Rapport du NCSC sur la cybersécurité en Suisse: la sensibilisation, une mesure de protection essentielle

Les cybercriminels ne reculent devant rien, pas même devant le secteur de la santé. Selon le Centre national pour la cybersécurité (NCSC), outre des solutions techniques sécurisées, la sensibilisation aux dangers de la cybercriminalité constitue une mesure de protection essentielle. Le Centre national pour la cybersécurité (NCSC) publie deux fois par an un rapport sur le niveau de cybersécurité en Suisse. Le rapport, qui vient d’être publié pour le second semestre 2020, porte sur le secteur de la santé et remplace le précédent rapport semestriel MELANI. Vous trouverez ci-dessous un résumé des résultats les plus importants.  

La cybersécurité dans le système de la santéSelon le NCSC, le secteur de la santé ne peut plus se passer des outils numériques, et ces derniers deviendront de plus en plus importants à l’avenir. Les hôpitaux et autres établissements de santé sont exposés aux mêmes cybermenaces que toutes les entreprises qui disposent d’une connexion Internet et travaillent avec des ordinateurs.Selon le rapport, si les menaces de la cybercriminalité sont similaires dans la plupart des secteurs, les conséquences d’attaques réussies dans le secteur de la santé présentent des caractéristiques qui lui sont propres: d’une part, en cas de fuite de données, il s’agit dans la plupart des cas des données personnelles immuables nécessitant une protection particulière; d’autre part, des dysfonctionnements de systèmes informatiques ou une indisponibilité temporaire de données peuvent mettre en danger la santé, voire la vie d’individus.Les rançongiciels recèlent un important potentiel de dangerositéSelon le rapport du NCSC, les incidents liés à des rançongiciels font partie en Suisse de ceux présentant le plus important potentiel de dangerosité. Depuis quelques années, les rançongiciels sont devenus un modèle d’entreprise criminelle à succès utilisé également contre des hôpitaux. Les rançongiciels permettent de crypter des données et de les rendre inutilisables. Pour qu’elles soient décryptées, les victimes doivent payer une rançon. Les auteurs s’emparent même maintenant d’un maximum de données avant de les crypter. En cas d’échec de la demande de rançon, ils tentent alors de faire chanter directement les patients concernés en les menaçant de publier ou de vendre leurs données.

Ingénierie sociale en période de pandémieL’ingénierie sociale se caractérise par le fait qu’elle cherche à créer un sentiment d’urgence. Selon le NCSC, les personnes sont plus susceptibles de tomber dans le piège quand elles sont déjà sous pression en raison de circonstances extérieures. Et cela est en partie le cas durant la pandémie de coronavirus: les cas de maladie peuvent augmenter considérablement en peu de temps et le système de santé atteindre alors ses limites en termes de capacité. Le personnel est donc sollicité à l’extrême, parfois surmené, et donc plus susceptible de tomber dans le piège de l’ingénierie sociale. La sensibilisation est déterminanteSelon le NCSC, deux aspects essentiels peuvent permettre aux établissements de santé de se protéger efficacement contre les dangers de la cybercriminalité: d’une part, concevoir des solutions techniques aussi sécurisées que possible. D’autre part, le NCSC considère que la sensibilisation des collaborateurs à l’utilisation sécurisée des outils informatiques est une mesure de protection importante contre la cybercriminalité. Ils doivent se familiariser avec les cybermenaces telles que l’ingénierie sociale ou le phishing pour être vraiment conscients des dangers.Lire le rapport semestriel du NSCS