Le NCSC publie son quatrième rapport semes­triel couvrant la période de janvier à juin 2022 (Rapport semes­triel 2022/​1). Il traite prin­ci­pa­le­ment de la dimen­sion cyber­né­tique des conflits armés avant de retra­cer, à son habi­tude, les évène­ments portés à sa connais­sance en se penchant sur quelques problé­ma­tiques clés.

La compo­sante cyber des conflits armés fait écho à la guerre actuelle entre la Russie et l’Ukraine. Le cybe­res­pace est exploité en amont et durant les conflits armés. Des mali­ciels sont typi­que­ment utili­sés pour créer des pannes de courant par l’infection de systèmes de contrôle indus­triels assu­rant l’approvisionnement en élec­tri­cité ou pour infec­ter des systèmes infor­ma­tiques gouver­ne­men­taux et suppri­mer les données qu’ils traitent. Ces diverses attaques, cher­chant tant à influen­cer des indi­vi­dus qu’à engen­drer des réper­cus­sions physiques ou porter atteinte à la sécu­rité des données, sont perpé­trées par diffé­rents acteurs et il peut être diffi­cile d’établir la fiabi­lité des infor­ma­tions à leur sujet.

Le nombre de cybe­rin­ci­dents enre­gis­trés par le NCSC au cours du premier semestre 2022 a augmenté de 70% par rapport au premier semestre 2021, en raison prin­ci­pa­le­ment d’une forte augmen­ta­tion de de faux cour­riers élec­tro­niques ayant pour but l’extorsion des desti­na­taires. En oppo­si­tion, le nombre d’annonces au sujet de mali­ciels a quelque peu dimi­nué par rapport à la même période de l’année précédente.

En paral­lèle, les annonces de numé­ros de télé­phone usur­pés ont explosé, passant de 17 à 319. Plus préci­sé­ment, des centres d’appels douteux utilisent régu­liè­re­ment des numé­ros appar­te­nant à des parti­cu­liers. La situa­tion peut être pesante pour les réels proprié­taires des numé­ros usur­pés, qui peuvent être submer­gés de rappels et qui sont à l’heure actuelle limi­tés dans les démarches qu’ils peuvent entre­prendre pour se proté­ger de ces retom­bées (FF 2017 6207, 6221).

Le NCSC se penche sur la ques­tion de l’accès à distance à des systèmes infor­ma­tiques ou à des comptes utili­sa­teurs, première étape de nombreuses cybe­rat­taques. Le plus simple pour accé­der à un compte ou à un système est de passer par un nom d’utilisateur, souvent consti­tué de l’adresse élec­tro­nique et d’un mot de passe. Les délin­quants peuvent ensu­tie faire un bour­rage d’identifiants (tester les données d’accès pour diffé­rents services infor­ma­tiques, voir le rapport et les lignes direc­trices de Global Privacy Assembly, à la rédac­tion desquels le PFPDT a parti­cipé) pour véri­fier si les iden­ti­fiants sont utili­sés pour plusieurs sites et fina­le­ment les vendre. L’authentification à double facteurs peut ici aider à proté­ger les utilisateurs.

Les délin­quants peuvent égale­ment utili­ser des mali­ciels pour s’infiltrer dans des systèmes, notam­ment par le biais de cour­riels infec­tés, ou exploi­ter les vulné­ra­bi­li­tés pour s’introduire dans un système, raison pour laquelle il faut toujours procé­der aux mises à jour.

Le rapport aborde égale­ment les mali­ciels actifs entre janvier et juin 2022, les failles de vulné­ra­bi­li­tés connues, les évène­ments surve­nus à l’étranger, les acteurs malveillants les plus actifs et leurs méthodes d’attaques ainsi que les problé­ma­tiques à compo­sante cyber concer­nant les systèmes de contrôle indus­triels et la tech­no­lo­gie opérationnelle.

Finalement, le NCSC soulève l’importance de la sécu­rité des données en lien avec les fuites de données. Ces fuites peuvent malheu­reu­se­ment faci­le­ment avoir lieu en raison d’attaques, d’erreurs ou de systèmes infor­ma­tiques insuf­fi­sam­ment proté­gés ou entre­te­nus. Elles peuvent engen­drer diverses consé­quences domma­geables, allant du chan­tage et des menaces à la perte de maîtrise sur les données ou aux risques pour la répu­ta­tion et pour la person­na­lité (selon les données visées).

Il n’existe aujourd’hui aucune obli­ga­tion légale de signa­ler les fuites de données, situa­tion qui chan­gera dans certaines circons­tances avec d’une part la future obli­ga­tion d’annoncer les viola­tions de la sécu­rité des données au PFPDT (art. 24 nLPD) et, d’autre part, la future obli­ga­tion pour certaines infra­struc­tures critiques de signa­ler des cybe­rat­taques au NCSC (art. 74a ss AP-LSI2).

Alors que l’art. 24 nLPD entrera en vigueur l’année prochaine, la date de l’en­trée en vigueur de la Loi fédé­rale sur la sécu­rité de l’information révi­sée (dont la première partie entrera en vigueur égale­ment en 2023) n’est pas encore fixée. En atten­dant, le NCSC met à dispo­si­tion sur son site inter­net quelques mesures tech­niques et orga­ni­sa­tion­nelles pour l’en­tre­prise confron­tée à une fuite de données.