En juillet 2020, les États-Unis et le Royaume-Uni ont accusé la Russie d'essayer de voler la recherche sur les vaccins. La Russie et la Corée du Nord ont, en effet, ciblé des infrastructures de production de vaccins, en essayant de voler des informations. Il s'agissait de la première d'une série de cyberattaques (certaines menées par des États-nations, d'autres non) qui ont été dénoncées officiellement et visaient les infrastructures de recherche, production et distribution de vaccins.
En octobre 2020, des cybercriminels auraient provoqué l'arrêt des systèmes de fabrication dans le monde entier d'un laboratoire qui venait tout juste de recevoir la permission de fabriquer le vaccin russe Spoutnik. L'Institut national américain de la santé a été visé par des attaques Solarwinds en même temps que des groupes criminels russes continuaient de lancer des attaques contre les hôpitaux américains. Le service public de santé britannique a aussi été l'objet de cyberattaques menées récemment par le groupe de pirates chinois Hafnium contre les serveurs Microsoft Exchange.
Une perturbation de la chaîne d'approvisionnement
Les informations sur les vaccins sont des trésors mal protégés des ingérences malveillantes et de l'espionnage étranger. Pour le dire autrement, les cyberattaques dont on entend parler aux informations sont celles qui sont découvertes, mais leur nombre réel est sans aucun doute beaucoup plus élevé. On pourrait penser que le vol d'informations sur les vaccins n'est pas un gros problème: après tout, nous souhaitons que tout le monde y ait accès, donc pourquoi ne pas partager l'information?
Le problème est que si quelqu'un parvient à avoir accès aux données du vaccin, il a aussi accès à tout le reste et il peut faire tout ce qu'il veut avec. Ce n'est pas comme si les pirates allaient voler les données sur le vaccin pour monter leurs propres infrastructures de fabrication ailleurs –si c'était le cas, il n'est même pas certain que l'on s'en préoccuperait. Plus il y a de vaccins, mieux c'est. Le problème est que ces criminels ne tentent pas de contrefaire les vaccins, ils tentent d'en perturber la production. Cela conduit donc à ce qu'il y ait moins de vaccins et plus de morts. Très vulnérable, la chaîne d'approvisionnement des vaccins a désespérément besoin de voir sa sécurité renforcée.
Des attaques en chaîne
La chaîne d'approvisionnement des vaccins contre le Covid-19 est formée de plusieurs maillons: recherche, production, entreposage et distribution à travers le monde. La plupart des entreprises impliquées dans la chaîne d'approvisionnement des vaccins ont recours à un même ensemble, limité, de logiciels et de solutions informatiques, provenant de grands fournisseurs internationaux comme Google, Microsoft et Amazon. Cela signifie qu'un piratage informatique qui fonctionnerait sur l'une des entreprises serait très susceptible de fonctionner également sur une autre entreprise de la chaîne. Comme l'a illustré l'attaque qu'ont subie récemment les serveurs Microsoft Exchange, lorsque tout le monde utilise les mêmes outils, tout le monde est vulnérable aux mêmes types de piratage.
Habituellement, les médecins et les institutions médicales résolvent les problèmes de santé publique en publiant les résultats de leurs recherches et en collaborant autour des problèmes techniques, tout en parvenant à préserver leur propriété intellectuelle.
Les laboratoires ne partagent pas d'informations aussi rapidement qu'il le faudrait lorsque leur sécurité informatique est en jeu.
Mais ce n'est pas ce qui se passe avec cette pandémie. Compte tenu de l'urgence à laquelle sont soumis les laboratoires, ces derniers craignent de perdre leur propriété intellectuelle ou de nuire à leur image. Nous savons aujourd'hui que les laboratoires qui produisent et distribuent des vaccins ne communiquent pas entre eux et ne partagent pas d'informations aussi rapidement qu'il le faudrait lorsque leur sécurité informatique est en jeu. Ainsi, on a pu voir deux laboratoires indiens frappés par la même attaque ne pas souhaiter partager entre eux d'informations de cybersécurité et sembler même s'opposer aux tentatives d'investigation des autorités de régulation. La police et les autorités ont aussi de plus en plus de mal à obtenir des informations de la part des laboratoires Dr. Reddy's, autre société basée en Inde qui a été piratée et qui ne souhaite pas donner plus d'informations sur l'attaque récemment subie.
L'OMS, seul recours
La seule organisation mondiale qui aurait le moyen d'apporter une solution à ce problème est l'Organisation mondiale de la santé. L'OMS pourrait en effet commencer par sanctionner publiquement les entreprises de la chaîne des vaccins qui ne partagent pas leurs informations sur les cyberattaques avec d'autres sociétés, même s'il s'agit de concurrents.
Il n'existe pas encore de mécanisme international qui permette de mandater une coordination de ce type, mais l'OMS pourrait utiliser sa position internationale pour inciter les entreprises à une plus grande responsabilité publique. Elle l'a déjà fait auparavant lorsqu'une loi ou une convention s'était fourvoyée sur un sujet de santé publique mondiale. Par exemple, l'OMS a fait des déclarations appelant à cesser les «tests de virginité» ou les attaques contre des infrastructures médicales en Libye. Les déclarations officielles de l'OMS sont affichées sur son site internet. On y trouve par exemple des appels aux gouvernements à assurer un accès aux médicaments approprié et des rappels sévères aux engagements des membres sur le tabac. Concernant la sécurité des informations, l'OMS a signé des déclarations conjointes au sujet de la protection des données et du Covid-19 et a publié des directives sur la protection de la vie privée et le suivi des cas contacts.
L'OMS pourrait utiliser sa position d'autorité morale et d'institution coordinatrice afin d'encourager la collaboration en matière de sécurité.
Il est difficile de quantifier le poids des désapprobations internationales afin de déterminer quels seraient véritablement les effets de leur addition, mais, mises ensemble, les déclarations officielles de l'OMS (qui ont un vrai poids moral compte tenu de leur objectif dans la réponse sanitaire internationale) et les pressions pour partager les informations pourraient favoriser la coopération entre les différents membres de la chaîne d'approvisionnement en vaccins. C'est mieux que de ne rien faire et cela permet de sensibiliser à ces questions en attendant que des solutions à long terme soient développées.
Si un laboratoire qui fabrique des vaccins est attaqué, ce n'est pas nécessairement de sa faute. Mais si une autre société de la chaîne d'approvisionnement, même concurrente, est ensuite attaquée de la même manière, cela pourrait être totalement la responsabilité du premier laboratoire. Si les informations dont il disposait avaient pu empêcher ce piratage, son inaction mérite d'être condamnée par la communauté internationale. Quand il s'agit de vaccins, aucun laboratoire ne devrait compromettre la santé mondiale pour des raisons d'orgueil, de profits ou de gestion de sa marque. L'Organisation mondiale de la santé pourrait utiliser sa position privilégiée d'autorité morale et d'institution coordinatrice des informations sur la santé afin d'encourager fortement la collaboration en matière de sécurité et, finalement, de sauver des vies.
