Cloud monégasque
Une cible de choix pour
les hacktivistes ?

La Rédaction
-

Au deuxième semestre 2020, devrait être déployé un cloud souverain à Monaco, avec une copie au Luxembourg. Il abritera notamment les données de santé des Monégasques et des résidents. Mais face à la menace des hackers et à la question du respect de la vie privée, que pourra vraiment proposer ce cloud ?

Par Pascallel Piacka et Raphaël Brun

C’est un fait. La transition numérique touche tous les secteurs, toutes les organisations publiques ou privées de la principauté. Le système de santé et les établissements sanitaires ne font pas exception. Le 6 novembre 2018, au ministère d’État, le gouvernement a détaillé le plan d’actions de sa politique d’e-santé qui a débuté en 2019, pour prendre fin en 2022. La principauté a engagé une réflexion globale sur l’avenir de son système de santé. « Le département des affaires sociales et de la santé a souhaité engager une démarche résolue afin de faire évoluer le monde de la santé monégasque pour qu’il bénéficie de l’apport du numérique », a déclaré Didier Gamerdinger, conseiller-ministre pour les affaires sociales et la santé. La multiplication des objets connectés, combinée à l’accroissement des données confidentielles des patients, font très logiquement grandir les risques de cyber-attaques. Les enjeux autour de la cybersécurité du monde de la santé sont donc plus que jamais d’actualité.

Cloud

Dans le cadre de la transition numérique, le plan d’actions est divisé en trois phases. À savoir le lancement d’un portail de santé en 2019, la création d’un cloud souverain en 2020 avec une copie au Luxembourg, et enfin la mis en place du télé-monitoring et du télé-suivi en 2022. Du côté de la délégation interministérielle en charge de la transition numérique, on souligne « l’évidence de se doter d’un cloud souverain. Cela revient à mettre en place une infrastructure moderne. » « Il est essentiel que de nouveaux moyens soient mis au service des professionnels de santé. Le patient doit être au cœur de la réflexion, tout en sécurisant l’ensemble des données », déclarait Didier Gamerdinger dans Monaco Hebdo n° 1083. Certes, le développement de l’usage des technologies constitue un facteur d’amélioration de la qualité des soins. Mais, il s’accompagne d’un accroissement important de la surface de vulnérabilité, avec des menaces bien réelles et des risques non négligeables d’atteintes aux informations des patients. Sans omettre celles, spécifiques, à chaque hôpital. « Le cloud souverain, qui hébergera les données de manière sécurisée, permettra à nos professionnels d’y déposer les dossiers numériques de santé de leurs patients, sans avoir à assurer personnellement leur archivage et leur protection. Ils seront ainsi déchargés de cette contrainte. Ils pourront se consacrer exclusivement à leur activité de soins », a indiqué Didier Gamerdinger. Face aux hackers, la sécurisation des systèmes d’information de santé est devenu une préoccupation majeure pour les gouvernements, les professionnels et les patients. La délégation interministérielle en charge de la transition numérique estime que « l’infrastructure cloud, flexible et évolutive, peut être gérée de manière bien plus efficace que l’infrastructure physique traditionnelle, qui est celle de la principauté. » Pour justifier la duplication du cloud monégasque au Luxembourg, la délégation interministérielle en charge de la transition numérique juge « qu’il était de la responsabilité de l’État de prendre en compte les risques de tremblements de terre ou de cyber-attaques. Cela pouvant entraîner la perte partielle ou totale de nos données et l’interruption du service public. La norme de sécurité recommandée est une distance de 120 kilomètres entre deux lieux de stockages. »

E-santé

La e-santé est souvent présentée par ses promoteurs comme une « révolution » du système sanitaire. « L’e-santé est la santé de demain, et même déjà celle d’aujourd’hui, tant les transformations sont rapides », estime pour sa part Didier Gamerdinger. Le développement de la médecine connectée passe par un plan “big data” ou de cloud souverain pour le secteur médical. Ce plan doit permettre la mise en place de nouvelles applications, notamment dans les domaines du suivi à distance ou de l’interprétation des données médicales. Objectif : assister les médecins dans leurs diagnostics. L’e-santé vise aussi à la simplification des démarches administratives des patients, notamment pour les admissions, avec des prises de rendez-vous possibles en ligne. « Notre État doit être totalement partie prenante de cette évolution fondamentale. Nous avons tous à y gagner. Les patients seront encore mieux suivis. Les professionnels de santé bénéficieront d’outils venant en appui de leurs compétences. Les pouvoirs publics pourront élaborer des politiques de prévention et d’accompagnement correspondant de manière bien plus fine à notre population », estime le conseiller-ministre. Grâce à une plate-forme numérique, les usagers devraient être mieux orientés pour les consultations auprès des professionnels de santé. « Le département a proposé à l’ensemble de ses interlocuteurs concernés de réaliser à Monaco un “big bang” du numérique, à grande échelle et avec de grandes ambitions », ajoute Didier Gamerdinger. A ce jour, à Monaco, il n’existe aucun lien entre les établissements de soins et encore moins entre les professionnels de santé et les patients.

Données

Mais impossible de considérer ce dossier uniquement dans un cadre strictement monégasque, puisqu’il revêt aussi une dimension européenne. Or, le règlement européen n° 2016/679 sur la protection des données personnelles (RGPD) a été adopté par le Parlement européen le 14 avril 2016. Il est entré en application le 25 mai 2018. Les principaux objectifs du RGPD sont d’accroître la protection des personnes par un traitement de leurs données à caractère personnel. Il procède aussi à une définition large des données de santé. Les données à caractère personnel sont des données relatives à la santé physique ou mentale d’un patient. Elles révèlent des informations sur l’état de santé de la personne. Ces informations sont collectées lors d’une inscription en vue de bénéficier de services de soins de santé. Elles peuvent aussi être obtenues lors d’un examen, et se présenter sous la forme de données génétiques ou d’échantillons biologiques. Ces indications concernent aussi les maladies éventuelles de la personne. À savoir un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique et l’état physiologique ou biomédical. Ainsi, la notion de données de santé recouvre l’ensemble des données collectées et produites dans le cadre du parcours de soins. Et ces données sont, bien évidemment, très sensibles car elles relèvent de la vie privée du patient. Mais il faut y ajouter les données détenues par d’autres acteurs, comme, par exemple, les développeurs d’applications. Les données dites « sensibles » sont regroupées en quatre catégories : dates de soins, code postal du domicile, mois et année de naissance et date de décès, le cas échéant. Reste à savoir comment la notion de RGPD sera appréhendée, alors que les données de santé resteront stockées sur le sol monégasque, et donc sous l’emprise de la loi monégasque, mais qu’une copie numérique de ce cloud sera aussi lancée au Luxembourg, sur le principe d’une e-ambassade. Interrogé par Monaco Hebdo, le président de la commission de contrôle des informations nominatives (CCIN), Guy Magnan, a été clair : « Le RGPD est sans incidence sur la duplication de ce cloud au Luxembourg, dans la mesure où il n’impose pas de conditions spécifiques à la communication de données en direction de l’Union européenne (UE). S’agissant d’une e-ambassade située au Luxembourg, ceci ne pourrait se faire que par le biais d’un accord entre les autorités monégasques et luxembourgeoises, qui devra préciser les contours exacts de cette extra- territorialité. » Il faudra donc suivre avec attention la forme définitive que prendront ces « contours », alors que les discussions entre Monaco et le Luxembourg se poursuivent.

DMP

Le dossier médical partagé (DMP) est conçu comme un ensemble de services. Il permet aux professionnels autorisés, de partager sous forme électronique les informations de santé. Elles sont utiles à la coordination des acteurs prenant en charge le patient, sachant qu’il y a une trentaine de médecins généralistes à Monaco. Le DMP est un carnet de santé numérique personnel, partagé, accessible et sécurisé. Le titulaire peut le consulter sur internet et via une application mobile. Il peut l’enrichir, en y versant des documents dans un volet spécifique. Chaque patient est censé en contrôler l’accès, en autorisant ou non les professionnels à le consulter ou à l’alimenter. « Chacun d’entre nous disposera de son dossier médical informatisé personnel. Il comportera toutes les informations pertinentes (consultations, actes d’imagerie, analyses) relatives à notre parcours de soins. Cela permettra d’assurer les prises en charge et de mettre en œuvre les traitements correspondant le mieux à notre profil », a signalé le conseiller-ministre, Didier Gamerdinger. Le DMP contient notamment les antécédents du patient, l’historique des remboursements d’éventuelles allergies. Il peut aussi renfermer les traitements en cours, le volet médical de synthèse, les lettres de liaison de séjour hospitalier. Enfin, il regroupe les comptes-rendus d’hospitalisation et de consultation, les résultats d’examens (radios, analyses biologique). « Nous souhaitons que le patient dispose d’un numéro et identifiant unique. Nous pouvons également envisager la création d’un QR code, une dématérialisation totale », indiquait Didier Gamerdinger dans Monaco Hebdo n° 1083. Face au RGPD et au DMP, il faut s’adapter. « Il va falloir modifier le droit et être en accord avec la CCIN, l’autorité monégasque de protection des données personnelles », confirme Didier Gamerdinger. L’évolution de l’article 12, de la loi n° 1454 du 30 octobre 2017, concernant le consentement, et l’information en matière médicale, devrait donc faire l’objet d’une étude. En principauté, toute personne est autorisée à demander l’accès à l’ensemble de ses informations de santé. Cependant, le président de la CCIN peut, après avis favorable de celle-ci, accorder des délais de réponse ou se dispenser de l’obligation de répondre, selon les cas. À défaut de réponse dans le délai imparti, la demande d’accès peut être rejetée.

Sécurité

L’échange des données de santé personnelles sont donc encadrées. La diffusion involontaire, voire malveillante, de telles données est jugée contraire à la protection de la vie privée. La délégation interministérielle en charge de la transition numérique rappelle que « le gouvernement étudie actuellement les modifications à apporter à la loi n° 1165 du 23 décembre 1993 relative à la protection des informations nominatives. Il s’agit de mettre le titulaire des données au centre des préoccupations. Il faut ériger le consentement des personnes en pilier du traitement des données. Et renforcer leur droit d’accès, de rectification et de portabilité. Ce texte devrait être déposé au Conseil national dans le courant de l’année 2019. » Ces données seront stockées sur des serveurs sécurisés. Des techniques dites de brouillage de données pourront être utilisées. Elles rendront difficiles l’identification d’un patient. Une attention doit être accordée à l’anonymisation des fichiers pour rendre anonyme des fichiers de santé. « Ces données anonymisées pourront permettre de mieux connaître les pathologies auxquelles sont exposées certains groupes de notre population. Des politiques publiques de prise en charge préventive pourront être déterminées plus efficacement, afin de les proposer aux personnes plus particulièrement concernées », ajoute Didier Gamerdinger. « Nos partenaires seront obligés de s’adapter à tout risque potentiel pour protéger leur position, et cela nous permettra d’être toujours au meilleur niveau possible de sécurité. C’est un engagement que je peux prendre. Si on ne remplit pas ces conditions essentielles, le projet ne se fera pas », promet Frédéric Genta, délégué interministériel en charge de la transition numérique, tout en estimant qu’il est « possible de répondre aux contraintes de sécurité pour le transport des données, voire l’hébergement en mode cloud, par des moyens de cryptage avancés. » Néanmoins, par goût du défi ou par souci de notoriété, les pirates informatiques pourraient s’intéresser à ce futur cloud monégasque.

Hébergement

Pour tenter de minimiser les risques, le gouvernement monégasque a donc décidé de miser sur une solution simple pour son futur cloud : « Il s’agit de créer un jumeau numérique au Luxembourg via une e-ambassade. Le Luxembourg n’a pas été choisi par hasard. Le “data center” dans lequel nous envisageons d’organiser notre extraterritorialité répond aux plus hautes normes de sécurité, avec Tier 4. Il héberge les données de l’OTAN ou de l’UE. Suite à une cyber-attaque à l’échelle nationale, l’Estonie est d’ailleurs le premier pays à avoir ouvert une ambassade des données au Luxembourg », soutient le délégué interministériel chargé de la transition numérique. Fabrice Epelboin, enseignant à Sciences Po Paris et spécialiste du numérique et des réseaux sociaux, tempère ces propos. Pour cet expert, le « coffre-fort numérique n’existe pas. C’est une métaphore qui ne correspond à aucune réalité technique. Attention aux confusions ». Pour résumer les choses, l’Etat monégasque rappelle qu’« aujourd’hui, rien ne change. Les données restent localisées sur le sol monégasque, au sein des différentes structures existantes : centre hospitalier princesse Grace (CHPG), institut monégasque de la médecine et du sport (IM2S), etc. Préalablement à la mise en place d’un service d’hébergement de données médicales dont la date reste à définir, les normes en vigueur au niveau européen ou français seront appliquées pour assurer un niveau de sécurité adapté aux enjeux. » Pour mener à bien cet énorme chantier, le ministre d’Etat de Monaco, Serge Telle, travaille donc en coopération avec le Luxembourg et son premier ministre, Xavier Bettel. Au sein de la délégation interministérielle chargée de la transition numérique, la direction des réseaux et des systèmes d’information vient de commencer à échanger avec ses homologues luxembourgeois. Objectif : définir les spécifications techniques permettant d’apporter les meilleures garanties de sécurité. Ces choix devront être validés à la fois par Monaco et par le Luxembourg avant d’être effectifs.

Attaques

En face, la menace est réelle. Les hackers ont fait tomber les plus grands, que ce soit Sony, Facebook, Apple, Sony ou même le Pentagone (lire notre encadré, par ailleurs). Etats ou grands groupes industriels, personne n’a pu empêcher les pirates de parvenir à leurs fins. Or, les hackers ciblent de plus en plus les données de santé. D’ailleurs, la liste des établissements de santé victimes d’une cyber-attaque ne cesse de prendre de l’ampleur. « Les systèmes de santé sont très sensibles. Il existe différents acteurs susceptibles de mener des actions. Il y a la cyber-guerre entreprise entre les agences de renseignements étatiques. Il y a aussi la cyber-criminalité, où des malfaiteurs sont à l’œuvre. Il ne faut pas oublier non plus l’espionnage industriel qu’exercent les groupes concurrents entre eux, avec les mutuelles et l’industrie pharmaceutique », détaille Vincent Trely, président de l’association pour la promotion de la sécurité de systèmes d’information de santé (APSSIS). L’APSSIS mène des réflexions sur la sécurité de l’écosystème numérique de santé. Il faut dire qu’aujourd’hui, de nombreux équipements de santé, comme les pacemakers ou les pompes à insulines, sont connectés. Il arrive qu’ils puissent être paramétrés à distance. « On compte 1 000 à 1 500 dossiers piratés dans les maisons de retraite », raconte Vincent Trely.

Locky

Récemment, 114 000 patients d’un laboratoire pharmaceutique ont été contactés suite à la détection d’une faille de cybersécurité sur un modèle de pompe à insuline. Le boîtier de contrôle présentait une vulnérabilité. Cette faille aurait pu permettre d’injecter une dose d’insuline potentiellement mortelle au patient. « Le risque majeur, ce sont les cyber-activistes, car ils poursuivent une quête qui n’est pas guidée par l’argent. Ils constituent un facteur de risques importants pour les États », estime le président de l’APSSIS. Des propos repris en échos par Fabrice Epelboin, enseignant à Sciences Po Paris et spécialiste du numérique : « Le cloud de santé monégasque sera une cible de choix pour des hacktivistes. Car la principauté regroupe des gens très riches, considérés par certains milieux politiques comme des « méchants ». Exposer les données de santé de ces personnes-là, peut être vécu comme une forme de vengeance. » En février 2016, un hôpital californien a payé l’équivalent de 17 000 dollards, soit près de 15 000 euros, en bitcoins pour avoir de nouveau accès à son système informatique. « Tous les deux à trois jours, il y a des problèmes de ce type dans les hôpitaux américains. En Europe, les établissements ne payent pas, car la législation interdit de telles pratiques », explique le président de l’APSSIS. MedStar Health, un système informatique gérant une dizaine d’hôpitaux aux États-Unis a dû désactiver son réseau suite à une attaque informatique. « De 2007 à 2017, 175 millions de dossiers médicaux américains ont été dérobés », alerte Vincent Trely. En mars 2016, le virus Locky a bloqué l’accès à près de 10 000 fichiers d’un hôpital de Boulogne-sur-Mer. Soit près de 3 % du contenu du système informatique de l’établissement.

Singapour

En mai 2017, le logiciel malveillant WannaCry a bloqué plus de 300 000 ordinateurs à travers le monde et le système de santé britannique NHS a fait partie des principales victimes. Des milliers de consultations, examens et interventions chirurgicales ont dû être annulés dans plus de 40 établissements, en raison du blocage des terminaux. Au deuxième trimestre 2016, les hôpitaux représentaient 88 % des attaques par le logiciel malveillant WannaCry, rapportait une étude de NTT Security, un éditeur de solutions de sécurité. Plus récemment, en juillet 2018, des hackers ont dérobé des dossiers médicaux appartenant à 1,5 million d’habitants de Singapour. C’est-à-dire plus du quart de la population singapourienne. Les prescriptions de 160 000 singapouriens ont été piratées. Parmi les victimes figurait le premier ministre Lee Hsien Loong. « La sécurité, c’est l’ADN de Monaco. Et c’est ma priorité numéro 1, ma ligne rouge. Bien évidemment, le risque 0 n’existe pas, mais je le répète : tout sera mis en place en collaboration avec l’Agence Monégasque de Sécurité Numérique (AMSN). Nous bénéficierons par ailleurs des retours d’expérience liés à ces événements malheureux intervenus à Singapour », insiste le délégué interministériel chargé de la transition numérique. Seule option possible pour ceux qui ne veulent pas courrir le moindre risque : refuser que ses données de santé soient placées dans le futur cloud. Une option qui ne sera pas ouverte à tous, mais seulement à ceux qui pourront s’offrir le luxe de ne pas bénéficier de couverture de santé : « Certains peuvent se dire que leur confidentialité passe avant tout, et qu’ils ont les moyens financiers de ne pas être dans ce futur cloud monégasque. Quitte à ne pas être inscrits aux caisses sociales, avance Fabrice Epelboin. Certains très grands patrons d’entreprises cotées en bourse savent que la fuite de données sur leur santé pourrait avoir des conséquences irréversibles sur leur cotation en bourse. Mais une écrasante majorité de personnes n’aura pas le choix. » En attendant, les postes de travail dans les hôpitaux sont aussi connectés pour accéder aux emails, ainsi que certains outils, comme les scanners ou les IRM. Or, selon McAfee, un éditeur de logiciel antivirus, beaucoup d’établissements de santé fonctionnent sous un environnement informatique obsolète. D’après une étude du cabinet Deloitte, auprès de 24 hôpitaux dans 9 pays (Europe, Moyen-Orient et Afrique), plus de 50 % des hôpitaux interrogés utilisaient des mots de passe standards. Des paramètres par défaut étaient appliqués pour sécuriser leurs équipements. Seulement, un cinquième des hôpitaux ont déclaré utiliser des appareils avec connexions réseau sécurisées. « 99 % des problèmes pourraient être réglés si tous les logiciels étaient mis à jour quotidiennement et si le personnel de santé était plus sensibilisé à l’utilisation de leur messagerie et mots de passe. Dans un hôpital, un professionnel de santé est amené à utiliser 9 mots de passe au quotidien », rapporte Vincent Trely.

“Zero day”

Si les pirates informatiques ciblent de manière croissante les établissements de santé, c’est bien sûr en raison de la valeur des informations susceptibles d’être dérobées. Les données détenues par les hôpitaux, notamment les dossiers médicaux et les numéros de sécurité sociale, peuvent valoir cher pour les hackers. « La cyber-criminalité est une réalité. De 100 000 à 500 000 dossiers de patients circulent sur le darknet », estime le président de l’APSSIS. Le darknet est une vaste partie du web non indexée par les moteurs de recherche. C’est un réseau superposé qui utilise des protocoles spécifiques, intégrant des fonctions d’anonymat. Selon l’éditeur spécialisé Symantec, ces données se revendent 50 fois plus chères que des informations bancaires, comme par exemple les numéros de cartes de crédit. La société américaine de logiciels informatique souligne pour sa part que les pirates alimentent ainsi le marché parallèle. Néanmoins, la prise en compte de la cybersécurité progresse dans les établissements de santé. En juin 2018, le Club de la sécurité de l’information français (CLUSIF) a réalisé une enquête (1). Ses résultats montrent une évolution de la prise en compte des risques. Ainsi, 92 % des établissements français appliquent une politique de sécurité du système d’information (PSSI). Elles intègrent aussi dans leurs effectifs des postes de responsable de la sécurité informatique (RSSI). La fonction de RSSI devient une fonction exercée à temps plein dans un établissement sur deux. 60 % des établissements ont mis en place un programme de sensibilisation à la sécurité de l’information auprès des professionnels, contre 30 % en 2014. « Il est nécessaire d’évoquer le risque lié à la vulnérabilité “zero-day”. C’est-à-dire une vulnérabilité informatique n’ayant fait l’objet d’aucune publication. Ces virus sont inconnus et aucun correctif n’est applicable, alerte Vincent Trely. Or, on assiste à une augmentation annuelle de l’ordre de 250 à 300 % depuis 2017 de ces virus “zero-day”. »

CHPG

On le voit, les marges de progrès du secteur de la santé sur la cybersécurité restent importantes. Les outils cryptographiques sont sous-exploités : en moyenne, 40 % des établissements ont recours à ces procédés de protection des données personnelles. Par ailleurs, 81 % des répondants à l’enquête du CLUSIF se disent incapables de bien évaluer les coûts liés à la sécurité informatique. Seulement, un tiers des établissements font une analyse de l’impact financier des incidents. « Dans le cas de la principauté, le CHPG doit se prémunir face à une cyber-attaque. Un groupe déterminé composé de bons hackers peut entreprendre une opération malveillante. Son élaboration devrait prendre 6 à 7 mois d’études », évalue le président de l’APSSIS. Selon l’étude du CLUSIF, les freins à la conduite des missions de sécurité du système d’information restent à l’identique qu’en 2014 : 52 % des établissements dénoncent un manque de budget et 43 % un manque de personnel qualifié. « Nous sommes une génération sacrifiée du numérique. C’est l’ensemble du personnel de santé, médecins, infirmières et aides-soignants, qui doit être formé aux risques. Il faut rompre avec une certaine naïveté considérant que l’hôpital est un sanctuaire », affirme Vincent Trely. A noter que la part des actes de chantage ou d’extorsion informatique reste limitée à 5 % des établissements. Pour le président de l’APSSIS, « la question de la sécurité est une affaire de stratégie et de moyens financiers. Il faut construire une architecture cohérente. Mais, le risque zéro n’existe pas. Personne n’est à l’abri. »

1) Cette étude a été menée auprès de 127 hôpitaux et de 24 structures d’hébergement médicalisé.

 

E-santé : et les objets connectés ?

Les applications mobiles et les objets connectés questionnent sur leur usage. Elles permettent de suivre des conseils personnalisés (glycémie, sommeil, alimentation, activité sportive, traitements médicaux) et peuvent, dans certains cas, être une aide au diagnostic pour les professionnels de santé. Le suivi en continu du patient pourrait permettre de réduire les hospitalisations et les durées de séjour. « Environ 250 000 applications médicales sont en vente quotidiennement. À l’horizon 2020, on comptabilisera 25 à 50 milliards d’objets connectés », énumère Vincent Trely, président de l’association pour la promotion de la sécurité de systèmes d’information de santé (APSSIS). Néanmoins, il existe des limites sur la fiabilité des objets connectés. Des inquiétudes subsistent sur la régulation des données de santé et notamment leur confidentialité. De plus, la législation n’est pas la même d’un pays à l’autre. Les fonctions proposées varient aussi, allant de la collecte, à l’enregistrement ou à la conservation des données de santé. « Il est nécessaire d’instaurer une homologation avant l’utilisation de ces objets connectés dans les services de santé », plaide Vincent Trely. L’arrivée de la 5G, sur laquelle Monaco Telecom, avec l’appui du constructeur chinois Huawei, a promis d’être pionnier, facilitera le fonctionnement des objets connectés. Multipliant aussi de facto le risque d’être confronté à des failles potentielles de sécurité. Le cabinet Deloitte estime que d’ici 2020, plus de 50 opérateurs proposeront de la 5G. Monaco Telecom devrait en faire partie. P.P.

 

Faut-il avoir peur de Huawei ?

Au Canada et aux Etats-Unis, le constructeur chinois Huawei fait l’objet de 13 chefs d’accusation liés à des violations des sanctions américaines contre l’Iran. Deux filiales de Huawei sont poursuivies pour association de malfaiteurs en vue de voler des secrets industriels. Du coup, depuis des mois, en Europe, plusieurs pays dont la France, craignent que les équipement de Huawei, notamment ceux mis en place pour la 5G, ne soient utilisés pour de l’espionnage au profit de Pékin. Le marché de la 5G est essentiellement monopolisé par le chinois Huawei, le finlandais Nokia et le suédois Ericsson. En principauté, Monaco Telecom travaille avec Huawei depuis 2012. En revanche, en France, l’heure est aussi à la méfiance. Le 25 février 2019, les députés la République en Marche (LaREM) ont annoncé qu’ils travaillaient sur une proposition de loi afin d’encadrer Huawei dans le déploiement de la 5G. Objectif affiché par ce futur texte : « Préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles ». Si Huawei n’a pas réagi, en marge du salon Mobile World Congress (MWC) de Barcelone, Ericsson, par la voix de Borje Ekholm, PDG de l’équipementier suédois, s’est dit opposé à ce genre d’encadrement : « Nous laisserons les décideurs politiques et les régulateurs faire leur choix et nous nous y adapterons mais nous pensons que des tests après production ne sont pas la bonne approche pour s’assurer d’un niveau suffisant de sécurité pour les réseaux. » Du côté monégasque, le gouvernement affirme suivre « avec grande attention » les évolutions de ce dossier. « Je tiens à rappeler que Huawei est accusé mais pas condamné !», répond le délégué interministériel pour la transition numérique, Frédéric Genta. Estimant que « toute réaction serait aujourd’hui prématurée », le gouvernement rappelle que « Huawei avait, et a toujours, la technologie la plus performante, particulièrement en 4G et en 5G ». Quant au volet sécurité, le délégué interministériel rappelle que « dès 2016, sous l’impulsion de l’autorité monégasque de sécurité numérique (AMSN), a été installé un système de contrôle strict de toutes les interactions de ses équipements et installations avec l’ensemble de ses fournisseurs, y compris Huawei. Ce système est en place et étendu à tout nouveau déploiement. C’est ce type de fonctionnalité qui est aujourd’hui en discussion dans d’autres pays d’Europe, comme la France. Il y est demandé aux opérateurs de garantir un contrôle effectif sur leurs prestataires et sous-traitants avant toute autorisation d’équipement sensible ». R.B.

 

Hackers : les plus grands sont déjà tombés

Dans les pages qui suivent, le hacker Baptiste Robert explique à Monaco Hebdo pourquoi aucun système informatique relié à internet ne peut prétendre à une sécurité totale. « Rien n’est inviolable », quel que soit le budget consacré à la sécurité. Au fond, ce n’est pas une question d’argent, mais d’inventivité. Et les hackers n’en manquent pas. Pour s’en convaincre, il suffit de regarder les grands noms qui sont tombés, les uns après les autres. Gouvernements ou grandes entreprises, peu importe, tous ont plié devant l’ingéniosité des pirates informatiques. Celui qui revient le plus souvent ces derniers temps, c’est Facebook. En septembre 2018, un hacker est parvenu à prendre le contrôle de 50 millions de comptes. Autre exemple : Gary McKinnon, un chômeur de 40 ans surnommé le « plus grand pirate informatique de tout les temps », a piraté en 2001 et 2002 des ordinateurs de l’armée, de la marine, du Pentagone et de la Nasa. En 2015, le groupe de hackers russes CozyBear a mis la main sur 4 000 e-mails des employés civils et militaires du Pentagone, des e-mails importants mais qui n’étaient pas classés secret défense. Le géant Sony a aussi été attaqué en avril 2011. Bilan : les données personnelles de 77 millions d’utilisateurs, dont les coordonnées bancaires de plusieurs dizaines de milliers de joueurs, ont fuité. En novembre 2014, c’est Sony Pictures Entertainment qui est victime de hackers qui mettent notamment la main sur le scénario du prochain James Bond. Autre victime : la filiale Starwood du groupe Marriott qui s’est fait volé en novembre 2018 les données de 500 millions de clients de cette chaîne d’hôtels. En janvier 2019, les données personnelles de plusieurs centaines de politiciens, dont la Chancelière Angela Merkel, ont été dérobées. A Singapour, en janvier 2019, 14 200 dossiers médicaux ont été piratés. Des noms, des adresses et le statut VIH ont été rendus public sur internet. C’est la deuxième très grosse faille enregistrée par la cité-Etat, souvent présentée comme un modèle de smart city et donc, de ville connectée. En juillet 2018, des hackers ont mis la main sur 1,5 million de dossiers médicaux de Singapouriens, dont celui du premier ministre, Lee Hsien Loong. Encore plus fort : aux Etats-Unis, on estime qu’entre 2010 et 2017, environ 176 millions de dossiers de santé ont été piratés. Et tous les experts sont formels : cette tendance devrait s’accentuer encore dans les années à venir. R.B.

 

Suite du dossier :

Baptiste Robert : « Rien n’est inviolable »

journalistLa Rédaction