Swiss Cyber Security Days: la Suisse reste très vulnérable malgré un léger mieux
Lors de la première journée de l'édition 2022 des Swiss Cyber Security Days, le public a pu se faire une idée des cyber-risques qui menacent la Suisse. Le conseiller fédéral Ueli Maurer a annoncé le projet de création d'un Office fédéral de la cybersécurité. Et le chef de la cybersécurité des Etats-Unis a évoqué la nécessité de choisir son camp.
Se déroulant cette année encore au Forum Fribourg, les Swiss Cyber Security Days 2022 ont articulé cette quatrième édition autour du slogan «Cyber: la cinquième dimension». «Aujourd'hui, tout le monde est connecté à tout le monde, comme dans un village global», a déclaré la conseillère nationale et présidente des SCSD Doris Fiala en introduction. L'importance de cette dimension cybernétique se manifeste par exemple dans la guerre en Ukraine, qui se déroule également sous forme numérique.
En matière de cybersécurité, la Suisse doit rattraper son retard. C'est du moins l'impression que donne le classement mondial de la cybersécurité de l'Union internationale des télécommunications (UIT), mentionné à l’occasion de plusieurs exposés. La Suisse y occupe la 42e place, entre la Macédoine du Nord et le Ghana. Il est regrettable que tous les pays voisins fassent mieux que la Suisse, a fait remarquer Doris Fiala, soulignant la nécessité d’agir.
Doris Fiala, conseillère nationale et présidente des SCSD. (Source: DR)
Nouvelle stratégie, nouvel office fédéral
Le conseiller fédéral Ueli Maurer a expliqué dans un message vidéo comment la Confédération s'engage en matière de cybersécurité. Nous sommes en route ensemble, a déclaré le ministre des finances, tout en précisant que «du point de vue de la Confédération, nous ne jouons ici qu'un rôle secondaire». La Confédération souhaite soutenir l'économie. Ueli Maurer a cité quelques exemples de collaboration entre la Confédération et le milieu économique. Dont la toute récente création de l'association «Swiss Financial Sector Cyber Security Centre», avec le soutien du Centre national de cybersécurité (NCSC). Et le sujet devrait encore prendre en importance sous la Coupole fédérale. «Nous avons l'intention de créer un Office fédéral de la cybersécurité qui jouera le rôle d'interlocuteur central», a annoncé Ueli Maurer.
Le délégué fédéral à la cybersécurité Florian Schütz, aka «Monsieur Cyber», a détaillé les actions de la Confédération ces dernières années dans le cadre de la stratégie nationale de cybersécurité. Le NCSC, qu'il dirige, a par exemple récemment étoffé son site web: des informations spécifiques sont désormais disponibles pour les autorités, ainsi que des statistiques plus détaillées sur les annonces de cyberincidents reçues. Ces chiffres visent à permettre aux entreprises de se faire une idée de la situation en matière de cybermenaces et de s’y préparer.
Florian Schütz a présenté une première ébauche de la cyberstratégie pour les années à venir. Parmi les objectifs figurent notamment l'autonomisation, la répression des auteurs d'attaques, la coopération internationale, ainsi que la garantie de la sécurité et de la disponibilité des infrastructures critiques. Le Monsieur Cyber de la Confédération souhaite en outre intensifier les activités de sensibilisation, en se concentrant dans un premier temps sur les entreprises familiales.
Le délégué fédéral à la cybersécurité Florian Schütz. (Source: DR)
Ancien message réitéré
L'analyse des cybermenaces en Suisse constitue désormais un passage obligé des Swiss Cyber Security Days. Marc Peter, directeur du centre de compétences Transformation numérique à la FHNW, et Nicolas Mayencourt, chef de la commission du programme des SCSD, ont dévoilé les résultats de leur étude annuelle, basée sur le scan des connexions au cyberespace suisse. L’année dernière, 113’000 vulnérabilités avaient été identifiées, contre 106’000 cette année. Malgré ce léger mieux, ce chiffre est encore bien trop élevé. De plus, les dommages causés par les cyber-attaques prennent une ampleur toujours plus grande, menaçant parfois l'existence même de l'entreprise.
La sensibilisation de la population aux cyberrisques a certes augmenté, a reconnu Nicolas Mayencourt, ajoutant néanmoins que «nous avons tous le sentiment que cela ne nous concerne pas et que cela ne peut pas nous atteindre», se référant à une étude récente. «Cessons d'être naïfs», a-t-il une nouvelle fois martelé, répétant un message déjà formulé les années précédentes. «Nous sommes tous le problème. Mais nous sommes aussi tous la solution. Et c'est pourquoi: Let's make it happen», a-t-il cette fois ajouté.
Nicolas Mayencourt, chef de la commission du programme des SCSD. (Source: DR)
La bonne cyberstratégie selon le chef de la cybersécurité des Etats-Unis
Invité de marque, Chris Inglis, chef de la cybersécurité des Etats-Unis et conseiller personnel du président américain Joe Biden s’est exprimé lors d’une séance plénière. «La Suisse est numéro 1 en matière d'innovation», a-t-il loué, ajoutant: «Vous n'êtes peut-être pas numéro 1 en cyber pour le moment, mais je pense que vous êtes en train de changer cela». La cybersécurité est une question internationale et nécessite une réponse commune, a-t-il ajouté. Interrogé sur la cybermenace qu'il considère comme la plus importante, Chris Inglis a déclaré: «Ce qui me tient éveillé la nuit n'est en premier lieu aucune des menaces que nous connaissons, même s'il y en a beaucoup. C'est plutôt le manque de discernement délibéré que je vois chez tant de gens». Selon lui, chaque entreprise a le choix entre le camp du «bien» et celui du «pas bien».
Nicolas Mayencourt (à gauche) et Chris Inglis (Source: DR)
Chris Inglis a poursuivi sa conférence en décrivant ce qui constitue une bonne cyberstratégie. Selon lui, celle-ci ne doit pas seulement s'occuper de technologie, mais aussi aborder la question de l'humain et des règles. Il a ensuite formulé trois principes fondent selon lui une bonne cyberstratégie:
Resilience by Design: la sécurité ne doit plus être une réaction aux problèmes, mais doit être pensée en amont.
La défense comme tâche commune: défendre un système est une entreprise humaine. Les ressources devraient être partagées et les connaissances combinées.
Actions et conséquences: Il ne s'agit pas seulement de punir les méchants, a souligné Inglis. Celui qui se comporte bien dans le cyberespace mérite également le soutien de son secteur ou du gouvernement.
«Nous pouvons utiliser les capacités de calcul massives du World Wide Web pour faire de bonnes choses. Je veux arrêter de me laisser guider par l'idée de danger. Je le garde à l'esprit, mais je veux penser à l’endroit que je souhaite atteindre», a conclu Chris Inglis.