Comment Florian Schütz, délégué de la Confédération à la cybersécurité, veut protéger la Suisse
Avec Florian Schütz, la Suisse dispose pour la première fois d'un délégué de la Confédération à la cybersécurité. Dans une interview accordée à nos collègues d’IT-Markt, il évoque l'interaction entre la recherche, les entreprises et le gouvernement ainsi que la situation actuelle en matière de sécurité dans le pays.
Vous êtes en fonction depuis août 2019. Avez-vous rendu la Suisse plus sûre depuis?
Il n'est pas facile de d'évaluer si la Suisse est plus sûre ou non. Mais je pense que mes collègues et moi-même prenons des mesures qui vont dans la bonne direction. Par exemple, nous travaillons actuellement à l'évaluation de la mise en œuvre des objectifs de la Stratégie nationale pour la protection de la Suisse contre les cyberrisques (SNPC) en prenant compte des indicateurs de performance clés (KPI). Jusqu'à présent, il n'y avait eu qu'une seule étape de planification.
Comment vous en êtes-vous sorti au fil du temps?
Je me suis bien débrouillé. Nous avons déjà obtenu quelques succès. Le travail interministériel progresse de manière importante. Nous avons également pu mettre en place un guichet unique et ainsi soulager les équipes de MELANI. Grâce à des mesures rapides, nous avons également pu respecter certains délais très courts concernant certaines affaires politiques. Mais il reste encore beaucoup à faire. Par exemple, nous devons décrire plus en détail l'organisation de la Confédération, nous coordonner avec tout le monde et formaliser les KPI pour mesurer nos performances.
Comment vos précédents rôles chez Ruag et Zalando vous ont-ils préparé à cette nouvelle expérience?
Chez Ruag, j'ai surtout appris à travailler pour les clients finaux, à créer des business plans et à mettre en place une structure étape par étape. J'ai également acquis une expérience précieuse dans le domaine de la cyberpolitique et de la politique de sécurité, tant au niveau national qu'international. Chez Zalando, j'ai surtout appris quels sont les défis pour une entreprise technologique complexe. J'ai dû mettre en place une organisation qui soit hautement évolutive et mesurable. Le scaling (mise à l'échelle) sera un facteur clé du succès, en particulier pour la création du Centre national pour la cybersécurité (NCSC.ch).
Comment s'est déroulée la transition du secteur privé à la politique?
Tout en douceur. Ce qui était inhabituel pour moi, c'est que la préparation des mesures à mettre en œuvre prenne un peu plus de temps. Il est important d'adhérer aux processus politiques, de s’impliquer et de prendre en compte tous les acteurs importants. L'astuce consiste à créer un cadre acceptable pour tous. En ce qui concerne la mise en œuvre, j'utilise ensuite une approche «fail fast» plus agile pour rattraper le temps perdu.
Quel était le besoin le plus urgent suite à votre entrée en fonction?
J'ai vu le besoin urgent d'agir pour faciliter la coopération entre les différentes équipes de l'administration. Pour y parvenir, chaque équipe a besoin, avant tout, d'une tâche clairement définie. Cela crée de la transparence et les résultats deviennent mesurables, ce qui permet de prendre des décisions autonomes en équipe sans créer de conflits avec d'autres équipes, ni de travail fait à double.
Et comment avez-vous relevé ce défi?
Les premiers KPI ont été établis dans des endroits différents, et j'ai commencé à mettre en place un bureau de gestion de projet au sein de mon administration. Je travaille également avec les managers autour de moi pour développer les équipes en conséquence. Nous sommes actuellement en train de définir nos formats de collaboration - par exemple, «Daily Stand-ups» et «Retrospectives».
Comment se déroule le travail quotidien du délégué de la Confédération à la cybersécurité?
Il n'existe pas de journée type. Et c'est exactement ce que j'aime dans mon travail. Je discute des défis de l'industrie avec les associations ou j'évalue les solutions possibles avec des experts. Ensuite, je m'occupe du développement organisationnel et je fais des suggestions pour le catalogues de nos prestations. Ou bien il y a une affaire politique à laquelle j'apporte mon expertise.
Comment voyez-vous le Centre national pour la cybersécurité (NCSC.ch) que vous dirigez?
Le Centre national pour la cybersécurité (NCSC.ch) est le point de contact pour signaler les cyberincidents. Il est actif depuis le 1er janvier 2020 et a traité 192 rapports au cours des deux premières semaines. Il mettra à disposition les meilleures pratiques pour aider les entreprises et les particuliers à mieux se protéger. Le NCSC.ch assure également la coordination entre les autorités fédérales et gère la mise en œuvre de la Stratégie nationale pour la protection de la Suisse contre les risques cybernétiques (SNPC). Nous prévoyons également de mettre à disposition d'autres entreprises des services qui ne sont actuellement disponibles que pour les infrastructures critiques. Cependant, il nous faut encore un peu de temps pour cela.
En tant que délégué de la Confédération à la cybersécurité, quels sont les objectifs que vous souhaitez atteindre?
À moyen terme, je voudrais illustrer plus clairement quelles sont les prestations fournies et les responsabilités assumées par la Confédération, et où se situe la responsabilité individuelle des cantons, des organisations ou des particuliers. Je voudrais également renforcer l'autoprotection de la Confédération. Ma vision est d'aider à façonner un système qui reprenne nos valeurs suisses dans le cyberespace et qui mette notre population, notre éducation et aussi l'économie en bonne position pour l'avenir numérique. La cybersécurité est la condition de base pour cela.
La Suisse est-elle bien protégée contre les cybermenaces?
Les cybermenaces sont diverses et il n'existe pas de critères de mesure uniformes. Je ne peux donc pas donner de réponse définitive à cette question. Dans le cadre de la SNPC, sous la direction du Département fédéral des affaires étrangères (DFAE) et en coopération avec l'Université d'Oxford, nous avons fait une première tentative d'évaluation de la situation helvétique. Cette tentative devrait permettre d'établir des comparaisons avec d'autres nations à l'avenir. Cependant, les résultats sont toujours en attente.
Voyez-vous une différence entre le secteur privé et le secteur public?
Je vois des problèmes similaires pour l'autoprotection. Mais comme nous avons plusieurs fournisseurs de services avec leurs propres réseaux, il est plus difficile d’établir une analyse et une défense uniformes.
Votre carrière professionnelle est davantage influencée par les grandes entreprises. Cependant, la Suisse est un pays de PME. Dans quelle mesure connaissez-vous les besoins des petites et moyennes entreprises de ce pays?
Je pense que je peux évaluer les besoins et les défis efficacement. En général, il est toujours important de prendre en compte les spécificités des différentes industries afin de trouver des solutions adaptées. Pour ce faire, je travaille avec des associations d'une part, et d'autre part, j'ai toujours une oreille ouverte pour les entreprises engagées et les experts des PME.
Quelle est l'influence du nombre important de PME sur la situation de la cybersécurité pour l'ensemble du pays?
La répartition des performances économiques entre de nombreuses entreprises se traduit par une plus grande résilience. Toutefois, la vulnérabilité serait plus grande si les PME étaient moins bien protégées que les grandes entreprises. A mon avis, le défi le plus important est de rendre la cybersécurité abordable pour les PME et de permettre à celles-ci de fabriquer des produits sûrs et de les utiliser comme un avantage concurrentiel dans un monde de plus en plus numérisé. Les machines de fabrication, par exemple, sont de plus en plus souvent mises en réseau. Je suis convaincu que des exigences de sécurité internationale accrues seront bientôt imposées à ces entreprises. C'est une opportunité si l'industrie suisse peut fournir des machines sûres.
Comment évaluez-vous les sujets à la mode tels que les maisons connectées et l'IA?
Ces deux sujets sont en constante évolution et deviennent de plus en plus présents. L'influence croissante de la technologie dans nos vies pose de nouveaux défis en matière de cybersécurité. Toutefois, il ne s'agit pas d'une révolution, mais plutôt d'une évolution. La cybersécurité doit être abordée en même temps que l'évolution des technologies.
Selon vous, quelles sont les pierres angulaires d'une bonne cybersécurité?
Le premier et le plus important pilier se nomme «Security Engineering & Architecture»: développer, configurer et exploiter des systèmes en toute sécurité. Malheureusement, cela se perd souvent dans les débats actuels, au même titre que l'attaque et la défense. Le deuxième pilier est un «Identity & Access Management» puissant pour pouvoir contrôler l'accès aux données. Le troisième pilier est celui des «Security Operations». Il s'agit d'identifier et de repousser les attaques et de gérer les points faibles. L'ensemble devrait reposer sur une base solide de gestion des risques, de gouvernance et de compliance. L'objectif global est alors de créer un cadre politique permettant la collaboration et l'échange d'informations par-delà les frontières organisationnelles et nationales.
Pour une cybersécurité efficace, la recherche, les entreprises et la politique doivent s'unir. Comment comptez-vous promouvoir cette coopération?
Il y a différents projets au sein de la SNPC dans lesquels nous travaillons ensemble. En outre, nous évaluons également de nouvelles idées au sein du comité directeur de la SNPC afin de mieux coordonner les nouveaux projets qui contribuent à la SNPC.
Pendant votre séjour au Ruag, vous étiez également en poste en Israël. Comment évaluez-vous la culture de la cybersécurité dans ce pays ? Le pays est généralement considéré comme un pionnier dans ce domaine.
Israël a compris très tôt qu'avec les bonnes solutions, il était possible d’obtenir certains avantages, même si la défense contre les cybermenaces est avant tout coûteuse et présente un inconvénient majeur en termes de coût. Israël encourage la formation à la cybersécurité et crée des conditions économiques favorables aux start-ups.
Le modèle israélien vous sert-il de modèle pour vos efforts en Suisse?
Les États que nous considérons comme des pionniers de la cybersécurité ont une chose en commun: ils considèrent la question de manière globale et pas seulement comme une question défensive. En Suisse, nous pouvons certainement apprendre ce qui peut et ne peut pas fonctionner. Mais nous devons trouver un modèle qui corresponde à notre culture et à notre système politique. Copier n'est pas une option.
Quelle est l'importance de la coopération internationale pour une cyberdéfense forte?
La coopération internationale est une nécessité, car internet ne connaît pas de frontières nationales. Si le réseau était limité à la Suisse, beaucoup de choses de notre vie quotidienne ne fonctionneraient plus.
Quels autres pays voyez-vous comme des modèles ou des partenaires potentiels pour la Suisse?
Nous collaborons déjà avec de nombreux pays aujourd'hui. Cette coopération se retrouve surtout avec le GovCERT, MELANI, Fedpol et l'armée, mais aussi dans d'autres domaines comme la politique étrangère et économique.
Que ferez-vous en 2020 pour renforcer la sécurité informatique en Suisse ?
Avec un guichet unique nouvellement conçu et la création de NCSC.ch basé sur MELANI, un point de contact central sera créé pour les rapports et pour les informations dans le domaine des mesures préventives et des pratiques optimales. Nous introduisons également une mesure continue du niveau d'ambition de la mise en œuvre de la SNPC afin d’améliorer la gestion stratégique. Nous évaluerons également les possibilités de rendre obligatoire la déclaration des cyberincidents.
Quand la sécurité peut-elle l'emporter sur la liberté individuelle ?
C'est une bonne et importante question. Toutefois, il ne m'appartient pas d'y répondre. Nous avons un processus démocratique pour cela. La population doit en décider. Personnellement, j'attache une grande importance à la liberté individuelle
Dans quelle mesure davantage de règlements sont-ils la voie vers plus de sécurité ?
La réglementation est un moyen indirect d'accroître la sécurité. Par exemple, elle peut conduire à ce que les entreprises soient obligées de faire des choses qu'elles ignoreraient autrement. Mais la réglementation peut aussi faire en sorte que «les brochettes soient de la même longueur», de sorte que les mêmes règles s'appliquent à toutes les entreprises concernées. Cependant, je pense qu’il faudrait réglementer le moins possible.
Et comment comptez-vous vous y prendre pour marcher sur cette corde raide ?
L'important, c'est que je ne sois pas le seul à décider de ce qui est réglementé et de ce qui ne l'est pas, mais que des propositions soient faites. Nous allons les comparer avec celles des associations et des experts. C'est pourquoi je cherche aussi à dialoguer avec ceux qui nous critiquent. Malheureusement, nos détracteurs les plus virulents n'acceptent pas encore de dialoguer, mais je travaille sur la base de la confiance.
Quel est votre meilleur conseil personnel en matière de sécurité informatique pour monsieur et madame Tout-le-Monde?
Nous constatons actuellement de nombreux cas de fraude utilisant des publicités sur des sites web, des courriers électroniques ou des SMS. Si l’on vous propose quelque chose de gratuit ou quelque chose avec un retour sur investissement très élevé, il est très probable que vous soyez le produit et non le client. Soyez sceptique, mais ne devenez pas paranoïaque.