Stupeur après le piratage du Seco
La plateforme gérée par le Secrétariat d’Etat à l’économie EasyGov, sur laquelle des milliers d’entreprises ont déposé leur demande de crédit Covid-19, a été piratée en août. Experts et politiques considèrent que cette situation doit servir de leçon
Au moins 130000 noms d’entreprises suisses ont été dérobés par des pirates informatiques. Toutes ont fait une demande de crédit Covid-19 en 2020 sur la plateforme EasyGov. En tant qu’exploitant du site Easygov. swiss, c’est le Secrétariat d’Etat à l’économie (Seco) qui a annoncé par voie de communiqué, ce jeudi 21 octobre, l’existence de cette cyberattaque remontant au mois d’août.
Contacté, le Seco assure que seule cette liste contenant «les noms des entreprises, leur numéro UID et l’information indiquant si un crédit covid leur a été accordé ou non» a été volée. Le montant de ce crédit n’aurait, quant à lui, pas fuité. Les auteurs, encore non identifiés, ont profité d’une faille de sécurité pour mener cette opération. Et selon le Seco, il n’y en a pas d’autres. Quelques minutes après son signalement, mardi dernier, «nous avons immédiatement rendu l’accès à ces données impossible et supprimé celles-ci», indique-t-il. Une enquête est toujours en cours avec l’assistance du Centre national pour la cybersécurité (NCSC).
Les cyberattaques sont fréquentes sur le territoire ces derniers temps. Il y a d’abord eu l’espionnage du groupe de défense et d’armement Ruag en mai 2016, un nombre important d’entreprises victimes de ransomware – ou rançongiciels – comme le comparateur en ligne Comparis en juillet 2021, puis le piratage de l’administration communale de Rolle au mois d’août, suivi par celui de la ville de Montreux et de communes voisines début octobre. Une situation qui met en évidence la vulnérabilité de notre société qui repose sur le numérique.
Des failles sécuritaires
«Cela montre que nous avons un déficit en matière de défense informatique, réagit le conseiller national (PS/VD) Roger Nordmann. Qu’une petite commune ou une PME soit victime de cyberattaque, cela peut encore être explicable, mais que la Confédération soit touchée, c’est particulièrement grave, car ce sont des données fédérales.» Le délai de cette communication, «deux mois après l’attaque», pointe-t-il, serait un autre élément problématique. «C’est tard et cela peut nuire à la confiance des citoyens envers l’Etat. En Estonie, un pays à la pointe de la numérisation, les communications sur les failles ou problèmes rencontrés sont immédiatement révélées.»
La nouvelle loi sur la protection des données adoptée par le parlement en automne 2020 stipule que l’annonce d’un cas de violation de la sécurité doit être faite auprès du préposé fédéral à la protection des données «dans les meilleurs délais». Une rédaction juridique «assez vague» pour Florence Bettschart-Narbel, membre du Grand Conseil vaudois (PLR) et avocate spécialiste de la loi sur la protection des données. «Le règlement européen fixe de son côté un délai de 72 heures», note celle pour qui notre société est en train de changer de paradigme.
«Nous accordons plus d’importance à nos données, mais les moyens légaux restent faibles et le cadre juridique doit être précisément défini, poursuit-elle. Personne n’est à l’abri d’une cyberattaque et cela va être de plus en plus compliqué de garantir la sécurité du monde numérique et d’évaluer qui sont les responsables.» En l’occurrence, elle estime que les noms d’EasyGov sont «des données sensibles, car elles donnent des informations non négligeables sur ces 130000 entreprises».
«Situation de vulnérabilité»
Pour Gerhard Andrey, conseiller national (Vert·e·s/FR) et entrepreneur dans le numérique, «c’est la crédibilité de nos institutions qui est ébranlée avec ce genre de perte de données». Face à la numérisation de notre société accélérée par la pandémie, «nous sommes dans une situation de vulnérabilité. Le marché des données dérobées ne cesse de grandir et de se professionnaliser. La protection permanente de nos infrastructures et une réelle prise de conscience du danger devraient être une priorité.»
Un sentiment d’urgence qui transparaît aussi dans les propos d’Alexis Roussel, cofondateur de la plateforme de trading de cryptomonnaies Bity. com. «La maison brûle, résumet-il. Et l’administration fédérale n’en a pas conscience ou refuse volontairement de le voir. La croyance du «tout est sous contrôle» perdure alors que nos institutions sont dépassées par la situation. Les stratégies de cybersécurité sont quasi inexistantes dans le pays, pour respecter l’intégrité numérique des citoyens et citoyennes. Nos données sont mises en danger par la faute de l’absence d’une politique claire sur le sujet alors qu’aujourd’hui elles sont traitées par le milieu administratif sans que l’on ait donné notre consentement.» ▅
«C’est la crédibilité de nos institutions qui est ébranlée avec ce genre de perte de données» GERHARD ANDREY, CONSEILLER NATIONAL (VERTS/FR)