Voici les dV-News 12-2023 et leur sélection d’articles et liens.
Point de bascule, tournant, seuil critique, moment charnière, point de rupture…
À la suite de la vague de cyberattaques récemment subies par la Suisse (et ce n’est certainement pas terminé), des menaces proférées par M. Medvedev de s’attaquer aux câbles sous-marins en représailles aux sabotages de Nord Stream, des nombreuses pénuries qui menacent la chaîne d’approvisionnement, à commencer par l’énergie électrique pour l’hiver prochain, de la facture toujours plus insupportable de la cybercriminalité, l’image globale de l’espace numérique est pour le moins inquiétante.
Nombreuses sont les situations qui pourraient devenir critiques et, en se combinant entre elles, simplement dégénérer. Si l’on considère l’amoncellement de nuages numériques noirs pesant sur la société, il est difficile de déborder d’optimisme. Pourtant la plupart des individus et des organisations se comportent encore comme s’ils ne voyaient pas cette situation. Étrange quand on sait le coût moyen d’un cyberincident et leurs conséquences visibles et invisibles. D’ailleurs quel sera le coût total réel de la cyberattaque contre Xplain?
Ce cas permet une fois encore de mettre en évidence une réalité incontournable en cybersécurité: l’anticipation est reine, mais sans cartographie précise du présent et du passé avec leurs vulnérabilités et héritages, aucune analyse de risques ni stratégie crédible et durable ne peut être élaborée. Non seulement l’échec est programmé, mais en cas d’incident un cauchemar attend aussi les responsables qui ne savent pas où commencer. Et c’est du vécu, croyez-nous !
Bien entendu que l’écosystème numérique suisse dispose de nombreux atouts, mais il nous paraît toujours plus impératif et urgent de répondre au risque de tipping point pouvant naître de la conjonction de tous ces défis. Quelles réponses la société, et notre pays en particulier, veut-elle apporter à cette situation? Dans ce billet nous n’en avons mentionné que quelques-uns, mais la liste est longue et l’attentisme actuel, ce manque de volonté collective de vraiment les prendre à bras le corps, nous paraît particulièrement irresponsable. Nous sommes assis sur une bombe à retardement dont nous avons par ailleurs une connaissance très imparfaite, une sorte de «faille de San Andreas numérique», mais nous continuons à faire comme si cela n’avait pas d’importance. En fait il manque une réflexion de fond sur la société numérisée. Voulons-nous corriger cela avant d’atteindre le point de rupture? Actuellement ce que faisons s’appelle une fuite numérique en avant.
Petit cyber-digest
Les sujets qui ont retenu notre attention durant les deux semaines écoulées.
- XPLAIN – De nombreux détails sur la cyberattaque qui a affecté cette firme d’Interlaken sont désormais connus. Et plus on creuse, pire semble être la situation avec désormais des données sensibles sur des affaires judiciaires et sur des personnes, dont nos conseillers fédéraux. Ce n’est pas reluisant et nécessite désormais un état-major de crise politico-stratégique « fuite de données ». Espérons que cette débâcle sera pour la Suisse le même électrochoc que celui vécu en 2007 par l’Estonie devenue depuis premier de classe cyber. Et soyons clairs, cette fois un petit peu de cybercosmétique ne suffira pas. C’est un chantier national qu’il faut entreprendre à tous les étages. Fini de se croire encore épargné et de ricaner quand d’autres se font avoir? La Suisse doit passer au minimum la vitesse supérieure.
- Droits fondamentaux – Le 19 juin dernier, le canton de Genève a approuvé à 94% l’inscription dans sa constitution d’un droit à l’intégrité numérique. Un pas historique qui, on l’espère, trouvera rapidement son pendant dans la Constitution fédérale.
- Dossier électronique du patient (DEP) – Sur le principe, il est bien entendu louable que le Conseil fédéral mette la pression. Il reste toutefois de nombreuses questions sans réponse dans ce secteur «atomisé» en une multitude d’intervenants et 26 cantons. Les cas récemment portés à l’attention du public montrent que la cybersécurité dans ce secteur est faible alors qu’il est une cible privilégiée de criminels que la souffrance de leurs victimes laisse insensible. Exiger les meilleurs standards et les fixer dans la loi est bien évidemment impératif (what else?), mais cela ne constitue aucunement une garantie. Et quid de la synchronisation avec l’identité électronique? Qui aura (dans le détail et pas simplement « les professionnels de santé » et «pour les besoins de la recherche») et comment accès à ces données? Et seront-elles centralisées? Car en cas de grosse attaque, le secteur entier de la santé risque la panne systémique…
BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches des dernières deux semaines.
En bref
▶︎ La Chine est confirmée comme principale source des attaques Advanced Persistant Threats APT. Lors du premier trimestre 2023, elle aurait été responsable de 79% des attaques d’origine étatique. Le rapport de juin du Trellix Advanced Research met notamment en évidence une augmentation des attaques contre les secteurs de la finance, des télécommunications et de l’énergie.
▶︎ Le U.S. Government Accountability Office GAO constate quant à lui que la numérisation est présente dans tous les processus et opérations de fabrication et de contrôle industriel des armements nucléaires, mais que la National Nuclear Security Administration NNSA et ses sous-traitants n’en sont qu’aux premiers stades des efforts nécessaires, même après plusieurs années. Intéressante perspective pour un pays traditionnellement attaqué de toutes parts et détenteur de 5’500 armes nucléaires…
Après les attaques contre Colonial Pipeline et SolarWinds, voici de quoi relativiser (un petit peu) certaines attaques virulentes contre la cybersécurité en Suisse!
Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.
