de contenu illégal et pour cela affaiblissent la cryptographie. La Suisse meilleur élève? Pas avec le canton de Thurgovie qui voulait introduire une disposition légale qui aurait permis à la police d’accéder, sans mandat, au téléphone portable de toute personne. Et comment seront gérées les données issues de la numérisation de la vignette autoroutière? Espérons que l’enquête sur l’utilisation par les grands acteurs économiques suisses des données de leurs clients permettra de faire un bout de chemin dans la bonne direction.
BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches des dernières deux semaines.
En bref
▶︎ La CIA savait, grâce à la Hollande, que les Ukrainiens envisageaient de saboter les gazoducs Nordstream. L’ont-ils fait? Réponse de Dmitry Medvedev, ancien président de la Russie et vice-président du conseil de sécurité du Kremlin: « Si nous partons de la complicité avérée des pays occidentaux dans la destruction des [gazoducs] Nordstream, nous n’avons plus aucune restriction, même morale, pour nous abstenir de détruire les câbles de communication de nos ennemis, posés au fond des océans». Encore un thème que nous avons traité dès les premiers jours de guerre ; la Suisse a-t-elle fait des planifications prévisionnelles si cela devait arriver?
▶︎ Aux USA une violation majeure de la sphère privée a été constatée et rapportée par l’ODNI, l’Office de la directrice nationale du renseignement, Mme Avril Haines. Certes sur le fond un résultat peu surprenant, mais c’est son ampleur qui interpelle. La raison de tout cela? Les agences ne peuvent pas espionner les citoyens, alors… elles achètent les données au secteur privé.
Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.