Depuis le 1^er juillet 2020 et l’entrée en vigueur de l’Ordonnance fédé­rale du 27 mai 2020 sur les cyber­risques (OPCy), le Centre natio­nal pour la cyber­sé­cu­rité (NCSC) est le centre de compé­tences de la Confédération en matière de cyber­risques. Il est doré­na­vant le premier inter­lo­cu­teur en matière de cyber­sé­cu­rité pour l’administration fédé­rale, les milieux écono­miques, les cantons, les établis­se­ments d’enseignement ou plus géné­ra­le­ment la popu­la­tion. Il centra­lise à cet égard les noti­fi­ca­tions concer­nant les cybe­rin­ci­dents (pour la liste de ses compé­tences : art. 12 OPCy). Du point de vue struc­tu­rel, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est désor­mais inté­grée au NCSC.

Le 11 mai 2021, le NCSC a publié son premier rapport semes­triel (Rapport semes­triel 2020/​2 inti­tulé « Sécurité de l’information. Situation en Suisse et sur le plan inter­na­tio­nal »), couvrant la période de juillet à décembre 2020. Le thème prio­ri­taire choisi pour ce premier rapport est la santé numé­rique, soit une bonne occa­sion pour rappe­ler quelques éléments impor­tants en lien avec la sécu­rité de données de santé.

Dans son chapitre consa­cré à la santé numé­rique, le NCSC commence par consta­ter que la trans­for­ma­tion numé­rique progresse inexo­ra­ble­ment dans le secteur de la santé. Si cette évolu­tion présente de nombreux avan­tages, elle augmente aussi la surface d’attaque poten­tielle à l’encontre des données de santé. Or, les données de santé sont consi­dé­rées comme des « données sensibles » à la lumière du droit suisse de la protec­tion des données et, en tant que telles, béné­fi­cient d’une protec­tion renfor­cée. Les données trai­tées dans le secteur des soins présentent de surcroît des carac­té­ris­tiques parti­cu­lières : il faut par exemple soigneu­se­ment les proté­ger des risques de destruc­tion puisqu’elles peuvent diffi­ci­le­ment être recons­ti­tuées (p. ex. : examens médi­caux effec­tués dans le passé) ou les proté­ger contre les modi­fi­ca­tions non auto­ri­sées (p. ex. : la modi­fi­ca­tion des données rela­tives au groupe sanguin d’un patient pour­rait avoir des consé­quences dramatiques).

Le Rapport 2020/​2 attire ensuite l’attention du lecteur sur les « traces de données de dispo­si­tifs médi­caux ». Il souligne l’existence de diffé­rents registres dans ce domaine (p. ex. : registre suisse des implants SIRIS) ou la conser­va­tion de données en vue de gérer les stocks de maté­riel au sein des établis­se­ments de santé. Ces trai­te­ments visent non seule­ment à servir l’assurance-qualité, mais aussi à assu­rer la traça­bi­lité des produits utili­sés. La garan­tie d’intégrité et l’accessibilité de telles données doivent faire l’objet d’une atten­tion particulière.

Si les établis­se­ments de santé sont sujets aux mêmes types de cybe­rat­taques que les entre­prises d’autres secteurs, les consé­quences dans le domaine médi­cal peuvent se révé­ler bien parti­cu­lières. En raison du carac­tère non modi­fiable et sensible des données, une alté­ra­tion ou une indis­po­ni­bi­lité des données peuvent direc­te­ment mettre en danger la santé ou la vie d’individus. Le NCSC recom­mande d’accorder une atten­tion toute parti­cu­lière au contrôle des accès et systèmes (notam­ment par recours à des authen­ti­fi­ca­tions à plusieurs facteurs) et à une sensi­bi­li­sa­tion du person­nel face aux risques liés à la cybercriminalité.

Un type d’attaque clas­sique contre les établis­se­ments de soins est le chan­tage repo­sant sur les données de patients via des rançon­gi­ciels (ransom­ware). Les pirates collectent un maxi­mum de données avant de les cryp­ter, puis bloquent leur accès ou menacent de les divul­guer à moins qu’une rançon ne leur soit versée. Certains crimi­nels ont même tenté d’opérer ce chan­tage direc­te­ment à l’encontre des patients concernés.

Enfin, le NCSC constate que la période de pandé­mie liée à la  COVID-19 a créé des condi­tions parti­cu­liè­re­ment néfastes en termes de cyber­sé­cu­rité. Non seule­ment les consé­quences d’une attaque sur un système hospi­ta­lier sous pres­sion sont souvent plus graves, mais les risques que de telles attaques réus­sissent sont exacer­bés par l’épuisement des soignants et par le senti­ment d’urgence géné­ral (p. ex. : les risques qu’un soignant se fasse piéger par un cour­riel malveillant sont plus élevés). Plusieurs attaques ont été recen­sées en Suisse au cours de l’année 2020, sans qu’elles aient toute­fois eu des consé­quences néfastes. Le NCSC recom­mande ainsi de non seule­ment mettre en place des mesures de protec­tion tech­niques suffi­santes, mais aussi de mettre en place des proces­sus spéci­fiques de sensi­bi­li­sa­tion du person­nel dans ce contexte et de détec­tion des tenta­tives de fraudes ou autres attaques d’ingénierie sociale.

Le reste du rapport offre un aperçu des annonces reçues par le NCSC en matière de cyber­sé­cu­rité et dresse un pano­rama utile des menaces actuelles. On y apprend notam­ment que la pandé­mie  et sa course au vaccin a suscité plusieurs cybe­rat­taques avec des visées d’espionnage écono­mique. Ces attaques étaient en parti­cu­lier visées contre des insti­tu­tions de recherche, des entre­prises impli­quées dans le déve­lop­pe­ment de vaccins ou même contre l’Agence euro­péenne des médi­ca­ments. L’attaque menée contre cette dernière  aurait conduit au vol de docu­ments dépo­sés auprès de cette agence par les entre­prises Pfizer et Moderna. Le NCSC en conclut que quiconque effec­tue des travaux de recherche sur la COVID-19 doit s’attendre à des attaques d’espionnage économique.