LES DANGERS DES CYBERATTAQUES

En 1989, lors de la création du World Wide Web, personne n’aurait pu imaginer que la mise en réseau de toute sortes d’ordinateurs à l’échelle mondiale deviendrait un risque majeur pour la société.

Le nombre d’appareils connectés ne cesse d’augmenter chaque jour. Des milliards d’appareils supplémentaires viendront s’y ajouter au cours des prochaines années et rien ne laisse présager la fin de ce phénomène. Les instituts chargés d’établir des prévisions ne cessent de rivaliser en multipliant les projections.

Certaines enquêtes représentatives estiment que les principales tendances concernent essentiellement le métavers, l’IA (intelligence artificielle), la conteneurisation, l’IoT (Internet of Things) pour le système de santé ainsi que la cybersécurité et la sécurité IOT. L’année à venir nous dira si ces tendances se confirment. Néanmoins, une chose est sûre: la sécurité de l’information jouera un rôle essentiel au niveau de chacune de ces tendances.

Quel est le niveau de menace actuel?
Il existe de nombreuses sources d’information concernant le niveau de menace. Le Centre national pour la cybersécurité (NCSC) en est une. Il publie chaque année un rapport semestriel sur la situation en Suisse et à l’étranger.

Le rapport semestriel 2022 est accessible à tous et concerne le premier semestre de l’année. Il traite essentiellement de sujets liées au conflit armé en Ukraine et recense les signalements émanant de la population.
Selon le NCSC, les escroqueries ont fait l’objet de nombreux signalements. Cette situation s’explique notamment par le développement de la «pseudo-extorsion» et de l’usurpation d’identité (spoofing).

Dans le cas d’une «pseudo-extorsion», les maîtres-chanteurs menacent de publier des images compromettantes. Ce type de chantage survient de manière inopinée, alors que la victime et le maître-chanteur ne se connaissent pas.
L’usurpation d’identité (spoofing) est une technique d’attaque qui permet à une personne d’usurper l’identité d’un contact ou d’une entreprise digne de confiance afin d’obtenir des données à caractère personnel sensibles. L’usurpation d’identité consiste à usurper l’identité de personnes connues, à copier le design de marques célèbres ou les adresses de sites web de confiance afin d’en tirer profit. Si le nombre de signalements est en constante augmentation, le nombre de cas non recensés est largement plus élevé. Vous trouverez ci-dessous les statistiques avec les chiffres clés des signalements effectués selon le NCSC au cours du premier semestre 2022.

Source: Centre national pour la cybersécurité NCSC, rapport semestriel 2022/I (janvier – juin)

Comment se positionne CISTEC dans ce contexte?
CISTEC développe et exploite le système d’information clinique KISIM. Depuis 20 ans, l’entreprise est leader dans le domaine sur le marché en Suisse alémanique. Avec près de 150 collaboratrices et collaborateurs, CISTEC contribue de manière significative à la numérisation du système de santé suisse. Autrement dit, CISTEC joue un rôle majeur au sein de la chaîne logistique. La société CISTEC est consciente de cette responsabilité et se montre extrêmement exigeante, que ce soit envers elle-même ou envers ses clients, ses patients, ses fournisseurs et ses partenaires. Vous trouverez ci-dessous un extrait concernant la politique de sécurité de CISTEC qui illustre parfaitement cette exigence:

…La politique de sécurité de l’information a pour objectif de sécuriser la chaîne de création de valeur en tenant compte des exigences réglementaires et opérationnelles. Nous estimons que disposer d’une «information» de bonne qualité au moment opportun et au bon endroit est un facteur de réussite majeur pour CISTEC, mais aussi pour nos clients et leurs patients, sans oublier nos fournisseurs et nos partenaires, sans lesquels l’activité de notre entreprise serait considérablement perturbée. Les ressources informatiques sensibles comme les données/informations, les applications, les systèmes et les réseaux doivent par conséquent faire l’objet d’une protection durable et appropriée contre les cas de force majeure, les défaillances techniques, les attaques intentionnelles et la négligence des individus…

Quelles sont les mesures concrètes prises par CISTEC pour faire face à cette menace grandissante?
L’un des principaux piliers de la lutte contre les menaces repose sur l’engagement de CISTEC en faveur de la qualité, avec un système de management de la qualité conforme à la norme EN ISO 13485:2016 qui concerne le développement, la distribution, l’installation et à la maintenance des systèmes d’information clinique.

Afin d’agir concrètement dans le domaine de la sécurité de l’information, CISTEC a décidé de recruter sans attendre un CISO (Chief Information Security Officer). Jusqu’à présent, les questions de sécurité étaient traitées par une seule et unique personne. Cette situation a été jugée inappropriée en raison de la dynamique actuelle et de la quantité de sujets à traiter.

Parallèlement, les risques ont fait l’objet d’une nouvelle évaluation et le futur CISO a été chargé d’élaborer une nouvelle stratégie de sécurité. Cette stratégie prévoit notamment de réduire durablement les risques grâce à la collaboration de la direction, des TIC, du personnel, ainsi que de nos partenaires et fournisseurs. Nous serons en mesure d’atteindre cet objectif grâce à des mesures durables et adéquates, en tenant compte des normes en vigueur et des bonnes pratiques. La priorité est donnée aux objectifs de sécurité tels que la confidentialité, l’intégrité, la disponibilité et la traçabilité.

La sécurité de nos clients et celle de leurs informations constituent notre priorité numéro un. Par conséquent, CISTEC s’est fixé pour objectif de continuer à développer la cybersécurité et la sécurité de l’information et de garantir la résilience à long terme.

Par ailleurs, nous souhaitons accompagner efficacement nos clients dans cette démarche. À cet effet, nous effectuons des analyses de risques et élaborons des concepts de sécurité en matière d’architecture de sécurité, de sécurité des points d’extrémité, de gestion de l’identité, de continuité des activités, de sécurité du cloud, de conteneurisation, de surveillance et de réponse aux incidents, au cas où un événement devait néanmoins se produire.

Certaines démarches telles que la certification ISO 27001 ou 27017, 27018 sont en cours de réflexion et témoignent de notre volonté d’être non seulement leader sur le marché des systèmes d’information clinique (SIC), mais aussi de figurer parmi les meilleurs dans le domaine de la sécurité de l’information et de la cybersécurité.

Nous nous réjouissons de pouvoir accompagner efficacement nos clients à l’avenir et restons à votre disposition pour toute question.

Harald Heinstein, CISO, se tient à votre disposition pour toute question concernant le blog (Email: moc.cetsic@nietsnieh.dlarah).