Les cyberattaques contre des entreprises sont de plus en plus fréquentes. Néanmoins, les compétences pour se protéger sont rares. Explications.
Selon une estimation de Microsoft Suisse, il manquerait plus de 40'000 spécialistes en cybersécurité pour répondre aux besoins des entreprises et des institutions. Pourtant, de nombreux experts estiment que la Suisse a tous les atouts pour devenir un des leaders mondiaux dans le domaine: des universités spécialisées et un système politique basé sur la neutralité. Analyse de Solange Ghernaouti, directrice du centre de compétence Swiss Cybersecurity Advisory & Research Group et professeure à l’Université de Lausanne.
Combien de cyberattaques ont lieu chaque année en Suisse contre des entreprises?
Solange Ghernaouti: Difficile d’y répondre avec précision. 228 incidents ont par exemple été rapportés au Centre national pour la cybersécurité (NCSC) pour la semaine du 31 août 2020, ce qui reflète partiellement la réalité. Toutes les cas ne sont pas détectés, rapportés ou dénoncés. Les actions de désinformation et d’espionnage ne sont pas comptabilisées.
Quels sont les principaux types d’attaques?
Ghernaouti: Tous les systèmes d’information, équipements connectés et institutions peuvent être des cibles. Cela peut conduire à des dysfonctionnements, sabotages, pertes de parts de marché ou de propriété intellectuelle et mettre en péril la pérennité des organisations ou la sécurité du pays. Certaines attaques portent atteinte à la disponibilité et à l’intégrité des infrastructures numériques, à la confidentialité des données ou permettent toutes sortes d’escroqueries et de fraudes. Les cybercriminels maîtrisent très bien le chantage et les demandes de rançons pour voler des données ou usurper l’identité des personnes. Il existe aussi des attaques commanditées par des concurrents qui s’appuient sur un marché organisé de la cybercriminalité et des acteurs compétents.
Selon une étude, il manquerait 40'000 spécialistes en Suisse. Comment l’explique-t-on?
Ghernaouti: Des études identifient le manque de spécialistes en informatique, dans toutes ses composantes, de la cybersécurité à l’intelligence artificielle. Le numérique et ses pratiques évoluent plus vite que les capacités de formation et la réactivité institutionnelle. Sécuriser et défendre un système d’information consiste à protéger, prévenir et réagir aux incidents et aux crises selon une approche stratégique et avec des mesures spécifiques. Il faut renforcer la robustesse et la résilience de toutes les infrastructures matérielles et logicielles, y compris de celles vitales au bon fonctionnement de la société.
Comment améliorer la résilience de ces infrastructures? Le nouveau centre NCSC, créé début 2019 par la Confédération, peut-il y parvenir?
Ghernaouti: Le nouveau centre NCSC, bâti sur une structure ancienne (MELANI), doit disposer de moyens pour répondre aux besoins de défense des intérêts nationaux, de sécurité des organisations publiques et privées et de la protection de la population. Une stratégie nationale de maîtrise des cyber-risques nécessite un cadre légal adapté, une organisation et un plan d’actions cohérents, des moyens significatifs et des compétences humaines à la hauteur des défis, à court et long termes. La cybersécurité s’appuie sur des compétences multidisciplinaires, et sur la complémentarité et la cohérence des mesures.
La Suisse pourrait-elle suivre l’exemple d’Israël qui subventionne ce secteur?
Ghernaouti: Copier des modèles qui répondent à la défense des intérêts d’autres pays n’est pas forcément approprié, mais on peut s’en inspirer. Il est important d’investir dans l’éducation et la recherche et de soutenir la filière industrielle. En revanche, il est préjudiciable de développer des talents, comme des start-up, et de les laisser se faire racheter pour servir les intérêts d’acteurs étrangers. Mais le vrai problème se situe dans la vulnérabilité croissante de la société face au numérique. Tant qu’il y aura une fuite en avant vers le "tout numérique" et que la cybersécurité - au sens global du terme - sera une option, il y aura toujours plus d’attaques et de besoins d’experts pour réparer les dégâts. C’est une mauvaise idée que de penser que des produits de l’intelligence artificielle pilotés par des entreprises étrangères puissent être une solution pour pallier ce manque.
De quels autres moyens dispose la Suisse pour se démarquer et faire évoluer ce secteur?
Ghernaouti: Investir dans la maîtrise des risques, contribuer à créer un secteur numérique plus robuste, plus sobre, plus respectueux de l’environnement et du vivant en développant une économie et une écologie du numérique vertueuses peut être un horizon. La Suisse a tous les atouts pour devenir un leader mondial d’un numérique plus robuste, résilient et plus sobre, leader de l’évaluation et de la certification de celui-ci et être un acteur incontournable du dialogue international.
