asut-Bulletin
Cybersecurity!
Ausgabe
01/2023
Nous devrions discuter de l’utilisation stratégique de la cybersécurité en Suisse

Defending Cybersecurity in Switzerland (DALL-E 2).

Pour le délégué fédéral à la cybersécurité Florian Schütz, beaucoup de choses vont bien en Suisse dans le domaine de la cybersécurité. En même temps, il estime qu'il y a encore beaucoup de marge de progression. Et ce, tant au niveau de la politique que de l'économie.

asut: Selon le baromètre du numérique 2023, environ deux tiers de la population suisse considère qu’il existe un «risque élevé à maximal» dans le domaine de la cybersécurité. Est-ce proche de la réalité ou autrement formulé, quel est le niveau actuel de cybersécurité?

Florian Schütz: Le signalement de cyberincidents chez NCSC représente actuellement environ 700 messages par semaine de niveau élevé. Une première explication est la meilleure sensibilité de la population au problème, mais il faut aussi prendre en compte une légère augmentation des cyberattaques. On constate aussi que les cybercriminels font preuve d’innovation et imaginent régulièrement de nouveaux scénarios et vecteurs d’attaque pour atteindre leur objectif premier: notamment faire un bénéfice maximal avec un minimum d’effort.

Qui sont les plus exposés aux cyberattaques? Autorités (Confédération, cantons, communes), entreprises ou particuliers?

Les pirates visent tous les systèmes utilisant Internet avec une protection insuffisante et dont les points faibles sont des portes d’entrée - qu’il s’agisse des autorités, d’entreprises ou de particuliers.

Il existe hélas encore des entreprises qui profitent de la numérisation, sans pour autant comprendre le cyberrisque qui en découle, voire le prendre au sérieux.

L’augmentation des cyberattaques, tous types confondus, est-elle une conséquence inéluctable de l’essor de la numérisation?

Il y a un lien, bien sûr. Avec le glissement croissant de différents domaines de la vie vers Internet, la criminalité classique acquiert également une dimension numérique. De nombreux incidents ne sont cependant pas une fatalité, à condition de disposer de systèmes mieux conçus et protégés.

Malgré les avertissements du NCSC, des centaines de serveurs Exchange utilisés dans des entreprises et communes suisses ne sont toujours pas dotés de patchs contre certaines failles de sécurité critiques. Comment expliquer cela? L’attention accordée à la cybersécurité reste-t-elle insuffisante?

Il existe hélas encore des entreprises qui profitent de la numérisation, sans pour autant comprendre le cyberrisque qui en découle, voire le prendre au sérieux. Une autre raison possible est qu’il peut être difficile d’établir des priorités dans un système informatique complexe sans en entraver le fonctionnement. La direction d’une entreprise devrait disposer de compétences suffisantes en cybersécurité. Il faut surtout comprendre les processus et leur degré de dépendance par rapport aux fonctionnalités numériques et les conséquences d’une panne des systèmes. Une planification financière solide ainsi que la mise en place de systèmes de gestion permettant un fonctionnement en toute sécurité constituent d’autres aspects importants.

La Suisse est-elle parée dans le domaine de la cybersécurité?

Il est difficile d’y établir un état des lieux général en la matière. Certaines entreprises sont très bien pourvues pendant que d’autres n’ont pas encore pris la mesure de l’enjeu de la cybersécurité ou sont dépassées par le sujet. Par rapport au reste de l’Europe, la Suisse se situe dans la moyenne. Au vu de nos apprentissages professionnels et de nos hautes écoles, grâce auxquels le pays dispose d’excellentes infrastructures, connaissances et compétences informatiques, on pourrait viser mieux.

En Suisse, les entreprises et les autorités sont responsables de leur cybersécurité. Le rôle de l’État est de mettre en place un cadre de conditions permettant aux entreprises et aux autorités d’assumer leurs responsabilités.

Que fait la Confédération, quel est le rôle des autorités cantonales et communales, quelle est la responsabilité des entreprises et des utilisateurs privés?

En Suisse, les entreprises et les autorités sont responsables de leur cybersécurité. Le rôle de l’État est de mettre en place un cadre de conditions permettant aux entreprises et aux autorités d’assumer leurs responsabilités. Une des missions du NCSC est, par exemple, la sensibilisation aux cyberrisques. À cet effet, le NCSC a publié plusieurs recommandations d’action ou avertissements sur son site web. Le Centre national pour la cybersécurité NCSC fournit une aide à la résolution des problèmes. En collaboration avec la Prévention Suisse de la Criminalité et d’autres partenaires, le NCSC mène aussi des campagnes de sensibilisation pour les particuliers.

Les priorités sont définies par la politique - la cybersécurité reçoit-elle l’attention requise?

Avec la création du NCSC mi-2020, le Conseil fédéral a franchi une étape importante dans la mise en avant de l’enjeu. En décembre dernier, la décision de transformer le NCSC en office fédéral a souligné davantage l’importance de la cybersécurité. Au Parlement aussi, la cybersécurité est un sujet récurrent. La sensibilisation à l’enjeu stratégique de cette question constitue l’une de mes missions. Mais il y a encore du chemin à faire. Les débats portent trop souvent sur les attaques et la défense. Ce n’est pas la bonne approche. Ils devraient davantage tourner autour de l’exploitation stratégique par la Suisse de la cybersécurité, par exemple avec l’utilisation des atouts du système éducatif ou la promotion d’un développement rentable de systèmes numériques sécurisés sur la place économique suisse.

Où en Suisse voyez-vous des lacunes et un potentiel d’amélioration?

Il y a beaucoup de positif dans le domaine de la cybersécurité en Suisse, mais il est possible de faire mieux sur le terrain politique et économique. Comme mentionné précédemment, il est essentiel de ne pas limiter les débats aux attaques et à la défense. Il ne s’agit pas de tout inventer. En aéronautique notamment, on procède à l’analyse complète des accidents d’avion dans l’objectif d’améliorer le système global. Au niveau du NCSC, une piste consisterait, par exemple, en l’étude approfondie des causes d’un incident ou d’une menace pour en tirer des analyses et des plans d’actions plus spécifiques et adaptés à un secteur donné. Les informations obtenues permettraient aux parties concernées de décider en connaissance de cause des changements requis pour renforcer la résilience. Mais cela exige des ressources.

À l’automne dernier, le Contrôle des finances a déploré un signalement tardif au NCSC des cyberattaques sur l’administration fédérale. La conversion du NCSC en office fédéral ainsi que l’obligation de déclaration des cyberincidents sur les infrastructures critiques permettront-elles une amélioration dans ce domaine?

Pour l’administration fédérale, la déclaration des cyberattaques sur les infrastructures fédérales est une obligation depuis longtemps déjà. Les recommandations du CDF relatives aux processus ont été réceptionnées par le NCSC et leur mise en œuvre a débuté. Et ce, quelle que soit la décision de l’office fédéral. La formation d’un office fédéral renforce, de manière générale, l’importance de la cybersécurité et des synergies peuvent être exploitées. L’obligation de déclaration pour les infrastructures critiques doit fournir au NCSC un meilleur aperçu des cyberincidents en Suisse et accroître sa capacité d’action.

Propos recueillis par Christine D’Anna-Huber. Cet entretien a été mené par écrit.

Florian Schütz

Florian Schütz est informaticien et délégué fédéral à la cybersécurité depuis 2019. Il dirige le Centre national pour la cybersécurité (NCSC) et est responsable de la mise en œuvre coordonnée de la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). Il assure le rôle d’interlocuteur des milieux politiques, des médias et de la population pour les questions relatives aux cyberrisques.

Artikel teilen: Nous devrions discuter de l’utilisation stratégique de la cybersécurité en Suisse