Swiss Cyber Security Days: La Suisse est-elle prête contre les cybermenaces?

La première journée des Swiss Cyber Security Days (SCSD) s’est déroulée ce 10 mars. Cette troisième édition se déroule en ligne. Coronavirus oblige, les organisateurs ont dû renoncer à la tenue de l’événement au Forum Fribourg. En guise de substitut virtuel, la plateforme «SCSD365» comptait déjà 1200 utilisateurs enregistrés avant la seconde journée, selon Doris Fiala, conseillère nationale et présidente des SCSD.

«SCSD365» se veut davantage qu’un simple canal de diffusion de conférences. Les participants peuvent également utiliser la plateforme, qui restera active toute l'année, pour passer des appels vidéo ou examiner les solutions des exposants sur une place de marché numérique.

Les deux faces d'une même pièce

«La cybersécurité est l'un des enjeux centraux de notre époque», a déclaré Doris Fiala dans son discours de bienvenue. La dimension cyber représente un risque énorme pour notre système mondial et sa stabilité. Cependant, il s'agit en même temps d’un pilier du nouveau monde numérique. «Et donc de l'une des plus grandes opportunités. Sans cybersécurité, il ne peut y avoir de numérisation», a poursuivi la conseillère nationale. Avant de souligner l'importance de protéger l'ensemble de la chaîne de production et de valeur. Avec le recours massif au télétravail consécutif à la crise sanitaire, les exigences de sécurité doivent notamment être étendues au bureau à domicile.

Doris Fiala, conseillère nationale et présidente des SCSD. (Source: DR)

«Il est temps d’assumer nos responsabilités en matière de cybersécurité», a ajouté Doris Fiala. Elle appelle conseils d'administration et comités de direction à mettre la sécurité informatique au top des priorités de leur agenda. En rabaissant le retour sur investissement des cybercriminels, «la cybersécurité devient le défenseur et le garant d'un monde numérique durable».

Le rôle des citoyens et des entreprises

Lors de sa prise de parole, le délégué fédéral à la cybersécurité Florian Schütz a relevé l’importance d’une protection même basique. «Prenez cela au sérieux, a-t-il averti. La plupart des attaques réussissent parce que la protection de base n'a pas été mise en œuvre dans les entreprises prises pour cible. Le gouvernement fédéral est là pour aider.» Et de rappeler que prendre la cybersécurité au sérieux reste néanmoins la tâche et la responsabilité des citoyens et des entreprises.

Il existe déjà des frameworks pour la protection de base, par exemple ceux du BSI en Allemagne ou du NIST aux Etats-Unis. Les entreprises ne devraient toutefois pas les mettre en œuvre sans stratégie. «Fixez des priorités. Déployez immédiatement ce qui est facile à faire», a conseillé Florian Schütz. Les aspects plus compliqués à mettre en place, et ce ce fait d’une grande importance pour l’entreprise, suivront dans un second temps.

Florian Schütz, délégué fédéral à la cybersécurité. (Source: DR)

Le délégué fédéral à la cybersécurité se dit également préoccupé par le sentiment de tabou associé aux cyberattaques, selon lui encore très répandu. «Parlez-en si vous avez été attaqué. Vous n'êtes pas seul», a affirmé Florian Schütz. Et de montrer immédiatement l'exemple en confiant avoir récemment appris que ses données avaient été divulguées quelque part.

Cyberattaques simulées

Dans quelle mesure la Suisse est-elle équipée pour faire face à une cyberattaque ou à une menace terroriste de grande ampleur? Pour le savoir, un deuxième Exercice du Réseau national de sécurité (ERNS) a eu lieu en 2019. Hans-Jürg Käser, directeur de l'exercice, a expliqué que la Confédération et les cantons ont simulé différents scénarios. Dont notamment des attaques de drones contre l'aéroport de Genève, ainsi que des cyberattaques contre des exploitants d'infrastructures critiques et des systèmes importants de l'armée suisse. Verdict: «En principe, la Suisse est préparée à une menace terroriste persistante. Le niveau opérationnel peut faire face à une telle situation de menace.»

Hans-Jürg Käser, directeur de l’Exercice du Réseau national de sécurité (ERNS) de 2019. (Source : Capture d'écran)

Twitter, Facebook et consorts pour la gestion de crise

Des faiblesses dans la gestion de crise ont toutefois été identifiées lors de l'exercice de simulation. C'est pourquoi le rapport final contient quinze recommandations d'action, y compris concernant le cyberespace. «En cas de cyberattaques soutenues contre des infrastructures critiques, la question se pose de savoir quelle défense et quelles contre-mesures la Confédération pourrait adopter», précise le responsable.

L'armée dispose des moyens nécessaires pour des actions offensives et défensives. Toutefois, celles-ci sont destinées à la protection de ses propres ressources. Actuellement, l'armée n'a «aucun mandat pour protéger le pays, la population ou les infrastructures critiques dans le cyberespace, souligne Hans-Jürg Käser. L'armée pourrait utiliser son expertise et ses capacités pour fournir un soutien ciblé aux autorités civiles si nécessaire». Pour ce faire, il faudrait toutefois d'abord définir les domaines de responsabilité possibles et les conditions qui devraient être mises en place pour ces services. Le rapport suggère également de promouvoir l'utilisation des médias sociaux dans la communication et la gestion de crise.

Les cybermenaces devraient également avoir un rôle central dans les exercices de simulation futurs. Hans-Jürg Käser souhaite les organiser tous les quatre ou cinq ans, car «les opportunités de déstabiliser notre société par des cyberattaques sont en constante augmentation.»