"Les solutions traditionnelles de sécurité informatique ne suffisent plus".
Les 27 et 28 février, les Swiss Cyber Security Days ont eu lieu pour la première fois à Fribourg. Ils avaient pour objectif de réunir décideurs, spécialistes et utilisateurs. Les organisateurs ont délibérément voulu éviter de créer une "vitrine" de fournisseurs de sécurité. Ils sont néanmoins parvenus à convaincre des représentants de premier plan du domaine de la cybersécurité d'intervenir en tant que conférenciers.
La première plateforme nationale pour la cybersécurité en Suisse a débuté avec les Swiss Cyber Security Days (SCSD) s'est achevée le 28 février au Forum Fribourg. Avec plus de 2200 participants nationaux et internationaux sur deux jours, le nombre de visiteurs a dépassé les attentes des organisateurs. Les SCSD ont mis l'accent sur les menaces croissantes que représentent les cyberattaques en organisant un salon et en organisant des conférences avec une soixantaine de personnalités internationales et nationales de renom issues du monde politique, économique et de la recherche.
Plate-forme d'information pour les experts et les utilisateurs
Cet événement de deux jours a été initié par Daniel Berger, ancien conseiller personnel du chef du DDPS et président du conseil d'administration de Securserv Technologies SA. En collaboration avec des experts et des leaders d'opinion dans le domaine de la sécurité informatique, il a commencé à développer un concept en 2017. Il devait servir de plateforme d'information aussi bien aux décideurs - surtout aux représentants des autorités - qu'aux experts et surtout aux utilisateurs. Car dans le sillage de la mise en réseau presque totale, la gestion des cyber-risques est une nécessité. "Il faut faire pression d'en bas pour que quelque chose se passe en haut", a déclaré Daniel Berger lors d'une table ronde avec les médias. La situation cybernétique en Suisse, le développement des blockchains, les risques des smart cities et l'influence du dark web ne sont que quelques-uns des nombreux thèmes qui ont été abordés à Fribourg.
Des spécialistes nationaux et internationaux de haut niveau
Les organisateurs ont réussi à faire venir à Fribourg des experts renommés du monde entier en tant que conférenciers et keynote speakers. Des hackers comme Charlie Miller, qui a mis en évidence de nombreuses failles de sécurité dans l'électronique des véhicules - ce qui a d'ailleurs été démontré de manière impressionnante par la chercheuse en sécurité argentine Sheila A. Berta - ou des spécialistes en informatique comme Eugene Kaspersky, CEO du prestataire de services de sécurité informatique Kaspersky Lab, ont montré au public, à l'aide de nombreux exemples, où la cybersécurité doit jouer un rôle. Constatation effrayante : presque partout. "Aujourd'hui, nous enregistrons 380 000 nouveaux codes malveillants par jour. En 1998, c'était encore 50, en 2008 déjà 14'500 codes malveillants", a déclaré Eugene Kaspersky. Et avec l'industrie 4.0 et l'Internet des objets, nous ne serions qu'au début des cybermenaces potentielles. "We need to protect everything", tel est l'appel du spécialiste russe. Les solutions de sécurité informatique traditionnelles ne suffisent plus. Il faut plutôt parler de "cyber-immunité". "L'effort pour causer des dommages doit être supérieur aux dommages causés", explique Kaspersky.
Si le DDPS a aussi ses failles de sécurité
La cybersécurité concerne tout le monde, mais pas dans la même mesure. Les besoins en matière de sécurité sont différents et sont également perçus différemment. Lors des deux journées, les participants se sont accordés sur le fait que la cybersécurité doit être massivement améliorée à de nombreux égards. Rien qu'en Suisse, il existe des milliers de systèmes vulnérables connus - parmi lesquels se trouvent par exemple des machines entretenues à distance avec des interfaces ouvertes, ou encore des prestataires de services financiers qui n'ont pas équipé leurs systèmes d'exploitation des dernières mises à jour de sécurité, comme l'a expliqué Nicolas Mayencourt de Dreamlab AG, une entreprise de conseil en matière de sécurité informatique critique active au niveau mondial. Et les autorités de sécurité ne sont pas non plus à l'abri de fuites de noms de collaborateurs ou de leurs adresses électroniques, qui circulent aujourd'hui librement sur le Dark Web.
"L'État doit sensibiliser"
Tout le monde est donc tenu de renforcer la cybersécurité : l'État, l'économie, mais aussi les citoyens. C'est ce qui est ressorti d'une table ronde réunissant des experts et des représentants du monde politique. Monique Morrow, présidente de The Humanized Internet, Damir Bogdan, Digital Transformation Advisory chez Actvide, le conseiller aux Etats Josef Dittli, président de la CSI-E, Damian Müller, le plus jeune membre du Conseil des Etats, et Marc Furrer, Senior Partner de Monti Stampa Furrer & Partners AG et ancien directeur de l'OFCOM, ont participé à cette table ronde. Josef Dittli a fait appel à la responsabilité personnelle des citoyens, la tâche principale de l'Etat étant de sensibiliser. Mais il est plus que jamais sollicité dans la protection des infrastructures critiques et dans la cyberdéfense nationale. La sensibilisation à la thématique, l'éducation et une coopération plus étroite entre les organisations sont des facteurs clés pour endiguer la cybercriminalité, a conclu la conférence.
Sensibiliser les utilisateurs
La sensibilisation est donc la condition sine qua non pour minimiser les risques. Le Finlandais Mikko Hyppönen, un chercheur renommé dans le domaine de la cybercriminalité, a ainsi expliqué que pour lui, la sensibilisation des utilisateurs aux dangers est le moyen le plus important pour que la cybercriminalité ne prenne pas le dessus. Et la cybercriminalité n'est pas seulement une menace qui concerne les États ou les entreprises. Internet peut aussi littéralement mettre en danger sa propre santé. Aujourd'hui, même l'ADN personnel n'est plus privé via des tests génétiques proposés en ligne. La protection des données de santé est donc un domaine qui doit être abordé avec un tact particulier. Mais là aussi, il y a souvent deux poids et deux mesures en matière de conscience des risques, comme l'a expliqué le professeur Jean-Pierre Hubaux de l'EPFL. D'une part, on exige les plus hautes exigences de sécurité pour le dossier électronique du patient, d'autre part, les wearables ou les applications de fitness téléchargeraient sur le réseau des données de santé que l'on ne partagerait autrement qu'en privé avec un cercle restreint de personnes...
Les prochains Swiss Cyber Security Days auront lieu les 12 et 13 février 2020.