Promouvoir l’éducation numérique

Les semaines se suivent et se ressemblent. L’actualité numérique est intense, mouvementée et diversifiée. Du piratage de la brosse à dent connectée au virus capable de provoquer la défaillance de réseaux de distribution d'électricité en passant par les révélations de piratage politique ou les quelques 1.1 TB de données d’électeurs américains qui ont fuité, aucune structure ni aucun support ne sont épargnés mais il semble que la santé devienne une cible privilégiée : Des hôpitaux américains, allemands, sarthois, les NHS, un grand concepteur d’objets connectés de santé, des laboratoires, des mutuelles… « Sur le deuxième trimestre 2016, près de 90 % des attaques par ransomware ont visé des établissements de santé dans le monde ». Pire, « la santé a été le secteur le plus ciblé par les cyberattaques au 1er trimestre 2017 », peut-on lire sur les sites spécialisés. Plusieurs raisons à cela.

Le chantage

Une structure de santé ne peut pas se permettre que les données sensibles qu’elle héberge (photos, compte-rendu, analyse…) soient diffusées sur le net. Obligation légale mais aussi question d’image ! Elle sera donc plus encline à accepter de payer une rançon. Et si l’établissement refuse de payer, le pirate peut toujours essayer auprès de patients !
Ensuite une indisponibilité du réseau informatique peut être dévastatrice : perte des données, incapacité d’accès aux dossiers patients, désorganisation et ralentissement des services, les experts estiment qu’un service sans informatique ne fonctionne pas à plus de 10 % de ses capacités… L’exemple des NHS (National Health Service), fortement impacté par Wannacry, le prouve : « Au Royaume-Uni, le système de santé a été fortement affecté, entrainant la paralysie des systèmes informatiques de 45 hôpitaux. Certains établissements ont même été contraints de différer des interventions chirurgicales et de dérouter des ambulances » ou encore « Les hôpitaux britanniques se sont vus incapables de traiter une partie de leurs patients à cause de cet incident. Le gouvernement a d’ailleurs demandé aux Britanniques de ne se rendre dans les hôpitaux qu’en cas d’absolue nécessité. » lisait-on quelques heures après le passage de Wannacry.

La revente

Les bases de données (nom, prénom, email…) se revendent bien. Il y a quelques semaines, une boutique du darknet proposait à la revente une base de données de la FFF pour 350 euros.
Toutefois, si les données ont une valeur marchande, certaines sont plus lucratives. La donnée personnelle serait même devenue, pour certains experts, le nouvel or noir du XXIème siècle… A titre d’exemple, un pirate aurait mis en vente 3 lots de base de dossiers d’assurés sociaux américains : 397 000 références pour 300 bitcoins, 210 000 pour 170 bitcoins et 48 000 pour 60 bitcoins. Ces bases de données seraient 10 à 100 fois plus chères qu’une base « classique ».

Se protéger

Les pirates choisissent des cibles faciles. Les structures de santé ne sont pas suffisamment préparées, protégées et informées et les ressources sont insuffisantes. Des mesures sont prises mais nous sommes encore loin des dispositifs mis en place dans les banques ou les grandes industries. Lorsque l’on pense que 60% des données sont volées dans l'heure suivant une attaque informatique, il est plus qu’urgent, non pas de réagir mais d’anticiper.
Il est indispensable de patcher régulièrement, d’installer des antivirus, d’utiliser des solutions innovantes (de type analyse comportementale) mais surtout d’éduquer les utilisateurs car la faille première vient de la main humaine. Un rapport de Proofpoint nommé "Le Facteur Humain" révèle que les cyberattaques visent davantage à exploiter les faiblesses inhérentes à « la nature humaine » que les failles des systèmes.
On peut souligner les avancées : des MOOC sont proposés et la moitié des français se dit plus vigilante sur Internet, modifiant les paramètres de confidentialité de ses comptes sur les réseaux sociaux, signe que les comportements changent, mais ils sont encore 89 % à ne pas lire les conditions générales d’utilisation. De plus, 90% des RSSI français indiquent que les failles de données détectées ne sont pas traitées (80 % au niveau mondial). Pire, une étude montre que des étudiants américains sont prêts à céder leurs données pour une pizza…
Il manque une vraie politique éducative. Au même titre que l’éducation civique ou sportive, il va devenir urgent de mettre en place l’éducation numérique à l’école. En Corée du Sud, l’éducation numérique est une priorité des gouvernements depuis plus de 20 ans, alors que nous nous posons encore la question de conserver l’apprentissage du latin ou du grec en classe de 4ème ! Le 16 mai dernier, Mounir Mahjoubi, dans une interview accordée au quotidien Les échos, observait « On n'en fait jamais assez sur la sécurité informatique. Ça doit être une priorité du gouvernement (…) Il faut développer une culture de la sécurité informatique ». Peut-être le début d’une prise de conscience...

Partager ce document sur les réseaux