«Le problème, en Suisse, c’est notre laxisme»
Tuesday, September 21, 2021
Réagissant aux récents piratages informatique, Stéphane Koch, expert en sécurité en ligne, juge «dramatique» que des données personnelles se retrouvent sur le darkweb. Il plaide pour une assurance obligatoire en la matière.
«Les données personnelles qui se retrouvent sur le darknet constituent peut-être l’élément le plus grave des récentes cyberattaques.» Ce jugement est émis par Stéphane Koch, spécialiste de la cybersécurité, consultant et vice-président de la société ImmuniWeb, appelé à s’exprimer sur le sujet après, notamment, le piratage de l’EMS genevois des Châtaigniers. Le spécialiste, contrairement aux responsables de certaines entités hackées, ne minimise absolument pas la portée des éléments mis en ligne par les pirates.
Pour quelle raison est-il si grave que des données personnelles soit divulguées sur le darkweb?
Si l’on prend le cas de la commune de Rolle, les données des citoyens se retrouvent en ligne. Le problème, c’est que contrairement au web traditionnel, il est impossible de garantir qu’elles seront un jour effacées. Or, elles sont extrêmement sensibles: elles contiennent toutes les informations nécessaires pour mener des tentatives de phishing (ou hameçonnage, en français), soit la possibilité d’escroquer quelqu’un en usurpant une identité. Qu’elles finissent sur le darkweb est donc dramatique.
La capacité des entités hackées à restaurer leurs données ne résout donc pas le problème?
Les cybercriminels ont compris que les entreprises ont mis en place des processus de continuité des données, qui leur permettent de les récupérer. Donc, aujourd’hui, ils s’attaquent à leur réputation. La recommandation, au niveau suisse, est de ne pas payer. Moi je dirais: ça dépend. Quand il s’agit de données des citoyens, il me semble que la décision ne concerne pas que les communes ou entreprises attaquées.
Quelle devrait être la réponse des autorités face à ce nouveau phénomène?
La Suisse ne devrait-elle pas se doter d’un système d’assurance obligatoire, dès lors que la responsabilité des citoyens qui se font voler n’est nullement engagée? L’assurance maladie est bien obligatoire. Il faut faire correspondre le monde numérique au monde physique. En cas d’attaque suivie d’une divulgation de données, un accompagnement des risques sur le long terme est nécessaire. Il s’agit de limiter les dégâts en apportant assistance aux personnes. Il faut cartographier, répertorier toutes les données volées, savoir qui est concerné, prévenir les établissements bancaires auxquels ces personnes sont affiliées, etc. L’entité piratée doit analyser toutes ses données, informer les citoyens, usagers ou clients en toute transparence, afin qu’ils soient conscients des risques.
Mais c’est une tâche titanesque! Une PME ou une commune a-t-elle les moyens de s’y atteler?
C’est titanesque? Mais c’est égal! C’est la responsabilité de l’entité piratée, ce ne sont pas les usagers qui ont commis une erreur. Je reviens à l’idée de l’assurance. Les entreprises s’assurent bien contre les cambriolages ou les sinistres. Pourquoi pas contre les piratages? Ce n’est pas le montant des heures à investir qui doit décider une entreprise à entreprendre ce travail.
Les autorités ont-elles un rôle à jouer, un soutien à apporter?
Le problème, en Suisse, c’est notre laxisme. Si nous l’étions moins, peut-être certaines entreprises auraient-elles dû payer, mais peut-être également affronterions-nous moins d’attaques. Il y a vraiment une question de responsabilité, et les autorités doivent réfléchir à la possibilité de mener des audits de sécurité, comme il s’en mène pour la comptabilité. On veut nous vendre le e-voting ou l’ID électronique, mais l’Etat n’est pas à la hauteur de ce dont il fait la promotion.
Toujours est-il que les PME sont démunies…
Les PME sont démunies car elles n’ont pas l’obligation d’être munies. En Suisse, on essaie de les contraindre le moins possible à faire des démarches administratives, car on juge que cela bride l’économie. Mais les piratages aussi ont un coût économique. Les entreprises n’ont pas compris que dans ce cas, la contrainte administrative est profitable économiquement sur le long terme.
Est-il possible qu’un individu, sans le savoir, ait été la porte d’entrée de plusieurs des récents piratages?
Oui, c’est plausible, mais seule une enquête de police peut le déterminer. Un individu peut être, à son insu, la porte d’entrée de différents piratages, car pour installer des ransomwares, le facteur le plus facile à attaquer, c’est le facteur humain. On peut avoir une personne qui a travaillé dans différents établissements et qui à servi de passerelle aux pirates. C’est symptomatique du problème auquel on est confronté. Protéger les gens ne suffit pas, il faut aussi les éduquer: avoir une super voiture et une très bonne assurance ne sert à rien si l’on ne sait pas conduire. La connaissance permet de limiter le risque. Si on ne comprend pas l’impact de ses données personnelles, on perd des capacités de choix. Et ce d’autant plus si le télétravail se généralise, car cela augmente le risque. Read Full Article
ITWeb: Important privacy change coming to Android devices
Information Security Buzz: Former US Intel Operatives Fined $1.6M For Hacking For A Foreign Govt