Economiesuisse prône l'autorégulation plutôt que la contrainte étatique en matière de cybersécurité

Les cybermenaces sont en constante augmentation. Quels secteurs sont actuellement la cible des attaquants?

Dans la pratique, toutes les entreprises sont concernées aujourd’hui, du petit commerce familial au grand groupe technologique. Cependant, les infrastructures critiques telles que l'approvisionnement en énergie, le secteur de la santé ainsi que la logistique et les télécommunications sont toutefois particulièrement menacées. C'est dans ces secteurs que le risque de dommages pour l'ensemble de l'économie est le plus élevé. Parallèlement, nous observons que les entreprises de taille moyenne sont de plus en plus ciblées par des groupes de ransomware et autres cyberattaques criminelles.

Les chiffres actuels de l'Office fédéral de la cybersécurité dressent un tableau dramatique de cette évolution...

C'est vrai. En 2024, l’OFCS a reçu plus de 62’900 signalements, soit une augmentation de plus de 13’000 cas par rapport à l'année précédente. Ces chiffres illustrent de manière impressionnante à quel point les menaces ont augmenté. Ce qui a particulièrement changé, c'est la vitesse des attaques. Grâce aux nouvelles technologies et notamment à l'intelligence artificielle, les cybercriminels disposent de moyens toujours plus performants. Aujourd'hui, lorsque des vulnérabilités sont identifiées, il faut réagir immédiatement. Le temps pour réagir de manière appropriée est de plus en plus court.

Dans votre nouvelle prise de position sur la gestion réglementaire des cyberrisques, vous attribuez des tâches spécifiques à l'État. Quel rôle concret devrait-il assumer pour soutenir les entreprises dans la cyberprévention?

La cybersécurité est, selon nous, une question nationale. Nous considérons que l'État doit avant tout jouer un rôle de coordination, non pas dans une fonction de surveillance, mais en tant que partenaire de l'économie. Il s'agit d'une action collective contre les cybermenaces. Concrètement, cela signifie que l'État devrait mettre en place des systèmes d'alerte précoce, créer des plates-formes d'information et d'échange et mettre à disposition des ressources techniques. Il est important pour nous que cela ne soit pas interprété comme une attente d’un soutien gratuit de la part de la Confédération, ni comme un désengagement de la responsabilité propre de l’économie en matière de cybersécurité.Il doit plutôt s'agir d'un véritable engagement partenarial.

Comment évaluez-vous l'état actuel de la collaboration entre l'État et l'économie en matière de cybersécurité en Suisse?

Ce n'est pas qu'il n'y a pas de collaboration, elle existe bel et bien. Avec le Cybersecurity Hub, par exemple, l’OFCS a mis en place une plateforme très prometteuse qui permet d'échanger des données. Mais ce qui doit encore être amélioré, c'est la rapidité et la réciprocité de l'échange d'informations. Jusqu'à présent, l'obligation de notification, en vigueur depuis avril, oblige les entreprises à signaler les menaces correspondantes. Mais cet échange devrait fonctionner de manière à ce que l'économie puisse également profiter de la collecte d'informations. Il faut un échange d'informations rapide et réciproque, presque en temps réel, pour que les entreprises soient averties et que les partenaires du secteur privé puissent se coordonner directement entre eux et réagir en conséquence. Les données qui datent de plusieurs semaines ne sont régulièrement plus d'aucune utilité pour les entreprises.

Dans votre prise de position, vous mentionnez à plusieurs reprises une «réglementation flexible et adaptative». Qu'est-ce qui vous dérange exactement dans la réglementation actuelle?

Le problème fondamental de la réglementation actuelle réside dans sa rigidité. Les cyber-risques ne peuvent pas être simplement supprimés de la réglementation - chaque attaque est unique et nécessite des réactions individuelles. Les règles rigides, telles que la notification dans les 24 heures, sont souvent difficiles à mettre en œuvre. Ceci est particulièrement vrai en combinaison avec le champ d'application étendu et parfois peu clair de l'obligation de notification. Une entreprise touchée par une attaque de ransomware se trouve dans un état d'urgence - comparable à un incendie. Dans un tel cas, une action rapide et flexible est requise. Dans une telle situation, effectuer déjà une évaluation fiable dans les 24 heures et établir les déclarations correspondantes représente une charge considérable.

À quoi pourrait ressembler concrètement un cadre réglementaire flexible et adaptatif?

Un tel cadre devrait être basé sur des principes et conçu de manière technologiquement neutre. Cela signifie se concentrer sur des principes plutôt que sur des règles détaillées. Nous devrions encourager l'autorégulation par le biais d'associations sectorielles et établir une réglementation modulaire qui puisse être régulièrement contrôlée et adaptée en conséquence. Quant aux sanctions, elles devraient, le cas échéant, ne s’appliquer qu’en cas de faute directe. Il est important de favoriser une culture ouverte de l'erreur, car, comme chacun sait, on apprend de ses erreurs.

Existe-t-il des modèles internationaux dont la Suisse pourrait suivre?

Il existe des approches intéressantes. Le Canada et les Pays-Bas, par exemple, suivent des approches orientées vers la coopération et basées sur la confiance. Ces pays communiquent très clairement que les entreprises peuvent faire des déclarations privées sans pression juridique. Le feedback sur ces systèmes est très positif et l'échange d'informations fonctionne nettement plus rapidement. De tels modèles misent sur des partenariats public-privé et obtiennent apparemment de meilleurs résultats que les approches purement réglementaires.

L'autorégulation est un point central de vos revendications. Dans quels secteurs fonctionne-t-elle déjà bien aujourd'hui et où constatez-vous encore des lacunes ?

L'autorégulation particulièrement bien dans les secteurs où la pression sur la réputation est forte, où les exigences des clients sont élevées et où les connaissances techniques sont adaptées. Il s'agit surtout du secteur financier, des assurances, des télécommunications et du secteur informatique lui-même. Des déficits existent en revanche dans les domaines où la sensibilisation est insuffisante et où les ressources font également défaut. Cela concerne souvent les entreprises de taille moyenne en dehors de la branche tech, qui ont besoin de soutien tant en termes de sensibilisation que de ressources disponibles.

L'autorégulation sectorielle ne risque-t-elle pas d'aboutir à un patchwork de normes différentes?

Je peux comprendre cette inquiétude, mais il ne faut pas oublier qu'il existe des besoins spécifiques à certains secteurs. Si l'on adopte une réglementation globale, on risque de ne pas faire suffisamment de distinction et d'imposer à certains secteurs des réglementations conçues pour d'autres secteurs. Cela conduit à des charges de conformité inutiles. Une banque ne doit par exemple pas remplir les mêmes exigences qu'une entreprise de menuiserie. L'État peut toutefois encourager l'autorégulation reconnue par l'État et jouer un rôle de coordination sans trop s'immiscer dans les besoins spécifiques des différentes branches.

La Suisse est-elle déjà, du point de vue réglementaire, suffisamment préparée pour faire face aux défis futurs tels que l’intelligence artificielle ou la technologie quantique?

Les défis des nouvelles technologies ne sont sans doute pas encore suffisamment intégrés partout. Il convient toutefois d'être prudent en matière de réglementation: en raison du rythme extrêmement rapide de l’évolution technologique, il est indispensable que nous régulions de manière technologiquement neutre et que nous restions ainsi agiles. Une réglementation détaillée est en principe en retard sur la technologie - en particulier dans le cadre de notre long processus législatif en Suisse. Si nous inscrivons par exemple une technologie de chiffrement particulière dans la loi, cela peut avoir pour conséquence que de nouvelles technologies plus performantes ne puissent pas être appliquées, car elles ne sont pas prévues par la loi.

Quelles sont, selon vous, les prochaines étapes urgentes pour renforcer durablement la cyber-résilience de l'économie suisse?

Il est essentiel de mettre en place un système d'alerte précoce fonctionnel, coordonné par l'État mais alimenté par des données provenant de l'économie. Nous devons encourager les partenariats public-privé et mieux soutenir notamment les PME en matière de cybersécurité. Parallèlement, il est important que la Suisse ne passe pas à côté des évolutions technologiques. De nombreux pays européens s'intéressent de très près aux nouvelles technologies. Il faut ici une étroite collaboration entre l'économie, la science et l'État, afin que nous puissions nous préparer à temps aux nouveaux dangers.

En tant qu'organisation faîtière des entreprises suisses, quel message souhaitez-vous faire passer aux politiques ?

La cybersécurité est un thème économique global qui concerne chaque entreprise. Il en va de la sécurité nationale et de la souveraineté numérique. Notre prise de position est une offre de collaboration. Nous n'avons pas besoin de plus de réglementation, mais d'un véritable échange d'informations, réciproque et rapide. La Confédération doit coordonner et soutenir, mais pas dicter d'en haut ce qu'il faut faire. Car en fin de compte, ce sont les entreprises elles-mêmes qui savent le mieux où le bât blesse chez elles. L’OFCS s'est déjà engagée sur la bonne voie avec l'introduction du Cybersecurity Hub et la récente coopération Swiss FS-CSC. Cette voie doit être poursuivie. Ensemble, nous pouvons obtenir beaucoup plus qu'avec un système de règles et de sanctions.