S’il est clair depuis longtemps que les cyberattaques causent des dommages matériels considérables – on se rappellera ceux infligés en 2017 par le virus NotPetya qui se chiffraient à plusieurs milliards de dollars -, elles sont moins associées, dans l’esprit du public, à des pertes humaines. Et pourtant, en septembre, une clinique allemande déplorait la mort d’un patient. Soumis à une vague d’attaques, le secteur hospitalier allemand se voyait contraint de retarder ou d’annuler des centaines de traitements et d’opérations en raison de la paralysie des systèmes informatiques. Mais l’Allemagne n’est pas seule visée. Aux Etats-Unis, les attaques des hôpitaux et des chaînes de soin sont anciennes et les chiffres – noyés dans l’actuel brouhaha électoral – paraissent de plus en plus inquiétants. Ancien d’Europol où il a, entre autres, été responsable de coordonner le blocage de la diffusion de la vidéo du massacre de Christchurch, Stéphane Duguin dirige le CyberPeace Institute, récemment établi à Genève sous l’égide de Microsoft, de Mastercard et de Hewlett Foundation. Entretien. 

Dans l’ordre, je dirais qu’on trouve en premier lieu les demandes de rançon, puis les vols de données et enfin la malveillance pure et simple… en nette augmentation d’ailleurs. 

Ce sont des victimes pratiquement sans défense et très lucratives. La mise en rançon d’un établissement hospitalier, aux Etats-Unis par exemple, est aisée. La remise en marche de ses systèmes peut coûter plusieurs millions de dollars (jusqu’à 6,5) alors que les montants exigés par les rançonneurs sont, en proportion, plus modestes. Le choix est vite fait. D’autant qu’un hôpital ne peut se permettre d’être hors service car refuser l’accès aux patients lui coûterait sa crédibilité sur des années. C’est un secteur qui n’a pas les moyens humains et financiers pour se défendre car il fonctionne en flux tendus sur des budgets qui, une fois validés, sont logiquement alloués prioritairement aux soins et au matériel médical. La défense des systèmes informatiques passe loin derrière. Notez qu’avec le COVID, cette situation s’est encore aggravée: les hôpitaux dépendent d’industries dont l’obligation de production s’est accrue (c.a.d. respirateurs). Produire sous pression et à cette cadence augmente mécaniquement le profil de risque cyber. 

Il n’est pas surprenant que les groupes criminels utilisent des méthodes permettant d'éviter tout traçage: l’argent cash et les cryptomonnaies.

Très. Ces vols ont pour cible les données personnelles mais aussi les données d’entreprises, en particulier celles associées à la propriété intellectuelle. Ces données ont une valeur importante au marché noir, tant en usage direct que pour nourrir les algorithmes d’intelligence artificielle.

La viralité sur Internet dépend moins d’un plan solitaire et minutieux que de la convergence du pire de tous les usages. Concernant la vidéo de la tuerie de Christchurch, les systèmes de défense des réseaux sociaux se sont retrouvés débordés du fait de l'activité complémentaire de groupes aux intérêts radicalement divergents: les suprémacistes, les djihadistes, les amoureux du gore, les «shit posters», les grands médias, tous ont contribué à l'accélération et la multiplication de cette vidéo à des niveaux jamais atteint auparavant.

Celui de promoteur de la paix dans le Cyberespace, avec au cœur de nos priorités la protection des populations vulnérables, ainsi que leur accès aux fondamentaux de nos sociétés. En premier lieu, l'accès à la santé, à l’eau, à la nourriture pour aborder ensuite l’accès à la finance. Tous ces services sont aujourd'hui numérisés, mus par des technologies interconnectées, et affichent jours après jours de nouvelles vulnérabilités. Dans le cas du secteur de la santé, l’étape initiale a été d’évaluer les dommages, car il faut savoir qu’il y a eu plus d’une attaque par jour contre ces systèmes pendant le pic de la pandémie. C’est pourquoi en mars 2020, le CyberPeace Institute a lancé un programme d’aide et de soutien à toute entité du secteur de la santé combattant le COVID. Ce programme est totalement gratuit. Nous savons les professionnels de soin en demande de soutien et sommes en ordre de marche pour les aider. Notre rôle est non seulement d’apporter une expertise directe, mais également d’incarner celui de conseiller et de médiateur auprès de prestataires capables de fournir des solutions gratuites et adaptées. De plus, nous avons initié une pétition à très haut niveau en coopération avec le CICR, joignant les signatures de prix Nobel de la Paix, d’anciens chefs d’Etat et de directeurs d’industrie afin de rappeler aux gouvernements leurs responsabilités : assurer un Cyber-Espace libre et juste, et protéger le secteur hospitalier.

Genève et ses environs offrent un écosystème complet, regroupant l’expertise en matière de droits humains, une communauté internationale juridique et technique de la cybersécurité, l’élaboration des standards par l'Union internationale des télécommunications (UIT) et l’innovation avec le Centre for digital transformation de l’EPFL. Le très récent lancement de la Trust Valley montre à quel point la région offre un parfait écosystème d’innovation pour inventer localement des solutions dont l’impact se veut global.

Vous seriez surpris du nombre de bénévoles compétents prêts à aider, surtout depuis le début de la crise sanitaire. Par contre, il y a peu de ressources du côté hospitalier pour recevoir leur aide. Demander de l’aide comporte des risques, recevoir de l’aide a un coût, et en période de crise, les professionnels de la santé ont peur du mauvais geste, de la mauvaise décision. Tout cela mène à sous-évaluer le danger systémique d’une cybersécurité insuffisante. Un danger à combattre.

Sans aucun doute. Le mobile premier des attaques Cyber est l’appât du gain. Les modes opératoires sont divers : hameçonnage, mise sous rançon des systèmes informatiques, escroquerie à la carte bancaire et autres moyens de paiements, utilisation des données numériques volées, récupération des SMS de contrôle, prises de contrôle de banques ou de distributeurs de billet – comme l’attaque planétaire commise par le groupe Carbanak. La course à la sophistication est sans fin.

Rien ne l’indique pour l’instant.

Les chiffres seront considérables. On estime la dépense mondiale en cybersécurité à 280 milliards de dollars en 2021.