Par Peter Grütter
Selon le dernier «Global Cybersecurity Outlook» du Forum économique mondial (FEM), une grande majorité de cadres et de cyber-responsables s’attendent à ce qu’un cyber-évènement catastrophique survienne ces deux prochaines années. Cela est dû, d’une part, à la situation géopolitique instable dans laquelle la numérisation se déroule actuellement: outre la guerre en Ukraine et le risque de pénurie énergétique qui en découle dans toute l’Europe, y contribuent aussi l’instabilité au Proche-Orient, les mouvements migratoires d’Afrique vers l’Europe et la naissance d’un nouvel ordre mondial multipolaire, dans lequel la Chine, l’Inde et les États-Unis essaient de se positionner. Il ne fait aucun doute que nous vivons dans un monde instable, au sein duquel on compte des sociétés vieillissantes en Occident et en Chine ainsi qu’une surpopulation et une urbanisation galopante en Afrique et en Asie du Sud-Est.
La globalisation et la possibilité d’accéder de manière économique, n’importe où dans le monde, à des marchandises, services, informations et données n’ont pas vraiment rendu ce dernier plus plat, contrairement à la prédiction de Thomas L. Friedmann. Il est plutôt devenu plus imprévisible. Certes, les chaînes d’approvisionnement redondantes et les réseaux toujours plus reliés apportent clairement plus de sécurité et de résilience. Mais l’interconnexion globale entraîne aussi une vulnérabilité générale. La défaillance d’importants nœuds du réseau suffit à paralyser le transfert de données. Et les prochains grands défis pour les équipes de sécurité devraient être les attaques sur les outils de collaboration, les deepfakes et l’hacktivisme, c’est-à-dire le piratage de réseaux informatiques en tant que moyen de protestation.
Mon propos n’est pas de minimiser les cyberrisques. Mais nous devons toutefois les mettre en perspective: Comme un danger croissant, mais lequel on peut maîtriser.
Mais toutes les erreurs système ne sont pas dues à des cyberattaques. Et il existe une véritable mode autour des cyberrisques, en particulier dans l’industrie du conseil et les branches qui gagnent de l’argent grâce à la crainte des cyberattaques. Ainsi, depuis 2022, le nombre de cyberattaques sur les entreprises suisses a continué d’augmenter (au total de 61% par rapport à l’année précédente) et ce, pour toucher en particulier, outre l’industrie manufacturière principalement concernée, la branche des finances et celle de la communication. Malgré cela, le volume global des dommages est marginal par rapport aux dommages «classiques» comme les intempéries, les accidents de la circulation, les incendies, etc.
Mon propos n’est pas de minimiser les cyberrisques. Mais nous devons toutefois les mettre en perspective: Comme un danger croissant, mais lequel on peut maîtriser. L’infrastructure suisse de communication en est un bon exemple. Dans notre pays, 80 à 90% des ménages sont desservis par deux réseaux fixes. De plus, les trois réseaux de téléphonie mobile couvrent presque toute la Suisse. Cette couverture redondante est un gage de sécurité. Bien sûr, les pannes, l'instabilité et la surcharge du système ne peuvent jamais être exclues. Mais en ce qui concerne la cybersécurité, les fournisseurs de services de télécommunication exploitent de vastes centres d'opérations de sécurité et des systèmes de gestion de la sécurité de l'information. Et au niveau supérieur, la Confédération avec le NCSC ou Switch avec le «Computer Emergency Response Team» sont prêts à intervenir.
Par conséquent, il est clair que la sécurité et la résilience dans le cyberespace constituent une mission commune. Dans un monde interconnecté, c’est le cas aussi bien au niveau national qu’international. Une approche multipartite regroupant l’expertise publique, privée et civile est nécessaire: le secteur de la technologie doit y participer, tout comme le secteur financier et l’ingénierie. La branche de l’assurance doit proposer des solutions d’assurance pertinentes. Et le gouvernement ainsi que les institutions fédérales jouent aussi un rôle important. Ensemble, il faut anticiper les risques, analyser les points faibles, créer des redondances et conclure des partenariats pour l’ensemble du cycle de vie des services et produits numériques.
Au niveau international, une collaboration multilatérale intense est importante. Ce, afin de définir les règles en matière de cybersécurité dans un accord cadre contraignant au sens du droit international, mais aussi pour les ancrer dans les normes et standards techniques. En tant que représentant de la Suisse au sein de l’ETSI, l’Institut européen des normes de télécommunications, l’asut agit de manière conséquente pour s’engager dans cette direction. Au niveau politique, la Suisse, pays neutre, pourrait soumettre des propositions pour un accord-cadre sur la cybersécurité au sein du Conseil de sécurité des Nations unies.