Le prix à payer pour une faille de sécurité - Le cas des services publics français

Laptop

Hôpitaux paralysés, entreprises à l’arrêt, villes et agglomérations immobilisées, les actualités de ces dernières semaines en France relatent de nombreux incidents de cybersécurité. Malheureusement, ces actualités ne datent pas d’hier. Depuis le milieu des années 2010, les cybermenaces ne cessent d’augmenter et le modus operandi des cybercriminels se professionnalise.[1] Leurs portées et nombre se sont vus amplifiés avec la pandémie de Covid-19 et ne semblent pas être en voie de s’arrêter. Au contraire, des États membres de l’Union européenne (UE), y compris la France, doivent faire face à des « rançongiciels » ciblant les infrastructures et établissements de santé[2], comme ce fut le cas pour l’hôpital de Villefranche-sur-Saône le 16 février dernier[3]. Plus récemment encore, une fuite de données médicales d’origine inconnue[4] a entraîné la diffusion des données personnelles de plus de 500 000 patients français[5]. Vraisemblablement dérobées à des laboratoires, chaque ligne du fichier circulant sur la toile contient une soixantaine d’entrées par patients, y compris les mots de passe pour accéder aux résultats d’analyse, les états de santé, les diagnostics, ou bien encore, les traitements.

En corrélation avec la transition numérique, le degré de digitalisation des services publics est en constante évolution, et cela concerne la quasi-totalité des secteurs. Le prochain à connaître une évolution digitale majeure sera le secteur des finances publiques. En effet, dans le cadre de la mise en place de l’article 153 de la loi de finances pour 2020, la transmission électronique des données de facturation des entreprises (reporting) va devenir obligatoire. Maintenant, imaginez la fuite de données médicales mentionnée ci-dessus en fuite de données financières des entreprises. Ou bien, imaginez un rançongiciel prendre en otage la future plateforme de transmission. L’activité économique de la France serait lourdement impactée et la compétitivité des entreprises pourrait être compromise. Néanmoins, l’État a conscience de la menace et sait l’importance de la sécurité informatique. Ainsi, c’est un plan à un peu plus d’un milliard, dont 720 millions issus des fonds publics, qui a été lancé pour faire face à la cybercriminalité[6].

Dans cet article, nous allons faire le point sur ce qu’est une faille de sécurité, les risques encourus et l’importance d’un système sécurisé. Par la suite, nous évoquerons les enjeux de la protection des données. Enfin, nous vous expliquerons comment, grâce à notre système de reporting confidentiel en temps réel (reporting), nous avons créé une solution capable de réduire la fraude à la TVA, augmenter les recettes fiscales brutes de l’État, tout en garantissant une sécurisation optimale des données.

Cybersécurité & cybermenace : un casse-tête pour l’État

Risque inhérent de la transition numérique, la cybermenace est l’épine dans le pied de l’État qui cherche à améliorer les services publics et la compétitivité des entreprises à travers la digitalisation. On discerne plusieurs types de cybermenace : (1) l’exploitation d’une ou plusieurs faille(s) dans le système ; (2) les virus, cheval de Troie et autres fonctionnalités malveillantes dissimulées au sein d’une application/logiciel légitime ; (3) les logiciels malveillants ou malware, incluant les rançongiciels[7]. Ses différents types de cybermenace peuvent être utilisés à différentes fins. Généralement, concernant les services publics et entreprises, les principales préoccupations se portent envers l’espionnage, les données et systèmes informatiques pris en otage, et la revente de données piratées[8]. Il s’avérerait même que les pirates informatiques ciblent les infrastructures et services publics clés afin de paralyser certaines collectivités ou services. Cela leur permet d’exercer une pression accrue et de forcer les services concernés à se plier à leurs demandes sous peine de rester immobilisés. En 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a constaté que près de 20 % des victimes de rançongiciels étaient des collectivités locales, et près de 11 %, des hôpitaux[9].

Afin de faire face à la menace, le Gouvernement a annoncé, le 18 février dernier, la stratégie française, articulée en 5 axes, pour faire face à la « menace cyber ». D’une part, le Gouvernement souhaite développer des solutions souveraines en cybersécurité, ainsi que soutenir l’adoption desdites solutions par les entreprises, les collectivités, les individus et l’État. L’objectif serait également de former les professionnels et les jeunes aux métiers de la cybersécurité, et de renforcer les liens entre les acteurs de la filière. Enfin, l’État va injecter près d’un milliard d’euros pour soutenir cette stratégie. Si ce plan semble de grande envergure, notamment au niveau de l’investissement, c’est que les pertes de ressources financières, humaines et logistiques en cas d’incidents de cybersécurité peuvent être faramineuses. Heureusement, chez summitto nous avons une solution pour aider le Gouvernement à augmenter ses recettes fiscales en garantissant la sécurité des données. Mais avant d’aborder notre solution, revenons sur les enjeux de la cybersécurité.

Les enjeux de la cyberprotection

Les enjeux de la cyberprotection, englobant la protection des données et des systèmes informatiques, sont multidimensionnels. En effet, d’une part, les données personnelles et sensibles se doivent d’être strictement protégées, et d’autre part les systèmes informatiques doivent pouvoir opérer continuellement, sans mettre en péril l’intégrité des données et le bon fonctionnement des structures. En pratique, cela veut dire que les systèmes informatiques doivent être impénétrables. Reprenons les exemples précédemment mentionnés, notamment la fuite de données médicales. Selon les informations disponibles à ce sujet, la faille de sécurité n’a pas été détectée, le système d’alerte n’a pas été déclenché et la faille n’a été constatée que lorsque 4 pirates informatiques, qui ont tenté de commercialiser le fichier, se sont querellés publiquement sur des chaînes Telegram[10]. Pour se venger des autres, l’un a diffusé les données sans les commercialiser. S’ils avaient voulu les commercialiser, ils auraient pu vendre le fichier dans son intégralité ou faire du chantage aux patients figurant dans la liste. Dedalus France est mis en cause dans cette affaire car il s’avérerait que les laboratoires piratés utilisent, tous, un logiciel de renseignement médico-administratif émis par ce dernier. Dedalus France a indiqué mener une enquête approfondie lors d’un communiqué de presse mais la faille ne donne pas l’impression d’avoir été identifiée. Si la faille n’a pas été identifiée, comment pourrait-on prévenir la prochaine fuite de données d’avoir lieu ?

Maintenant, imaginez ce cas de figure lorsqu’un système de transmission de données de facturation sera rendu obligatoire. Si plus de 500 000 factures et/ou déclaration, incluant les informations tarifaires, les recettes d’une entreprise, les échanges commerciaux, et bien d’autres, venaient à être publiées en ligne, les répercussions seraient désastreuses. Cela donnerait un avantage non-négligeable aux concurrents des entreprises visées, cela ternirait les relations commerciales entre fournisseur et acheteur, cela pourrait nuire à la réputation de l’entreprise, et ainsi de suite. Dans ce cas de figure, étant donné que l’État a rendu obligatoire le reporting, l’État serait donc responsable d’assurer la sécurité des données financières qui vont être envoyées à l’administration fiscale. De plus, de constater que de telles failles existent présentement peut instaurer un climat de défiance vis-à-vis des mesures à venir, inscrites dans la transition digitale. En plus de cela, résoudre les failles en cybersécurité à un prix, et pas des moindres. Il faut tester le système, identifier les failles, trouver des solutions pour les colmater, il faut trouver le personnel qualifié, et le personnel pour maintenir le système. Heureusement, les dernières avancées technologiques offrent des solutions efficaces, simples et totalement sécurisées.

Réduire les coûts d’investissement en augmentant la fiabilité et la protection des systèmes

Nous vous avons déjà expliqué en détail le reporting en temps réel dans cet article, mais si vous n’avez pas eu l’occasion de le parcourir, voici un bref résumé. Le reporting est l’obligation d’une entreprise à transmettre ses données de facturation sous format électronique. Son objectif est simple : clore l’écart de TVA tout en augmentant la compétitivité des entreprises en simplifiant les démarches administratives. Le reporting n’a pas besoin d’être associé à l’e-invoicing (facturation électronique sous format structuré) pour être efficace car les performances dépendent du système choisi et de la technologie employée. Le rappel terminologique étant fait, laissez nous vous présenter TX++, une solution fiable, sécurisée et innovante en open source, qui protège les données financières des entreprises et réduit l’écart de TVA.

En ayant choisi de reposer notre système sur la blockchain, nous avons éliminé le point de défaillance unique du système. Un point de défaillance unique renvoie à un « point » dont le reste du système dépend. Cela veut dire que si ce point est défaillant, l’entièreté du système cessera de fonctionner. Il peut devenir défaillant à cause de cyberattaques ciblées, de virus, mais aussi à cause de pannes « physiques » telles qu’une coupure de courant, une dégradation volontaire ou involontaire, un câble débranché, etc. Nous avons donc supprimé ce point de défaillance unique en utilisant la technologie de la blockchain qui nous permet d’avoir une architecture décentralisée. C’est l’un des avantages à utiliser la blockchain, le réseau permet une distribution dégroupée augmentant la résistance du système. En d’autres termes, au lieu d’utiliser un ordinateur et un serveur, une multitude d’ordinateurs et de serveurs sont utilisés, garantissant ainsi l’intégrité de la chaîne et des données.

Chez summitto, nous sommes également convaincus qu’ajouter une couche de protection supplémentaire ne peut être que bénéfique pour les entreprises qui auront à utiliser notre système. Ainsi, toutes les données financières passant par notre portail TX++ sont chiffrées. Cependant, cela n’empêche pas l’administration fiscale d’effectuer ses contrôles, au contraire, cela permet de faciliter les vérifications systématiques qui rendent possible le système d’alerte précoce. Le fonctionnement de ce système est simple : lorsqu’un contribuable rentre ses données de facturation dans le système, une empreinte numérique chiffrée est créée. Cette empreinte numérique chiffrée sera automatiquement liée à la facture client ou fournisseur correspondante. S’il y a des contradictions entre les deux empreintes, une alerte sera envoyée à l’administration fiscale. De cette façon, les tentatives de fraude à la TVA sont d’emblée détectées. L’écart de TVA représente actuellement entre 7 et 8 % de perte en revenu du rendement brut de l’État français par an[11]. Ces pertes pourraient facilement être recouvrées avec TX++, tout en garantissant l’intégrité des données et des systèmes.

Enfin, nous avons voulu nous inscrire dans une démarche éthique de gestion des données. C’est simple : vos données personnelles et financières ne nous intéressent pas. Nous ne voulons ni les consulter, ni les collecter, ni les utiliser. Au contraire, nous voulons que les contribuables soient maîtres de leurs données. Pour ce faire, lorsque les données sont cryptées, seul le propriétaire des données à la clé pour les déchiffrer. Même en cas de contrôle, l’administration fiscale doit demander le consentement du détenteur des données afin de pouvoir les consulter. Dans l’hypothèse très peu probable qu’un pirate réussirait à pénétrer dans notre système, il ne pourrait avoir accès qu’aux empreintes numériques chiffrées dont seul le propriétaire à la clé.

Conclusion

Depuis le début des années 2010, les cybermenaces visant les services publics ont prospéré en parallèle de la transition numérique. Si ses menaces ne sont pas à prendre à la légère, elles ne sont pas inévitables. En effet, en utilisant la technologie de la blockchain, TX++ apporte une solution aux problèmes de cybermenaces visant l’exploitation de failles, protégeant ainsi les données financières des entreprises. Grâce à son architecture décentralisée, TX++ élimine le point de défaillance unique, rendant le système bien plus résistant face aux cybermenaces.

De plus, TX++ est disponible en open source, ce qui veut dire que l’administration fiscale serait en mesure de contrôler les modalités de la plateforme, sans que les questions de souveraineté ne viennent interférer dans le bon déroulement des opérations. C’est en rendant les nouvelles technologies et innovations accessibles à tous que nous serons en mesure de nous protéger, de collaborer, de renforcer les synergies et de développer une éthique de la gestion des données.

[1] Dossier de Presse du Gouvernement, Cybersécurité, faire face à la menace : la stratégie française, février 2021, p.7

[2] Interpol, Cybercriminalité : Impact du Covid-19, 2020, p.7

[3] Franceinfo, ‘Cyberattaque : l’hôpital de Villefranche-sur-Saône (Rhône) paralysé’, publié et mis à jour le 16/02/2021, accessible en ligne à : https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaque-lhopital-de-villefranche-sur-saone-rhone-paralyse_4299685.html

[4] À ce jour

[5] Franceinfo, ‘Piratage informatique : ce que l’on sait de la fuite de données médicales de près de 500 000 patients français’, publié et mis à jour le 24/02/2021, accessible en ligne à : < https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/piratage-informatique-ce-que-l-on-sait-de-la-fuite-de-donnees-medicales-de-pres-de-500-000-patients-francais_4308983.html >

[6] Dossier ‘Cybersécurité’ (n1) p.6

[7] Vie publique, ‘Qu’est-ce qu’une cybermenace ?’, publié le 02/07/2020, accessible à < https://www.vie-publique.fr/fiches/274940-quest-ce-quune-cybermenace >

[8] Dossier ‘Cybersécurité’ (n1) p.7

[9] Dossier ‘Cybersécurité’ (n1) pp.7-8

[10] Article ‘Piratage informatique’ (n4)

[11] Dossier de Presse du Gouvernement, Cybersécurité, faire face à la menace : la stratégie française, février 2021, p.15