Swiss Cyber Security Days: «Arrêtez d'être naïf quand il s'agit du cyberespace»

La troisième édition des Swiss Cyber Security Days (SCSD) s’est déroulée les 10 et 11 mars derniers - une édition purement virtuelle en raison de la situation actuelle de la pandémie. Le premier jour, Doris Fiala, Florian Schütz et d'autres représentants du gouvernement fédéral ont montré, par le biais d’un stream live, à quel point la Suisse est sûre dans le cyberespace. Plus d'informations ici.

Pour la deuxième journée, l’accent était mis sur les PME. Ces sociétés, qui représentent une très large part de l’économie suisse, peinent à évaluer le danger cyber auxquelles elles sont exposées.

En 2020, GFS-Zurich sondait plus de 500 PME et seul 11 % d’entre elles estimaient probable de devoir cesser leur activité à cause d'une cyberattaque. Et ce alors même qu’un quart des PME avaient déjà été victimes d'une cyberattaque.

«Il y a là un certain décalage»», a constaté André Duvillard, délégué au Réseau national de sécurité. Et d’ajouter que la perception du risque est même en déclin: «Les gens pensent que les cyberattaques sont moins dangereuses qu'avant»».

Dépassés, surestimés, négligés

C’est en partie dû au fait que les décideurs sont dépassés par la numérisation et son impact sur la cybersécurité et ils surestiment leur département informatique, juge Duvillard: «Il ne faut pas croire que la technologie résout tous les problèmes». Il ne s'agit pas seulement de déployer un pare-feu supplémentaire, il faut aussi renforcer l’organisation et les processus.

Mais il faut surtout tenir compte du facteur humain. «Il nous arrive à tous d’avoir parfois l’esprit ailleurs, a argumenté Duvillard. Dans ces moments, on néglige l'une ou l'autre règle de sécurité, par exemple en ce qui concerne les mots de passe. C'est pourquoi la sensibilisation des employés est si importante».

Les dangers qui guettent également le cyberespace suisse ont été présentés par Marc K. Peter, responsable du centre de compétences Transformation numérique de la FHNW, et Nicolas Mayencourt, responsable de la commission des programmes des SCSD. Tous deux siègent également au conseil d'administration de Dreamlab Technologies.

Pour leur étude baptisée «L’état du cyberespace suisse», ils ont scanné tout ce qui est connecté au cyberespace suisse, soit plus de 20 millions d'adresses IP. Et ils y auraient découvert plus de 100’000 vulnérabilités connues.

118 systèmes encore vulnérables à Wannacry

«3300 systèmes Windows étaient accessibles directement et sans protection via Internet», a expliqué Mayencourt. Trois quarts d'entre eux utiliseraient des systèmes d'exploitation obsolètes qui ne disposent plus d'aucune mise à jour de sécurité. «Ces machines sont très vulnérables aux attaques!»

Il en va de même pour Eternalblue: la vulnérabilité exploitée par le ransomware Wannacry en 2017 n'est pas non plus encore de l'histoire ancienne. Mayencourt et Peter ont dénombré un solde de 118 systèmes qui y sont vulnérables. En outre, 197 bases de données étaient accessibles sur Internet sans aucune authentification. Dans 881 autres, les données ont pu être téléchargées.

Le nombre de serveurs de «command & control»» en Suisse a doublé en 2020 par rapport à l'année précédente. La plupart servirait à des attaques à l'étranger. Ce n’est pas une raison pour les négliger, car ils pourraient nuire à la réputation de la Suisse.

Pour montrer ce qui peut arriver en 24 heures, les spécialistes ont créé un pot de miel, c'est-à-dire un serveur aussi attrayant que possible aux yeux des attaquants sans pour autant contenir d'informations importantes. En une seule journée, ils ont enregistré plus de 10’000 cyberattaques provenant de 28 pays. Les cybercriminels ont essayé les ransomwares, les crypto-mineurs et les attaques en force.

2500 ans de sagesse

Pourquoi ces recherches sont-elles importantes? Sun Tzu l'a résumé il y a 2500 ans: «L’occasion de vaincre l'ennemi nous est donnée par l'ennemi lui-même», aurait dit le stratège militaire chinois, selon Mayencourt.

De cette manière, les spécialistes en cybersécurité peuvent en savoir davantage sur les techniques, les outils et les types d'attaques préférés de l'autre partie. «Cela nous permet d'apprendre de nos ennemis comment les vaincre», a justifié Mayencourt.

«Cessez d'être naïfs lorsqu'il s'agit du cyberespace et de notre utilisation des technologies modernes, a déclaré Mayencourt. Acceptez vos responsabilités.» Le patron de Dreamlab Technologies estime qu'un changement de paradigme est nécessaire.

«Nous devons entamer une discussion sur les responsabilités d'une société numérique et sur nos droits et notre vie privée dans le monde cyber, a-t-il ajouté. Nous devons nous améliorer de façon phénoménale, et nous devons le faire maintenant avant qu'il ne soit trop tard».

La cybersécurité doit renforcer la confiance

Le conseiller fédéral Ueli Maurer a pris la parole pour clôturer ces deux journées. Il a abordé la question de la carte d'identité électronique («Nous avons échoué sur toute la ligne») ainsi que celle du vote électronique («Un autre projet que nous pensions voir aboutir un jour»).

Pour le Conseil fédéral, ces défaites s’explique par un manque de confiance. «De notre point de vue, nous devons tout faire pour que les utilisateurs, les citoyens, aient confiance dans la numérisation», a déclaré Ueli Maurer.

Le conseiller fédéral Ueli Maurer lors de son intervention.

Pour le conseiller fédéral, la cybersécurité est l’élément crucial, c'est-à-dire l'élément visible du monde extérieur qui peut démontrer par exemple qu'une solution est sécurisée. «Nous avons besoin de confiance, et vous êtes notre partenaire dans la construction de cette confiance, a expliqué le conseiller fédéral. Sans cette confiance, nous n'avancerons pas aussi vite dans la numérisation que nous le devrions».

La première édition virtuelle du SCSD a rassemblé plus de 1800 participants. L'année dernière, 2700 visiteurs sont venus à Freiburg pour l'événement. La prochaine édition se tiendra les 6 et 7 avril 2022. D'ici là, les présentations et les conférences resteront accessibles sur la plateforme SCSD365