"La sécurité est difficilement mesurable"
Florian Schütz est le premier cyberdélégué de la Confédération. Dans un entretien avec le Forum de la sécurité, il explique pourquoi l'industrie est de plus en plus touchée par les cyberattaques et quels sont les principaux objectifs de cybersécurité à l'ordre du jour.
Monsieur Schütz, quels sont actuellement pour vous les plus grands défis de votre agenda ?
Parmi les défis opérationnels, la propagation des cyber-risques est au premier plan. L'exemple des failles de sécurité des serveurs Exchange montre que les incidents de sécurité sur des produits largement répandus touchent rapidement des centaines ou des milliers d'utilisateurs. Par ailleurs, notre priorité absolue reste de protéger les infrastructures critiques et la Confédération elle-même contre les attaques ciblées. Dans ce domaine, ce sont surtout les stratégies de plus en plus sophistiquées des agresseurs et surtout les attaques via la chaîne d'approvisionnement qui rendent la défense toujours plus exigeante.
Sur le plan politique, nous sommes confrontés à la difficulté que, d'une part, les procédures démocratiques prennent beaucoup de temps et que, d'autre part, la numérisation progresse rapidement au niveau international. Nous devons intégrer de manière plausible et efficace la cybersécurité dès le début des efforts de numérisation, afin de promouvoir la confiance des politiques et de la population dans ces technologies et de maintenir les processus de décision politique allégés en conséquence.
L'année dernière, Melani a enregistré une augmentation des attaques de ransomware sur les systèmes de contrôle industriels (mot-clé "Ekans"). Dans quelle mesure "Snake"/"Ekans" doivent-ils être considérés comme un avertissement que la convergence de l'informatique et des systèmes de contrôle des communications (ICS) ou de l'informatique de bureau (OT) a entraîné de sérieux risques de sécurité ?
La convergence de l'IT et de l'OT ne peut pas être stoppée. Il est donc d'autant plus important, par exemple, de mettre en place des interfaces et des zones de sécurité claires en conséquence. La sécurité doit être intégrée dès le début dans la planification de l'infrastructure et mise en œuvre tout au long du processus de développement jusqu'à l'exploitation. Je recommande ici par exemple l'approche du Domain-driven Design, qui permet d'adapter de manière optimale l'informatique aux exigences posées, y compris les exigences de sécurité.
Avez-vous déjà rendu la Suisse plus sûre et quels sont les principaux objectifs que vous souhaitez atteindre cette année encore en tant que chef cyber de la Confédération ?
La sécurité est difficilement mesurable et, en fin de compte, c'est à d'autres de décider si mes activités ont déjà apporté une contribution utile à la cybersécurité de la Suisse. Je suis toutefois convaincu que nous avons déjà obtenu des résultats. Nous avons affiné et renforcé l'organisation au sein de la Confédération. Concrètement, nous avons par exemple créé un point de contact national où les entreprises, les autorités et les citoyens peuvent signaler les cyberincidents de manière centralisée. Celui-ci transmet les demandes au service compétent, même en dehors de la Confédération. De même, nous avons rendu les informations sur la protection préventive plus facilement accessibles sur notre nouveau site Internet. En ce qui concerne la sécurité de l'application Swiss Covid, nous avons coordonné les tests de sécurité, non seulement en les testant nous-mêmes, mais aussi en impliquant le public. Ceci, pour ne citer que quelques exemples.
De mon point de vue, l'économie et les autorités ont toutefois encore du retard à rattraper dans différents domaines de la protection de base. La plupart des attaques réussies exploitent des vulnérabilités qui sont connues depuis longtemps et qui auraient pu être éliminées. Notre objectif à long terme est que le NCSC crée les conditions-cadres nécessaires pour permettre aux autorités et aux PME d'assumer leur propre responsabilité en matière de cyberprotection et d'exploiter les possibilités offertes par la numérisation à un coût raisonnable. D'ici la fin de l'année, nous souhaitons prendre différentes mesures pour atteindre cet objectif. Nous soumettrons au Conseil fédéral un projet visant à introduire une obligation de déclarer les cyberattaques, nous mènerons une campagne de sensibilisation en mai avec des organisations partenaires et nous travaillons avec les infrastructures critiques au développement de l'échange d'informations sur les cyberrisques.
Vous souhaitez engager davantage de spécialistes pour le Centre national de cybersécurité cette année encore. Les trouvez-vous ?
Jusqu'à présent, le NCSC n'a eu aucun problème à trouver des spécialistes appropriés. Nous disposons d'un vaste réseau de spécialistes et constatons toujours avec plaisir que nombre d'entre eux sont motivés pour mettre leur expertise au service de la sécurité de la Suisse.
L'interview complète est à lire dans l'édition imprimée de SicherheitsForum 2-2021.
Vous souhaitez lire les articles de ce numéro ? Alors fermez tout de suite ici un abonnement.
