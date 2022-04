Une cyberattaque a été mené contre deux cabinets médicaux situés dans les Montagnes neuchâteloises cette semaine. Image: Shutterstock

Pourquoi la Suisse ne fait-elle (presque) rien pour sa cybersécurité?

Les cyberattaques sont légion en Suisse. Ce jeudi, elles ont atteint un nouveau seuil: des données médicales de plus de 40 000 Romands ont été publiées. Qu'est-ce qu'attend la Suisse pour agir, à commencer par les politiques?

Plus de 40 000 dossiers médicaux en libre accès sur le darknet ce 29 mars: c'est le résultat d'une cyberattaque mené contre deux cabinets médicaux situés dans les Montagnes neuchâteloises, a révélé le quotidien Le Temps ce jeudi. Les hackers ont mis leur menace à exécution. Les dossiers concernés contiennent les noms et prénoms des patients, leur date de naissance, leur profession ainsi que leurs coordonnées. Mais aussi des informations sur les examens médicaux effectués, les maladies, etc. On apprend entre autres qu'un tel est atteint du virus du sida, ou qu'un autre est toxicomane.

Après avoir été retirées, les données pourraient à nouveau être publiées: Piratage: les données médicales de milliers de Romands menacées ce jeudi

«Jamais des données suisses d’une telle sensibilité n’avaient été publiées sur le darknet», affirme le journal romand. A la fin de son éditorial appelant à une prise de consciences à tous les niveaux, le journaliste Anouch Seydtaghia prend acte que malheureusement, «la chronique sans fin de ces agressions ne suffit pas». Et pour cause: il y a eu les cas de la commune de Rolle (révélé par watson), d'Emil Frey, de l'Université de Neuchâtel... Mais alors, que manque-t-il, si ces faits ne suffisent pas? Et que fait la politique?

«Ce genre d'attaques, ça peut ruiner des existences»

«Ce qui s’est passé dans le canton de Neuchâtel devrait réveiller beaucoup de monde», estime le conseiller national des Verts Gerhard Andrey. «Nous parlons en l’occurrence de données très sensibles. Si un site révèle qu’une telle personne a des problèmes de drogue, ce sera grave pour elle. Ce genre d’attaques, ça peut ruiner des existences.» L'élu fribourgeois, par ailleurs cofondateur de l'agence digitale Liip, est d'avis que cet incident majeur est l'occasion ou jamais de renforcer la sensibilisation à ces enjeux.

Guillaume Saouli, ancien coprésident du parti Pirate et actuel président d'une entreprise de cybersécurité, rejoint le politicien: «La violation du secret médical est quelque chose de très grave. C’est une atteinte fondamentale à l’intégrité de la personne. C’est dire si c’est important.» Mais il se montre moins optimiste sur la prise de conscience: «Hélas, je pense qu’il faudra qu’une majorité de personnes se heurte à des problèmes majeurs pour qu’elles se rendent compte.»

«L'Etat doit prendre ses responsabilités»

Pour Guillaume Saouli, la Confédération a un rôle central à jouer dans la cybersécurité de la Suisse et la sensibilisation de la population à ce sujet. Rôle qu'elle n'endosse pas, ou pas assez. Le refus de la votation sur l'e-ID par le peuple en mars 2021 illustre selon lui le fait que le Conseil fédéral n'a pas, aux yeux de la population, de projet crédible en matière numérique. L'expert se dit choqué que le gouvernement ait voulu laisser la gestion de l'identité numérique à des entreprises:

«L’Etat a des tâches régaliennes. La gestion de l'identité numérique des citoyens en fait partie» Guillaume Saouli, ancien coprésident du parti Pirate

Selon l'ancien président de parti, les politiciens ont de la peine à se saisir de ce thème par peur de faire face aux responsabilités. Ils préfèrent donc la confier à l'externe. «Avec les instruments de cybersécurité, on a affaire à des systèmes dont l’obsolescence arrive très rapidement, parce qu’il y a foison de nouvelles solutions qui sont créées», explique le spécialiste. Ainsi, quelqu’un qui prend une décision en 2022 pourra se faire critiquer en 2026 parce que sa solution ne fonctionne plus, alors même qu'elle était la meilleure à ce moment-là.

Ça bouge à Berne

Mais cela ne veut pas dire que rien ne se fait à Berne. Le Centre national pour la cybersécurité (NCSC), fondé en 2020 et disposant d'un budget annuel de 11 millions de francs, emploie 39 collaborateurs ayant pour mission de mettre en œuvre la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) pour les années 2018 à 2022. De plus, le Conseil fédéral a décidé de mettre sur pied en 2024 une compagnie cyber dans l'armée.

Le conseiller national Gerhard Andrey, justement, a initié plusieurs démarches récentes à Berne. Il a été à l'origine de la naissance d'un groupe inter-parlementaire sur la cybersécurité, composé d'un représentant de chaque groupe politique du Parlement. Objectif? Faire naître des échanges entre la politique d’un côté, et, de l’autre, la science, la société civile et l’économie. Et combler des lacunes au niveau des connaissances des élus sur le sujet? L'écologiste ne dément pas.

Mais cette absence de conscience contamine aussi la société. Et notamment les entreprises, qui se croient trop souvent à l'abri, en particulier les PME. Ce qui explique les nombreuses attaques en Suisse ces derniers mois, dont rien n'indique qu'elles s'arrêteront, la cyber-guerre étant continue. «Les hackers profitent du fait que beaucoup d’entreprises et de particuliers ne font pas certains gestes simples qu’ils devraient pourtant faire», commente le Fribourgeois.

Par exemple: «Mettre à jour ses systèmes et installer des identifications à deux facteurs doivent devenir des réflexes au même titre que se laver les dents»

Vers un Office fédéral de la cybersécurité civile?

Pour que la Confédération puisse mener de grandes campagnes de sensibilisation, sur le modèle de ce qui se fait dans le domaine de la santé, Gerhard Andrey a également fait une interpellation pour la création d'un Office fédéral pour la cyber-sécurité civile. «Il s’agirait d’étendre l’actuel Centre national de cybersécurité en office.» Le Conseil fédéral s'est montré ouvert à cette idée. Qu'en est-il de ses collègues du parlement? Des blocages en vue?

Non, selon Gerhard Andrey: «La thématique est beaucoup moins politique que l’AVS ou l’agriculture. Je pense que nous pourrons arriver à des consensus assez facilement»

Une loi qui demande aux infrastructures critiques de signaler obligatoirement les cyberattaques qu’elles subissent est d'ailleurs en consultation jusqu’au 14 avril 2022. Gerhard Andrey est d'avis qu'un cabinet dans les Montagnes neuchâteloises peut déjà être considéré comme critique. «Il faut se rendre compte qu’avec l'interconnexion de toutes sortes de systèmes, l’attaque d’un appareil très petit, du moment qu'il est connecté, peut avoir de grandes conséquences. Il est donc indispensable d’augmenter la sécurité partout, y compris dans les domaines moins visibles.»

Le caractère immatériel du numérique est peut-être le point crucial pour expliquer l'absence de sensibilité de la société suisse à leur protection cyber. Il en va pourtant de la propriété de notre personne. Et «une fois que la boîte de Pandore est ouverte, c’est terminé, la personne ne contrôle plus rien», comme le résume Guillaume Saouli, qui aime à rappeler qu’une simple fuite de données peut valoir des millions de dollars sur le darknet.

Outre la volonté politique et les moyens financiers, un partage d'informations et de compétences se fait de plus en plus urgent. Tant avec les experts et les hackers «bienveillants» qu'avec les victimes de cyberattaques.