coronavirus

La maladie COVID-19 en France.. entraine dans les médias des infos douteuses, voire des infox !

Covid-19 et Infox

Depuis février-mars 2020,  après la Chine, l’Iran, l’Italie et les États-Unis, la France a été atteinte par la pandémie mondiale du Coronavirus, la maladie « Covid-19 », ou « Covid ». On a dénombré en mai 2020, environ 40 000 cas positifs avérés et près de 28 000 décès, à la fois dans les services hospitaliers et dans les Établissements d’Hospitalisation des Personnes Âgées Dépendantes (EHPAD).

On rappelle que le terme « coronavirus » ou « virus à couronne » désigne une famille de virus, dont le noyau est garni extérieurement de projections bulbaires. Depuis 2002, le monde a subi deux de ces virus, le SARS-CoV (syndrome respiratoire aigu sévère) et le MERS-CoV-2. Fin 2019 se développe, à partir de la Chine, un troisième coronavirus, le SARS-CoV-2, entrainant une pandémie sur la quasi-totalité des pays du globe, elle-même appelée COVID-19.

Entre le 17 mars et le 10 mai, la quasi-totalité des Français, à l’exception des salariés de « services essentiels », a été soumise à un  confinement  domestique, c’est-à-dire à une astreinte à garder le domicile, sauf pour une seule sortie d’une heure, dûment justifiée, incluant des « mesures-barrière » et une attestation de sortie conforme.

Durant cette période, dans les foyers confinés équipés d’Internet, le nombre de connexions a explosé dans plusieurs domaines :

  • comme en temps normal, pour  les achats en ligne (alimentaires, loisirs, vidéos…) et les échanges ordinaires (messageries, réseaux sociaux,…) ;
  • de plus, pour des échanges professionnels (télétravail), pour l’enseignement scolaire des enfants à distance et surtout pour le télétravail chez des salariés qui avaient choisi le confinement et non la présence physique dans l’entreprise.

Mais, on le sait, Internet présente, en même temps que beaucoup d’avantages techniques (rapidité, interactivité, coût négligeable…), des risques soit anciens (virus, spams, phishing, usurpations d’identité…), soit nouveaux à travers des informations non recoupées ou fantaisistes, voire des « fakes » ; celles-ci font  l’objet de cet article.

N.B. – pour des généralités sur ce dernier thème (définitions, motivations des fakes et infox, « fast checking », etc.), on se reportera utilement à la Lettre ADELI n°114 d’hiver 2019. À ce jour, une grande majorité d’infox sont de type politique, elles impactent directement ce secteur ; on ne peut parler de « dangerosité ». S’agissant de santé publique, bien évidemment, les fausses informations peuvent entraîner des conséquences beaucoup plus dangereuses sur la population. Citons le journaliste Thomas Huchon dans « chut.media » :

« Des gens considèrent que la maladie n’existe pas, parce qu’on ne voit pas de malades ; d’autres échangent sur les meilleurs moyens de se soigner, et cela peut tuer. »

Infos douteuses, infox sur les thèmes médicaux proprement dits

Le coronavirus est relativement nouveau dans la galaxie scientifique et médicale.

De plus, en France, le délai entre la mise au point d’un traitement, protocole ou vaccin et son autorisation de mise sur le marché et de diffusion se mesure en mois voire en années. En effet, il est tributaire d’avis scientifiques et d’autorisations administratives de très haut niveau, ce qui induit une période de « traitement provisoire de l’épidémie » par des mesures médicales et politiques et, dans le monde médiatique actuel, laisse libre cours à tous les débats et aux désinformations possibles.

Nombre de scientifiques et médecins se sont relayés sur les chaines d’information et réseaux sociaux, qui pour commenter l’évolution de la pandémie, qui pour disserter sur les traitements et vaccins envisageables, pas toujours avec le recul scientifique nécessaire. Chacun d’eux a présenté ses hypothèses, prodigué ses conseils, à la fois aux autorités sanitaires, aux décideurs politiques et aux citoyens. Ci-après, les circuits généraux d’information pendant l’épidémie (on constatera la multiplicité des interlocuteurs (scientifiques, décideurs) dans le rectangle en haut et à gauche).Schéma infox épidémie coronavirus

  • Aux USA, la classe politique au pouvoir a prétendu que le virus s’était « échappé » d’un laboratoire de virologie de la ville foyer de Wuhan.
    Cette thèse n’a jamais reçu de validation officielle.
  • En France, une posture médicale particulièrement médiatique a été celle du Professeur Didier Raoult, infectiologue, Directeur de l’IHU de la Timone à Marseille.

Dans un premier temps, il a proclamé le peu de dangerosité du virus (démenti par la suite) :

https://rmc.bfmtv.com/mediaplayer/video/coronavirus-il-n-y-a-pas-de-raison-d-avoir-peur-assure-le-professeur-didier-raoult-specialiste-des-maladies-infectieuses-1219765.html

Ensuite, il a proposé à Marseille des traitements de cas de la maladie  du COVID-19  à base d’un médicament antipaludique. Ce dernier, bien qu’efficace dans certains cas, mais compte tenu d’effets secondaires nombreux, a été publiquement contesté, et les conséquences d’un regain de consommation du produit dans plusieurs pays sans connaitre les risques et effets ont pu s’avérer risquées. Cependant Didier Raoult continue à bénéficier d’une grande popularité en France, à ce stade de l’épidémie : on peut parler d’un « camp Raoult »…

  • Un autre message Twitter publié au mois de mai 2020 autour du Docteur Raoult  (citation) :

Ils savent que tout ce tapage du #coronavirus est une supercherie, le #virus est terminé (voir #Raoult), donc les #masques sont inutiles en plus d’être nocifs. Pourquoi mettre au pas la population et la priver de ses droits et libertés ? #ReveillonsNous #StopSideration. Il n’y a jamais eu de virus de toute façon, car juste une manipulation de la haute sphère.

  • Par ailleurs, toujours en France, un chercheur épidémiologiste, a fait part sur le fond des résultats d’un modèle mathématique faisant remonter l’épidémie en Chine, non à décembre 2019, mais à l’automne 2019 ; ce qui lui attribuerait une contagiosité plus faible. Là encore, aucune validation officielle.
    Lire la suite
22301

A propos de continuité d’activité

Une norme pour la Continuité d’activité

Dans le cadre des rencontres-débat d’ADELI, Paul Théron nous avait présenté en 2008 le management de la continuité d’activité et François Tête, en 2016 le plan de continuité d’activité.

À l’occasion de la révision de la norme ISO 22301, intervenue fin 2019, l’ISO propose aujourd’hui en téléchargement une brochure gratuite d’information.

Cette norme peut faire l’objet d’une certification, par un organisme habilité tel qu’Afnor certification.

Cybersécurité Panneau danger élan

Cybersécurité en 2019, parlons-en!

La cybersécurité, quesaco?

Le dictionnaire Larousse donne pour ” cyber ” la définition suivante:

Préfixe servant à former de très nombreux mots relatifs à l’utilisation du réseau Internet.

La cybersécurité serait donc la sécurité du réseau Internet. Elle a pour objectif la protection des actifs d’information (les assets en anglais) ainsi que la confiance des utilisateurs et plus généralement de toutes les parties prenantes. La cybersécurité n’est ainsi qu’un sous-ensemble de la sécurité des systèmes d’information, se focalisant sur un type de risques et de menaces particuliers. On ne saurait les dissocier.

De façon désormais classique, la sécurité informatique se définit par ses 3 attributs que sont la disponibilité, l’intégrité et la confidentialité, auxquels on rajoute généralement l’auditabilité.

  • Disponibilité: l’information obtenue avec un temps de réponse satisfaisant au moment opportun.
  • Intégrité: l’information se doit d’être exempte d’erreur ou de falsification liée à des actes malveillants.
  • Confidentialité: les informations ne sont accessibles qu’aux seules personnes autorisées.
  • Preuve (auditabilité) : les accès et tentatives d’accès aux informations sont tracés (traces conservées et exploitables).

La normalisation dans le domaine de la sécurité informatique est particulièrement riche et incontournable pour les professionnels des systèmes d’information. De nombreux articles ont été écrits à ce sujet dans la Lettre d’ADELI.

En matière de sécurité, la bonne pratique générale consiste à réduire les risques. Chacun y va de ses conseils en matière de gestion de mot de passe ou de détection des phishings.  On peut suivre avec profit le MOOC de l’ANSSI. Sauvegardes régulières et antivirus à jour sont un minimum pour le particulier. Pour les entreprises, formation et sensibilisation du personnel sont indispensables, le risque majeur étant le risque humain.

Évaluer les risques

Pour réduire les risques, il faut commencer par les évaluer. Les méthodes usuelles d’évaluation des risques sont applicables aux risques de cybersécurité. Il en existe plusieurs, telles qu’Ebios ou Mehari, qui reposent toutes sur des schémas similaires.

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a ainsi développé avec le club Ebios la méthode EBIOS Risk Manager qui “permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser”.

Première question: quels sont les actifs à protéger ? Pour une entreprise tout comme pour un particulier, il s’agit d’identifier les données indispensables au fonctionnement du système d’information, mais aussi les logiciels et les équipements dont les défauts et défaillances pourraient compromettre le bon fonctionnement.

Quels processus utilisent ces actifs? et à quelles menaces sont-ils exposés ? La menace est un événement redouté, la principale difficulté étant d’imaginer et de se représenter de la façon la plus exhaustive possible l’ensemble des menaces potentielles.

Quelle est la probabilité d’occurrence ou vraisemblance de l’événement redouté ?

Quel est l’impact potentiel ou gravité de chaque menace identifiée ?

Gravité et vraisemblance doivent être évaluées, ce qui permet d’en évaluer la criticité. Le résultat est généralement présenté sous forme d’une matrice de risque.

Matrice de risque

Exemple de matrice de risque (source Ebios Risk Manager)

Traiter les risques

On s’intéressera en priorité aux risques les plus critiques, ceux qui associent une probabilité élevée et un impact critique. Les risques à faible probabilité et impact faible sont jugés acceptables.

Pour réduire un risque on peut en réduire les effets, par la mise en place de solutions de secours, et en prévenir les causes.

Réduction du risque

Quelques exemples (non exhaustifs de mesures de sécurité)

Mesures préventives

  • Veille permanente sur les menaces
  • Sensibilisation du personnel
    • bonnes pratiques de gestion des mots de passe
    • antivirus à jour
  • Définition des rôles et responsabilités
  • Audits de sécurité
  • Sélection et audits des prestataires
  • Contrôles d’accès physiques
  • Mise en place et surveillance du pare-feu
  • Sauvegardes régulières
  • Mises à jour des logiciels et systèmes d’exploitation
  • Chiffrement de données
  • Respect de la législation (dont RGPD et autres réglementation applicable)

Solutions de secours

  • Mise en place d’un plan de continuité d’activité

Vous trouverez ci-après quelques tweets à propos de cybersécurité.