swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Rapport semestriel du Centre national pour la cybersécurité : cyberespace et conflits armés

Pauline Meyer, le 9 novembre 2022
Le 3 novembre 2022, le Centre natio­nal pour la cyber­sé­cu­rité publie son rapport semes­triel pour la période de janvier à juin 2022, dont le thème prio­ri­taire porte sur la dimen­sion cyber­né­tique des conflits armés et les attaques perpé­trées dans ce contexte.

Le NCSC publie son quatrième rapport semes­triel couvrant la période de janvier à juin 2022 (Rapport semes­triel 2022/​1). Il traite prin­ci­pa­le­ment de la dimen­sion cyber­né­tique des conflits armés avant de retra­cer, à son habi­tude, les évène­ments portés à sa connais­sance en se penchant sur quelques problé­ma­tiques clés.

La compo­sante cyber des conflits armés fait écho à la guerre actuelle entre la Russie et l’Ukraine. Le cybe­res­pace est exploité en amont et durant les conflits armés. Des mali­ciels sont typi­que­ment utili­sés pour créer des pannes de courant par l’infection de systèmes de contrôle indus­triels assu­rant l’approvisionnement en élec­tri­cité ou pour infec­ter des systèmes infor­ma­tiques gouver­ne­men­taux et suppri­mer les données qu’ils traitent. Ces diverses attaques, cher­chant tant à influen­cer des indi­vi­dus qu’à engen­drer des réper­cus­sions physiques ou porter atteinte à la sécu­rité des données, sont perpé­trées par diffé­rents acteurs et il peut être diffi­cile d’établir la fiabi­lité des infor­ma­tions à leur sujet.

Le nombre de cybe­rin­ci­dents enre­gis­trés par le NCSC au cours du premier semestre 2022 a augmenté de 70% par rapport au premier semestre 2021, en raison prin­ci­pa­le­ment d’une forte augmen­ta­tion de de faux cour­riers élec­tro­niques ayant pour but l’extorsion des desti­na­taires. En oppo­si­tion, le nombre d’annonces au sujet de mali­ciels a quelque peu dimi­nué par rapport à la même période de l’année précédente.

En paral­lèle, les annonces de numé­ros de télé­phone usur­pés ont explosé, passant de 17 à 319. Plus préci­sé­ment, des centres d’appels douteux utilisent régu­liè­re­ment des numé­ros appar­te­nant à des parti­cu­liers. La situa­tion peut être pesante pour les réels proprié­taires des numé­ros usur­pés, qui peuvent être submer­gés de rappels et qui sont à l’heure actuelle limi­tés dans les démarches qu’ils peuvent entre­prendre pour se proté­ger de ces retom­bées (FF 2017 6207, 6221).

Le NCSC se penche sur la ques­tion de l’accès à distance à des systèmes infor­ma­tiques ou à des comptes utili­sa­teurs, première étape de nombreuses cybe­rat­taques. Le plus simple pour accé­der à un compte ou à un système est de passer par un nom d’utilisateur, souvent consti­tué de l’adresse élec­tro­nique et d’un mot de passe. Les délin­quants peuvent ensu­tie faire un bour­rage d’identifiants (tester les données d’accès pour diffé­rents services infor­ma­tiques, voir le rapport et les lignes direc­trices de Global Privacy Assembly, à la rédac­tion desquels le PFPDT a parti­cipé) pour véri­fier si les iden­ti­fiants sont utili­sés pour plusieurs sites et fina­le­ment les vendre. L’authentification à double facteurs peut ici aider à proté­ger les utilisateurs.

Les délin­quants peuvent égale­ment utili­ser des mali­ciels pour s’infiltrer dans des systèmes, notam­ment par le biais de cour­riels infec­tés, ou exploi­ter les vulné­ra­bi­li­tés pour s’introduire dans un système, raison pour laquelle il faut toujours procé­der aux mises à jour.

Le rapport aborde égale­ment les mali­ciels actifs entre janvier et juin 2022, les failles de vulné­ra­bi­li­tés connues, les évène­ments surve­nus à l’étranger, les acteurs malveillants les plus actifs et leurs méthodes d’attaques ainsi que les problé­ma­tiques à compo­sante cyber concer­nant les systèmes de contrôle indus­triels et la tech­no­lo­gie opérationnelle.

Finalement, le NCSC soulève l’importance de la sécu­rité des données en lien avec les fuites de données. Ces fuites peuvent malheu­reu­se­ment faci­le­ment avoir lieu en raison d’attaques, d’erreurs ou de systèmes infor­ma­tiques insuf­fi­sam­ment proté­gés ou entre­te­nus. Elles peuvent engen­drer diverses consé­quences domma­geables, allant du chan­tage et des menaces à la perte de maîtrise sur les données ou aux risques pour la répu­ta­tion et pour la person­na­lité (selon les données visées).

Il n’existe aujourd’hui aucune obli­ga­tion légale de signa­ler les fuites de données, situa­tion qui chan­gera dans certaines circons­tances avec d’une part la future obli­ga­tion d’annoncer les viola­tions de la sécu­rité des données au PFPDT (art. 24 nLPD) et, d’autre part, la future obli­ga­tion pour certaines infra­struc­tures critiques de signa­ler des cybe­rat­taques au NCSC (art. 74a ss AP-LSI2).

Alors que l’art. 24 nLPD entrera en vigueur l’année prochaine, la date de l’en­trée en vigueur de la Loi fédé­rale sur la sécu­rité de l’information révi­sée (dont la première partie entrera en vigueur égale­ment en 2023) n’est pas encore fixée. En atten­dant, le NCSC met à dispo­si­tion sur son site inter­net quelques mesures tech­niques et orga­ni­sa­tion­nelles pour l’en­tre­prise confron­tée à une fuite de données.

 

 



Proposition de citation : Pauline Meyer, Rapport semestriel du Centre national pour la cybersécurité : cyberespace et conflits armés, 9 novembre 2022 in www.swissprivacy.law/183


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Second rapport semestriel du Centre national pour la cybersécurité : focus sur les failles de sécurité
  • Premier rapport semestriel du Centre national pour la cybersécurité: focus sur la santé numérique
  • Cyberattaques : vers une nouvelle obligation d’annonce
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law