Des trous dans la cybersécurité

Une question faussement naïve pour commencer : peut-on dire que la sécurité numérique est globalement assurée en Suisse ?

Il y a deux aspects de la cybersécurité qui sont, d’ailleurs, liés. D’un côté, la sécurité générale des infrastructures à l’échelon des administrations et des entreprises ; de l’autre, la sécurité individuelle des citoyens quant à leurs données et leur intimité. Les enjeux sont clairs : comment bénéficier d’un cadre numérique général sûr, qui permette le développemendes activités économiques, sociales, culturelles, sanitaires, sans risquer un piratage ou un blocage ? Sur le plan individuel, comment éviter d’être tracé, surveillé, voire harcelé ou escroqué ? Disons d’emblée que je ne juge pas la situation sécuritaire numérique suisse satisfaisante aujourd’hui. Il y a des lacunes et des écarts dangereux. L’essor d’Internet, encore agrémenté par la crise du Covid-19, a permis une accélération de la modernisation du pays, à l’instar des pays voisins, en matière numérique. Mais comme on l’a vu avec les attaques informatiques contre des communes et des entreprises, la sécurité n’a pas suivi ; on ne l’a pas prise assez au sérieux. Or, c’est au plus haut niveau que l’impulsion doit être donnée et les mesures adéquates prises. Sinon, les infrastructures de base, transports, énergie, santé, pourraient être menacées.

Le risque principal est-il le vol de données ou le chantage ?

C’est finalement la même chose. On s’empare des informations sensibles et on les revend, à leur propriétaire légitime ou à d’autres. La Suisse est à cet égard extrêmement séduisante aux yeux des pirates informatiques : un pays riche et une méfiance insuffisante vis-à-vis des menaces invisibles.

Qu’a-t-on fait à ce jour pour accroître la sécurité numérique et que devrait-on faire ?

Un premier pas a été la fondation du Centre national pour la cybersécurité (NCSC) à Berne. C’est une étape importante. Logiquement, l’accent a d’abord été mis sur la défense, mais chacun a compris que comme le numérique, la cybersécurité devait être approchée de façon transversale, interdépartementale. C’est la raison pour laquelle, à CH++, nous militons pour la création d’un Secrétariat d’État à la cybersécurité, doté des moyens nécessaires pour coordonner les actions publiques et privées, fédérales et locales. Car la petite centaine de collaborateurs du NCSC s’avère à l’évidence insuffisante. On compte des dizaines de spécialistes là où il faudrait en dénombrer des centaines !

Ne sommes-nous, selon vous, qu’au début du phénomène de piratage ?

On peut le craindre. La fréquence et la gravité des cas augmentent. On ne peut espérer « donner un coup de collier » et régler le problème une fois pour toutes. Il convient de se maintenir sans relâche au plus haut niveau. En matière de sécurité, l’attaque portera toujours sur le maillon le plus faible de la chaîne.

Les acteurs privés de l’économie ne sont-ils pas mieux armés que l’État fédéral ou les Cantons ? On pense évidemment aux banques, à l’horlogerie, à la chimie…

Le rôle des privés est bien entendu primordial : ils sont les responsables opérationnels de la sécurité. Mais il importe que les pouvoirs publics se préoccupent des systèmes d’infrastructure, assurant le fonctionnement du pays et de l’économie. Sécuriser les dispositifs utilisés par les CFF, le transport aérien, les grands hôpitaux, les fournisseurs d’énergie et de communication – sans parler de l’Armée – est à l’évidence une priorité absolue. Et si une société privée a des responsabilités stratégiques pour la santé, le bien-être ou l’approvisionnement de la population, l’État est obligatoirement concerné par sa sécurité.

Dispose-t-on de suffisamment de spécialistes en cybersécurité ?

Les écoles polytechniques et les HES en forment, mais la demande est forte et la surenchère salariale bien présente. Du côté étatique, il est difficile de dépasser les grilles de rémunération réglementaires.

Les budgets affectés à une cybersécurité telle que vous la décrivez risquent d’être imposants…

Mais toujours moins que ce que coûterait une importante cyberattaque !

Quels sont les buts et le rôle de CH++ ?

Nous cherchons à concrétiser notre vision d’une Suisse forte sur le plan numérique et technologique, partant du principe que les décisions politiques doivent se fonder sur des bases scientifiques. Dans le contexte des élections fédérales de 2023, nous allons tenter d’évaluer les compétences des candidats, de promouvoir des élus et des administrations capables de faire face aux défis du présent et de l’avenir, notamment aussi en matière de cybersécurité. CH++ est un groupe civique, indépendant des intérêts industriels ou académiques ; nous ne touchons aucune subvention. Coopérer, critiquer, lancer des alertes sont des aspects de notre mission.

Est-il intelligent, comme le prévoit la Berne fédérale, de confier le stockage de certaines données à des pays étrangers, par exemple à la Chine communiste ?

Précisons que des solutions entièrement suisses – jusqu’au niveau de la puce – ou même européennes sont illusoires. Mais il importe que le stockage de données à l’étranger soit limité à des domaines du type météorologique, par exemple. Les données sensibles doivent rester en Suisse. N’oublions pas que tout ce qui est sur Internet, comme le contenu des posts sur les réseaux sociaux, y reste pour toujours et ne peut plus être effacé.

Peut-on imaginer un blocage général d’Internet ?

Non. Le réseau est trop décentralisé et les redondances multiples. En revanche, on sait que cela peut arriver à l’échelle d’un pays.

Les certificats Covid ont-ils été un moyen pour l’État de pister les citoyens ?

Bien utilisée, la technologie des passes sanitaires et des applications Covid fonctionne parfaitement, sans violation du tout de la vie privée. Pour SwissCovid, il s’agit d’avertir les personnes d’une contamination possible et de protéger la population. Peut-être que certains pays voisins ont mieux rentabilisé le système que la Suisse, où une partie du système de santé est malheureusement restée sceptique.

À lire aussi