Entretien avec un expert : Déjouer les cyber-attaques
La Confédération suisse s'équipe, elle investit beaucoup dans certains départements. En revanche, comment les nombreuses petites et moyennes entreprises de Suisse pourraient-elles se défendre contre les cyber-intrusions ? Peter Regli, ancien responsable suprême du Service de renseignement suisse, divisionnaire à la retraite et aujourd'hui expert en sécurité, présente les quelques possibilités qui s'offrent à lui.
Les rapports de la branche sur le développement des cybermarchés noirs montrent d'année en année que le cyberespace n'est plus depuis longtemps le terrain de jeu d'acteurs isolés, mais qu'il inspire des hiérarchies de groupes méticuleusement organisés. Serge Droz, directeur du département de sécurité "Switch", qui attribue des adresses Internet sur mandat de la Confédération, parle de 40 000 à 50 000 nouveaux virus informatiques qui attaquent chaque jour l'économie suisse. Selon M. Droz, la plupart des attaques sont inoffensives. Toutefois, des virus très dangereux s'introduisent parfois dans les réseaux et les centres de calcul. Ces intrus dirigés par la finance provoquent des dommages et ont des conséquences économiques. Comment Peter Regli, ancien responsable du Service de renseignement suisse avec le grade de divisionnaire à l'état-major général et aujourd'hui expert en sécurité très respecté, se protégerait-il contre les nouvelles formes de cyberattaques - peut-être du point de vue d'une PME ?
"La nécessité d'une alliance entre sécurité nationale et défense dans le cyberespace ne semble pas être un sujet".
Comment jugez-vous la coopération entre les autorités et l'économie, entre les dossiers de "cyberdéfense" de l'État et les entreprises, qui s'adaptent différemment aux cyberattaques ?
En 2012, le Conseil fédéral a adopté une "stratégie de protection de la Suisse contre les cyberrisques" définie par tous les départements en collaboration avec l'économie. Mais chaque département a ensuite suivi sa propre voie lors de la planification de la mise en œuvre. Au niveau de l'administration fédérale, les activités des acteurs de la cybersécurité sont certes coordonnées, mais une véritable direction et des objectifs clairement définis en matière de politique de sécurité font largement défaut. Ainsi, le DFF et le DFAE s'occupent en premier lieu d'eux-mêmes. L'armée reste majoritairement exclue. Elle est toujours mise dans un coin avec le terme générique de "subsidiarité" - elle devrait s'occuper des scénarios de crise et de conflit. La nécessité d'une alliance entre la sécurité nationale et la défense dans le cyberespace ne semble donc pas être à l'ordre du jour. L'économie travaille principalement seule contre les cyberattaques. Cette situation est très préoccupante.
L'affaire de la NSA et les révélations qui y sont liées ont ébranlé les relations transatlantiques. Elles ont également mis en évidence le rôle politiquement important attribué à Internet et les différences de traitement du stockage des données de part et d'autre de l'Atlantique. Diriez-vous que l'affaire de la NSA a apporté plus de transparence à l'industrie de la sécurité ?
Le tsunami médiatique déclenché par Edward Snowden contribue sans aucun doute à ce que l'importance des technologies de l'information, d'Internet, des appareils mobiles et des médias sociaux soit discutée même dans le coin le plus reculé de notre pays. L'utilisation quotidienne des technologies les plus modernes, y compris les activités sur les réseaux sociaux les plus divers, illustre de manière drastique la situation actuelle du citoyen transparent. Il incombe donc à chaque utilisateur d'assumer sa propre responsabilité dans cette sphère d'information en évolution rapide. Les utilisateurs de nouvelles technologies devraient également pouvoir évaluer eux-mêmes les dangers de leurs actes. Ils devraient transmettre leurs informations de manière réfléchie ou les mettre "dans le nuage".
L'armée a inscrit la "cyberdéfense" sur ses bannières, par analogie avec les domaines "air" et "sol". Depuis l'automne dernier, il existe des formations dans le domaine de la "cyberdéfense". On mise ici sur les synergies en termes de connaissances et de réseaux en dehors de l'armée. Comment jugez-vous cette évolution ?
Après avoir échoué à se mettre d'accord sur une mise en œuvre commune de la cyberstratégie au niveau fédéral en 2012, le DDPS est passé à l'action. Il a nommé un délégué pour le domaine "Défense/Armée". Celui-ci peut également s'appuyer sur les compétences et les connaissances des membres de la milice pour mettre en œuvre sa stratégie. Les connaissances disponibles dans l'économie et dans la recherche - voir nos hautes écoles - seront ainsi intégrées dans le projet "Cyberdéfense armée" par le biais de membres hautement qualifiés de l'armée de milice. Il y aura certainement aussi des effets positifs pour l'économie. Il devrait en résulter une situation gagnant-gagnant pour tous les acteurs. La mise en œuvre stratégique, l'analyse et la synthèse prendront toutefois des années. Il serait toutefois illusoire de vouloir enregistrer un résultat visible à court terme.
Kurt Nydegger, chef de la division Guerre électronique et chef de la base suisse d'aide au commandement, souligne régulièrement le manque de compréhension des cyberattaques aux niveaux décisionnels de la Confédération. Pouvez-vous imaginer pourquoi Kurt Nydegger manque d'un soutien politique en Suisse ?
Le divisionnaire à la retraite Nydegger est un expert de l'aide au commandement de notre armée et, en tant qu'officier supérieur d'état-major, un connaisseur des tâches et des processus de notre État et des départements. Il connaît le manque de conscience des responsables concernant la cybermenace. Il connaît la moindre motivation à prendre des mesures contre les cyberattaques - à réaliser les investissements nécessaires, y compris les bases juridiques. Kurt Nydegger devrait lentement en déduire qu'il faut d'abord un sinistre majeur en Suisse pour pouvoir faire des progrès dans une zone à risque naturelle.
La cyberdéfense ne signifie pas simplement l'espionnage et la divulgation d'e-mails privés par des spécialistes étatiques ou privés, il s'agit plutôt d'objets publics critiques. Selon vous, quelles sont les infrastructures de la Suisse qui devraient vraiment être surveillées et pourquoi ?
Depuis 1994, on parle d'"infrastructure critique nationale". Les domaines susceptibles d'être durablement affectés par une cyber-guerre (et qui ont déjà été attaqués à plusieurs reprises) ont été définis (per se pour tous les niveaux de responsabilité). Les principaux fournisseurs de services de notre pays en font partie. Il s'agit parfois de tous ceux qui sont exploités, commandés et mis en réseau par l'informatique : Énergie, Électricité, Eau, Transports, Organismes de secours, Place financière et bancaire, Administration, Transport aérien, etc. En novembre 2014, un exercice combiné sera organisé pendant plusieurs semaines dans le cadre du "Réseau national de sécurité". Ce scénario prévoit pour une grande partie du pays une panne de courant de plusieurs jours, un "blackout" généralisé ainsi que, simultanément, une pandémie de grippe. Laissez-vous surprendre par les observations et les enseignements qui seront publiés au public par la Confédération et les cantons à l'issue de l'exercice. Il est certain que l'exercice ramènera de nombreuses personnes, et notamment les responsables, à la réalité. J'espère qu'au plus tard à ce moment-là, la motivation de travailler ensemble et de coordonner plus efficacement la cybermenace entre l'État et l'économie sera plus grande.
Existe-t-il une sorte de remède universel contre les attaques de pirates informatiques ?
Pour pouvoir réellement contrer les cyberattaques fictives et réelles, une nouvelle loi sur le renseignement (LRens) sera certainement aussi impérative. Les "optimistes" parmi nos parlementaires, qui croient en la paix éternelle et en "l'homme bon", voient dans cette loi une menace pour la sphère privée. Pourtant, des mesures de protection de la sphère privée sont nécessaires. Il faut espérer qu'après l'exercice de novembre 2014, les sept départements, les cantons et l'économie parviendront à la conviction que seule une action commune contre les cyberattaques peut conduire au succès. Le monde est une poudrière. La mèche de la "cyber-guerre" brûle depuis longtemps - et ce dans le monde entier ! Les responsables politiques de notre pays devraient en prendre conscience, et ce avant qu'une cyberattaque ne prenne les proportions d'une guerre.
Pensez-vous que le secteur civil et l'armée devraient être considérés séparément dans la mesure du possible, ou quels sont les domaines d'activité que les PME et les autorités publiques pourraient partager - en ce qui concerne les nouvelles cybermenaces ?
Comme mentionné, dans le domaine de la cyberdéfense, la coopération et la coordination sont des conditions indispensables au succès. La Confédération soutient le public avec sa propre "Centrale d'enregistrement et d'analyse pour la sûreté de l'information", appelée MELANI. Celle-ci recense les risques et les dangers actuels dans le domaine informatique, les évalue et en diffuse l'importance. Cela sert notamment à l'alerte précoce et à l'alarme. Malheureusement, MELANI n'atteint qu'une partie des infrastructures critiques de l'économie et des cantons.
Monsieur Regli, merci beaucoup pour cet entretien.
Info : Investir contre les risques
D'ici 2017, l'administration fédérale doit obtenir 38 nouveaux postes pour la défense contre les cyberattaques. En outre, 21 nouveaux postes sont prévus pour l'armée. La "Stratégie nationale de protection contre les cyberrisques 2012" a mis en évidence un besoin de rattrapage en termes de personnel et de technique afin d'agir de manière plus conséquente contre les pirates informatiques qui ne cessent de s'équiper, voire contre les cyber-assassaillants. Selon le document de planification ci-dessus, la mise en œuvre de la stratégie nationale de protection de la Suisse contre les cyberrisques coûterait chaque année au moins huit millions de francs.