Kaspersky, spécialiste cybersécurité, a tenu la semaine dernière son événement annuel Kaspersky Next dédié au futur des nouvelles technologies.
Tribune – Voici les cinq enseignements à retenir de cette édition 2020 autour de l’humain augmenté et de la sécurité des établissements de santé. N’hésitez pas à revenir vers nous si vous souhaitez échanger avec un expert cybersécurité de Kaspersky afin de creuser plus en détails ces questions et enjeux de sécurité en matière de santé.
Enseignement n°1 : Humain augmenté, impossible de trancher entre menace et opportunité
Si l’événement Kaspersky Next a rassemblé des experts de haut vol pour creuser les bénéfices, points d’ombre et enjeux en matière de sécurité et d’équité, le débat n’a pas permis de dégager un consensus définitif sur la manière dont doit être considéré l’humain numériquement augmenté.
Les chercheurs Kaspersky David Jacoby et Marco Preuss ont examiné les menaces et craintes suscitées par le concept d’augmentation humaine via des outils numériques, notamment la crainte du piratage, d’une potentielle implantation d’un quelconque programme ou contenu à l’insu de la personne, ou encore le vol d’identité. En termes d’éthique, ils ont également abordé la crainte de voir le fossé se creuser avec les individus les plus aisés, qui seuls pourraient accéder à ces technologies permettant de décupler les forces physiques ou intellectuelles.
Le transhumaniste américain Zoltan Istvan et le philosophe australien Julian Savulescu ont quant à eux une vision plus positive de la question, affirmant qu’à long terme, il sera préférable pour l’humanité de s’engager dans ces innovations. Pour eux, il a toujours existé historiquement des freins face à l’évolution des technologies. Il est pourtant nécessaire, selon eux, de rester tournés vers l’avenir.
Enfin, les opinions se rejoignent en ce qui concerne le domaine médical. Les évolutions technologiques permettant de véritables avancées, le potentiel de l’augmentation humaine est réel pour les personnes malades ou souffrant de déficiences.
Enseignement n°2 : Humain augmenté, savoir tirer les leçons du passé
La sécurité reste l’une des préoccupations majeures des débats sur l’humain augmenté. L’expérience acquise grâce à l’Internet des Objets peut à ce titre servir de référence. Ayant connu une accélération rapide et peu maîtrisée, l’IoT a fait prendre conscience des limites en matière de sécurité d’un déploiement prématuré, et de l’importance d’intégrer la notion de sécurité à tous les niveaux dès la conception de potentielles augmentations numériques de l’humain (on parle alors, entre autres, de security by design).
Par ailleurs, si l’IoT a émergé à travers des appareils physiques (caméras, voitures, objets divers…), l’augmentation humaine nécessite des dispositifs placés à l’intérieur du corps humain. Une réglementation en matière de sécurité et d’encadrement serait ainsi indispensable pour aller au-delà des dispositifs simples que nous connaissons aujourd’hui. De même, ne pas considérer les enjeux d’éthique, de réglementation et d’impact sur les individus et la société dans son ensemble serait dangereux, de l’avis de l’ensemble des participants à l’événement.
Enfin, l’une des principales conclusions de ce rendez-vous est le sentiment que les tendances du marché, et non pas la réglementation stratégique, dicteront l’accélération de l’augmentation humaine.
Enseignement n°3 : De la nécessité d’anticiper les menaces – Cerberus, un malware toujours actif
L’événement s’est penché sur Cerberus, un malware Android que l’on croyait disparu des radars depuis l’année dernière. Or, les chercheurs de Kaspersky ont constaté récemment une recrudescence des infections touchant les applications mobiles et ayant pour but de dérober de l’argent. Un retour en force de Cerberus qui fait suite à la fuite de son code source complet sur des forums clandestins en juillet dernier.
Dmitry Galov, expert Kaspersky, est revenu sur cette réincarnation, mais aussi sur les fonctionnalités de Cerberus : la fonction d’authentification à deux facteurs et l’outil d’accès à distance (RAT) permettent au malware, désormais gratuit, de voler et d’envoyer des codes SMS, d’ouvrir des overlays personnalisés pour les applications bancaires et même d’accéder aux coordonnées et aux cartes bancaires.
Une analyse qui démontre encore une fois l’importance, pour les utilisateurs de services bancaires sur mobile, d’adopter des mesures de protection adaptées, et ce, par anticipation. En particulier sur les outils mobiles et IoT, utilisés en fin de chaîne et qui représentent le maillon le plus faible et donc le plus exposé.
Enseignement n°4 : Cyberattaques, les hôpitaux ne sont pas à l’abri
Preuve que la Covid-19 et le confinement ont été perçus comme des opportunités par les cybercriminels, Kaspersky a constaté en mars 2020 une augmentation de 30 000 % du nombre de phishing, de sites web malveillants et de malwares. On aurait pu croire que le secteur de la santé, indispensable à la lutte contre la pandémie, serait épargné par ces attaques malveillantes. Ce ne fut pas le cas. A titre d’exemple, l’AP-HP a fait l’objet fin mars 2020 d’une attaque informatique, et l’OMS a été utilisée comme appât par de nombreux cybercriminels dans des campagnes de phishing.
Des menaces qui ont mis en lumière certaines failles auxquelles est confronté le secteur médical, ainsi qu’un manque de sensibilisation aux risques cyber : hôpitaux ne disposant pas toujours d’une équipe technique, ou encore médecins utilisant – voire perdant – les données de leurs patients depuis leur domicile.
Enseignement n°5 : Cyberattaques, la mobilisation est globale
L’événement Kaspersky Next a été l’occasion de souligner ce que peut apporter la sécurité informatique à travers la présentation de Cyber Volunteers 19. Cette initiative, qui rassemble des milliers de volontaires avec pour objectif de conseiller les institutions de santé européennes en matière de risques liés aux cybermenaces, a beaucoup œuvré ces derniers mois pour la protection de ces institutions. Et d’autres initiatives sont actuellement à l’œuvre, à l’image de la campagne de sensibilisation à la cybersécurité menée par les CERT (Computer Emergency Response Team).
Des mouvements qui témoignent d’une certaine prise de conscience du secteur de la santé en matière de cybersécurité.
Les commentaires sont fermés.