ÉDITORIAL. Le trou béant laissé par les CFF dans sa base de données est le dernier épisode d’une longue série. De quoi s’interroger sur les moyens que met en œuvre ce pays pour protéger les informations

Des problèmes de sécurité, jusqu’à l’overdose. Plus une semaine ne se passe sans qu’un incident numérique majeur soit signalé en Suisse. Il y a eu le piratage des systèmes de l’importateur automobile Emil Frey, paralysant son informatique. Puis le vol des données dans les serveurs du CICR. Et ce lundi, l’annonce par les CFF d’un trou béant laissé dans leur base de données, comprenant les informations de déplacement de centaines de milliers de ses clients. Cette cascade d’événements suscite une question de taille: la Suisse a-t-elle un problème avec ses données?
Lire aussi: La faille avouée par les CFF suscite plusieurs questions
Certes, chaque situation est différente. Et l’on se garderait bien de comparer les pratiques d’une grande entreprise, d’une ONG et d’une ex-régie fédérale. Reste que la phrase maintes fois entendue – «la sécurité à 100% n’existe pas» – n’est plus suffisante. Bien sûr, protéger des bases de données, des serveurs et des connexions est incroyablement difficile. Bien sûr, un attaquant déterminé, doté de moyens considérables, a de bonnes chances de parvenir à ses fins.
Des faiblesses consternantes
Mais se retrancher derrière ces excuses n’est pas acceptable. Surtout lorsqu’il s’agit de données personnelles précieuses, confiées à des organismes qui ont gagné notre confiance. En discutant avec des experts, en analysant certaines de ces attaques, on se rend compte de faiblesses consternantes.
Lire également: «Les CFF doivent cesser de collecter toutes ces données»
Ce sont des mises à jour logicielles importantes qui ne sont pas effectuées, c’est un personnel pas suffisamment formé à la sécurité, c’est un management peu au fait des menaces numériques… La liste est longue. Et ces failles béantes sont souvent créées par un manque de culture numérique, qui devrait s’enseigner très tôt et être par la suite sans cesse actualisée, que ce soit dans le secteur public ou privé.
Des réflexes essentiels
Aujourd’hui, un internaute est plus ou moins au fait des bonnes pratiques: ne pas réutiliser ses mots de passe, se méfier des courriels d’expéditeurs inconnus, ne pas cliquer sur n’importe quel lien… A un autre niveau, ces réflexes si essentiels doivent se retrouver dans de vastes organisations.
Cette amélioration de la culture numérique doit être menée par l’Etat: par des cours, des campagnes de sensibilisation, des alertes auprès des particuliers et des entreprises, la Confédération et les cantons doivent en faire plus. Il ne s’agit pas de demander à l’Etat de protéger chaque ordinateur. Mais d’insuffler à la Suisse, cette culture numérique de base qui fait tant défaut.
Lire finalement: Face aux cyberattaques, l’Etat n’est pas à la hauteur
Retrouvez tous les éditoriaux du «Temps».
Vos contributions
connexion créer un compte gratuit
Il y a 4 mois
Un grand bravo au journaliste Anouch pour son travail d'investigation et ses mises en garde continues concernant nos données qui comme on le voit sont bientôt en libre accès si ne rien est fait pour stopper ces fuites.
Et a Berne c'est le grand silence pas un officiel pour faire une déclaration sur l'attaque au CICR ainsi que la faille de sécurité aux C.F.F comme on dit circulez il n'y a rien à voir.
Il y a 4 mois
L'époque ressemble plutôt au "Crépuscule des Dieux". Je parie que dans moins de 10 ans, il n'y aura plus aucune confiance en les internets.
Il y a 4 mois
Assurément le F-35 va beaucoup aider la Suisse à régler ses problèmes imaginaires pendant que la réalité nous rappelle à son bon souvenir. Et dire qu'en plus la confédération va confier ses données à des sociétés privées internationales, dont certaines chinoises, alors qu'un savoir-faire local existe, comme par exemple la société Infomaniak. Le degré de bêtise atteint l'insondable.
Il y a 4 mois
La génération des décideurs actuels est encore dans la croyance qu'il suffit de reconvertir un ancien bunker de l'armée suisse en data center pour que l'information soit à l'abri. Ce serait à mourir de rire si l'incompétence de nos décideurs fédéraux n'était pas aussi dramatique pour l'avenir de nos "data".
Il y a 4 mois
La protection des données est actuellement obligatoire selon la loi (réglement européen GDPR et la loi auisse). Une brèche peut engendrer de grosses amendes. Une telle négligeance est fortement dommageable et désolante.
Il y a 4 mois
Tout d’abord il faut saluer la transparence des CFF !
Ce n’est de loin pas le cas de tous, comme par exemple Swisstransplant…
Mise à part du manque de formation à la sécurité et d’une culture numérique, ils faut savoir qu’ils utilisent tous des services Google, Facebook, Amazone etc. (Profil Trackers)
Comment peut on garantir la sécurité et la protection de données sachant que ces services peuvent contourner les mécanismes de sécurité…
Pis, ils peuvent intercepter des données personelles afin de les monnayer, et ils sont utilisés pour des Cyberattaques (Phishing) et des escroqueries.
Seule façon de garantir la sécurité et la protection de données personnelles est de cesser d’utiliser des services Google, Facebook, Amazon etc. et de ne pas récolter des donnés non essentielles.
Et oui, la Suisse à un problème en matière de sécurité et de protection de données, avec une lois datant de 1992 qui permet d’espionner et de traquer, sans vergogne, les utilisateurs a leur insu. Dans UE de telles pratiques sont interdit depuis mai 2018 (GDPR).
La confédération qui va confier nos données à des sociétés privées internationales comme Alibaba et Amazon…
Swiss Digital Initiative qui à inaugurer en grande pompe le Digital Trust Label, label de garantie de confiance et services numériques fiables, tout en utilisant des services Google…
L’incompétence la confédération est délirant
Il y a 4 mois
Une grande majorité des entreprises, associations et administrations suisses ont effectivement non pas un mais plusieurs problèmes avec la protection et souvent la conformité des données qu'elles traitent. Ce n'est pas nouveau : Rolle, CICR, CFF .. ne sont que les faces émergées intermittentes, et d'ailleurs pas les plus violentes à mon opinion, d'un socle largement lézardé depuis bien longtemps.
Comme la Confédération et les Cantons ne voudront / pourront pas agir, faudrait-il faire jouer les lois existantes, malgré leur portée limitée, pour faire des CFF un (contre-)exemple ? Façon Schrems II pour le Privacy Shield EU-US (et CH-US), en mode helvétique et toutes proportions gardées bien sûr ...
Eric Sinot
Nyon.
Il y a 4 mois
On veut pouvoir acheter facilement nos billets et que les CFF adaptent leur offre au mieux. C'est sans doute le prix à payer. Et il faut cesser de faire un plat parce que quelqu'un s'est amusé à copier des données qui ne servent à personne. Pour nous suivre à la trace, il y a Google et Facebook, c'est mieux.