swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Premier rapport semestriel du Centre national pour la cybersécurité : focus sur la santé numérique

Frédéric Erard, le 24 mai 2021
Le 11 mai 2021, le NCSC a publié son premier rapport semes­triel (Rapport semes­triel 2020/​2 inti­tulé « Sécurité de l’information. Situation en Suisse et sur le plan inter­na­tio­nal »). Le thème prio­ri­taire choisi pour ce premier rapport est la santé numérique.

Depuis le 1er juillet 2020 et l’entrée en vigueur de l’Ordonnance fédé­rale du 27 mai 2020 sur les cyber­risques (OPCy), le Centre natio­nal pour la cyber­sé­cu­rité (NCSC) est le centre de compé­tences de la Confédération en matière de cyber­risques. Il est doré­na­vant le premier inter­lo­cu­teur en matière de cyber­sé­cu­rité pour l’administration fédé­rale, les milieux écono­miques, les cantons, les établis­se­ments d’enseignement ou plus géné­ra­le­ment la popu­la­tion. Il centra­lise à cet égard les noti­fi­ca­tions concer­nant les cybe­rin­ci­dents (pour la liste de ses compé­tences : art. 12 OPCy). Du point de vue struc­tu­rel, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) est désor­mais inté­grée au NCSC.

Le 11 mai 2021, le NCSC a publié son premier rapport semes­triel (Rapport semes­triel 2020/​2 inti­tulé « Sécurité de l’information. Situation en Suisse et sur le plan inter­na­tio­nal »), couvrant la période de juillet à décembre 2020. Le thème prio­ri­taire choisi pour ce premier rapport est la santé numé­rique, soit une bonne occa­sion pour rappe­ler quelques éléments impor­tants en lien avec la sécu­rité de données de santé.

Dans son chapitre consa­cré à la santé numé­rique, le NCSC commence par consta­ter que la trans­for­ma­tion numé­rique progresse inexo­ra­ble­ment dans le secteur de la santé. Si cette évolu­tion présente de nombreux avan­tages, elle augmente aussi la surface d’attaque poten­tielle à l’encontre des données de santé. Or, les données de santé sont consi­dé­rées comme des « données sensibles » à la lumière du droit suisse de la protec­tion des données et, en tant que telles, béné­fi­cient d’une protec­tion renfor­cée. Les données trai­tées dans le secteur des soins présentent de surcroît des carac­té­ris­tiques parti­cu­lières : il faut par exemple soigneu­se­ment les proté­ger des risques de destruc­tion puisqu’elles peuvent diffi­ci­le­ment être recons­ti­tuées (p. ex. : examens médi­caux effec­tués dans le passé) ou les proté­ger contre les modi­fi­ca­tions non auto­ri­sées (p. ex. : la modi­fi­ca­tion des données rela­tives au groupe sanguin d’un patient pour­rait avoir des consé­quences dramatiques).

Le Rapport 2020/​2 attire ensuite l’attention du lecteur sur les « traces de données de dispo­si­tifs médi­caux ». Il souligne l’existence de diffé­rents registres dans ce domaine (p. ex. : registre suisse des implants SIRIS) ou la conser­va­tion de données en vue de gérer les stocks de maté­riel au sein des établis­se­ments de santé. Ces trai­te­ments visent non seule­ment à servir l’assurance-qualité, mais aussi à assu­rer la traça­bi­lité des produits utili­sés. La garan­tie d’intégrité et l’accessibilité de telles données doivent faire l’objet d’une atten­tion particulière.

Si les établis­se­ments de santé sont sujets aux mêmes types de cybe­rat­taques que les entre­prises d’autres secteurs, les consé­quences dans le domaine médi­cal peuvent se révé­ler bien parti­cu­lières. En raison du carac­tère non modi­fiable et sensible des données, une alté­ra­tion ou une indis­po­ni­bi­lité des données peuvent direc­te­ment mettre en danger la santé ou la vie d’individus. Le NCSC recom­mande d’accorder une atten­tion toute parti­cu­lière au contrôle des accès et systèmes (notam­ment par recours à des authen­ti­fi­ca­tions à plusieurs facteurs) et à une sensi­bi­li­sa­tion du person­nel face aux risques liés à la cybercriminalité.

Un type d’attaque clas­sique contre les établis­se­ments de soins est le chan­tage repo­sant sur les données de patients via des rançon­gi­ciels (ransom­ware). Les pirates collectent un maxi­mum de données avant de les cryp­ter, puis bloquent leur accès ou menacent de les divul­guer à moins qu’une rançon ne leur soit versée. Certains crimi­nels ont même tenté d’opérer ce chan­tage direc­te­ment à l’encontre des patients concernés.

Enfin, le NCSC constate que la période de pandé­mie liée à la  COVID-19 a créé des condi­tions parti­cu­liè­re­ment néfastes en termes de cyber­sé­cu­rité. Non seule­ment les consé­quences d’une attaque sur un système hospi­ta­lier sous pres­sion sont souvent plus graves, mais les risques que de telles attaques réus­sissent sont exacer­bés par l’épuisement des soignants et par le senti­ment d’urgence géné­ral (p. ex. : les risques qu’un soignant se fasse piéger par un cour­riel malveillant sont plus élevés). Plusieurs attaques ont été recen­sées en Suisse au cours de l’année 2020, sans qu’elles aient toute­fois eu des consé­quences néfastes. Le NCSC recom­mande ainsi de non seule­ment mettre en place des mesures de protec­tion tech­niques suffi­santes, mais aussi de mettre en place des proces­sus spéci­fiques de sensi­bi­li­sa­tion du person­nel dans ce contexte et de détec­tion des tenta­tives de fraudes ou autres attaques d’ingénierie sociale.

Le reste du rapport offre un aperçu des annonces reçues par le NCSC en matière de cyber­sé­cu­rité et dresse un pano­rama utile des menaces actuelles. On y apprend notam­ment que la pandé­mie  et sa course au vaccin a suscité plusieurs cybe­rat­taques avec des visées d’espionnage écono­mique. Ces attaques étaient en parti­cu­lier visées contre des insti­tu­tions de recherche, des entre­prises impli­quées dans le déve­lop­pe­ment de vaccins ou même contre l’Agence euro­péenne des médi­ca­ments. L’attaque menée contre cette dernière  aurait conduit au vol de docu­ments dépo­sés auprès de cette agence par les entre­prises Pfizer et Moderna. Le NCSC en conclut que quiconque effec­tue des travaux de recherche sur la COVID-19 doit s’attendre à des attaques d’espionnage économique.



Proposition de citation : Frédéric Erard, Premier rapport semestriel du Centre national pour la cybersécurité : focus sur la santé numérique, 24 mai 2021 in www.swissprivacy.law/74


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Second rapport semestriel du Centre national pour la cybersécurité : focus sur les failles de sécurité
  • Rapport MELANI 2020/1 - Quelques recommandations afin de déjouer les cyberattaques
  • Rapport concernant l’amélioration de la gestion des données dans le domaine de la santé
  • Rapport semestriel du Centre national pour la cybersécurité : cyberespace et conflits armés
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law