« Plus une en­tre­prise est nu­mé­rique, plus elle est dans le col­li­ma­teur »

Interview

La criminalité sur l’Internet a fortement progressé. Aujourd'hui, plus de 80 pour cent des attaques d’entreprises et de particuliers sont le fait de bandes criminelles. Qui sont les personnes particulièrement exposées et comment se protéger des attaques, même en télétravail, autant de questions auxquelles Florian Schütz, délégué fédéral à la cybersécurité, s’efforce d’apporter des réponses dans cet entretien.

Monsieur Schütz, voilà près de deux ans que vous vous occupez des cyberrisques à la demande de la Confédération. Quel bilan tirez-vous ?

Ces dernières années, nous avons réussi à sensibiliser la population et les entreprises à la problématique de la cybersécurité. Pourtant, nous notons toujours de grandes différences en matière de cybersécurité – surtout au sein des entreprises. D'une part, il y a celles qui sont mal préparées et continuent de penser que la cybersécurité n’est pas essentielle en ce qui les concerne. De l’autre, des entreprises qui prennent ce sujet au sérieux et investissent dans ce domaine. Si l’on considère la Suisse dans son ensemble, nous n’en sommes encore qu’à la moitié du chemin. Il y a encore beaucoup de travail à faire.

Pourquoi en est-il ainsi ?

Les acteurs économiques surtout ont encore tendance à trop considérer l’informatique comme un simple support. Elle facilite la comptabilité et est utilisée pour la communication. Or, de nos jours, l’informatique est un pilier important de toute entreprise. C’est la raison pour laquelle, les ingénieurs informatiques devraient également être représentés au sein de la direction de l’entreprise pour y aborder des sujets comme celui de la cybersécurité. Dans les entreprises technologiques internationales, c’est le cas depuis longtemps.

« Les criminels ont simplement besoin de détecter une seule faille pour pénétrer dans le système, alors que les ingénieurs n'ont pas le droit à l’erreur. »

Vous-même, vous avez travaillé pour des sociétés comme RUAG ou Zalando et jouissez d'une expérience de plus de dix ans dans le domaine de la sécurité informatique. Quels sont les développements essentiels à ce sujet ?

Il est particulièrement compliqué de développer des systèmes informatiques qui soient le moins vulnérables possible. Voyez-vous, c’est un combat inégal : les criminels ont simplement besoin de détecter une seule faille pour pénétrer dans le système, alors que les ingénieurs n'ont pas le droit à l’erreur.

Florian Schütz

Déconseille sans équivoque de verser des rançons aux cybercriminels : Florian Schütz, le délégué fédéral à la cybersécurité. (© Keystone-SDA, Gaëtane Bally)

Quelles sont les entreprises ou les branches qui sont particulièrement menacées ?

Je ne parlerais pas d’entreprises ni de branches, mais de degré de numérisation. Plus une entreprise est numérique, plus elle est dans le collimateur des cybercriminels. Et le dommage qu’ils peuvent provoquer est d’autant plus gros qu’ils arrivent à voler des données personnelles.

Nombre d’entreprises subissent un chantage à la suite de telles attaques dites de rançongiciels (ransomware). Soit l'on « passe à la caisse », soit les données sont publiées ou supprimées. Les entreprises doivent-elles céder au chantage ?

Non, en aucun cas. Les entreprises ne doivent pas laisser les cybercriminels les faire chanter. Verser une rançon, c’est encourager ce modèle économique et, pire, la criminalité organisée qui se cache derrière. Il vaut mieux s’adresser à la police ou à nos services. Et l'on peut alors discuter de la marche à suivre.

Que puis-je faire en tant qu’entrepreneur ou particulier pour me protéger contre de telles attaques ?

Il faut toujours maintenir son système à jour. Cela implique l’installation d'un pare-feu ainsi que le téléchargement des dernières mises à jour de sécurité pour le matériel et les logiciels qui activent la dernière version du programme anti-virus. Celui qui protège son ordinateur privé des attaques aide également les entreprises. Car, souvent, ce sont des ordinateurs privés qui sont utilisés pour pénétrer dans le système des entreprises. Il est également recommandé de procéder à une sauvegarde de ses données (back-up). Ainsi, elles ne seront pas perdues en cas d’attaques, ni en cas d’incendie.

Les cyberrisques relèvent de la catégorie des risques difficilement estimables. Le progrès fulgurant du numérique complique encore leur évaluation. Ces risques sont-ils réellement évaluables rapidement et de manière fiable ?

Ce n’est effectivement pas simple. Une analyse des risques permet tout à fait d’estimer les risques inhérents aux processus opérationnels. Or, on ne peut jamais être totalement en sécurité. De toute façon, on n’en a pas envie non plus. Si le risque était nul, l’entreprise n’aurait plus besoin d’être agile. En outre, les profils de risques sont différents d’une entreprise à l’autre. Une start-up peut accepter de courir davantage de risques qu’une entreprise bien établie.

« Le problème, c’est la cybercriminalité organisée qui représente 80 pour cent de la criminalité sur la toile. Les attaques de rançongiciels à elles seules ont progressé de 30 pour cent ces derniers temps. »

Quel est actuellement le risque par excellence en matière de sécurité informatique ?

Il n'y a pas un risque qui serait plus important que tous les autres. Le problème, c’est la cybercriminalité organisée qui représente 80 pour cent de la criminalité sur la toile. Les attaques de rançongiciels à elles seules ont progressé de 30 pour cent ces derniers temps. Il s’agit alors souvent d’organisations internationales. Une collaboration étroite avec les autorités étrangères de poursuite pénale revêt donc une grande importance.

Qu’en est-il de la protection des infrastructures critiques, comme le réseau électrique par exemple ? Sont-elles bien prémunies contre les cyberattaques en Suisse ?

Les niveaux de développement sont différents. Certaines infrastructures critiques sont bien protégées ; pour d’autres, il y a encore des progrès à faire. Nous sommes en train de mettre en place une obligation de déclaration et de signalement en cas de cyberincident. Cela nous permettra d'évaluer à l'avenir quelles infrastructures sont les plus exposées. D’une manière générale, on peut dire que la motivation des pirates doit être très grande pour s’attaquer à de telles installations. Il y a bien d’autres moyens de gagner de l’argent beaucoup plus facilement.

Peut-on s’assurer contre de tels cyberrisques ?

Oui, il y a des cyberassurances. Je ne peux pas vous dire si elles sont bonnes ou non. Pour certaines entreprises, une telle assurance peut être intéressante. L’important, c’est que l’assurance respecte les règles du jeu et que vous ne cédiez pas aux demandes de rançons. Même si cela devait s’avérer moins cher que les coûts de la reconstitution des données.

Le Centre national pour la cybersécurité

Le Centre national pour la cybersécurité (National Cyber Security Centre - NCSC) est le centre de compétences de la Confédération en matière de cybersécurité et le premier interlocuteur pour les milieux économiques, l’administration, les établissements d’enseignement et la population pour toute question relative à la cybersécurité. Il est responsable de la mise en œuvre coordonnée de la stratégie nationale de protection de la Suisse contre les cyberrisques. Le NCSC soutient les infrastructures critiques en matière de protection et de traitement des incidents. Il met à la disposition des offices spécialisés un pool d’experts chargé de les assister dans le développement et la mise en œuvre de normes en matière de cybersécurité. Il fait également office de guichet unique et centralise les notifications concernant les cyberincidents émanant de la population et des milieux économiques, les examine et donne aux personnes ou aux services à l’origine du signalement une évaluation de l’incident concerné ainsi que des recommandations pour la suite de la procédure.

Quel rôle joue le système fédéraliste dans le traitement de la cybersécurité ?

Il présente des avantages et des inconvénients. En cas d'incidents, la coordination des différents cantons peut ralentir le temps de réaction. D’un autre côté, chaque canton a ses points forts. Zurich et Vaud sont très performants en matière de poursuite pénale, le Tessin est à la pointe de la formation numérique, le canton de Zoug se spécialise dans les tests de sécurité des produits, pour n’en citer que quelques-uns. Nous nous efforçons de mettre les cantons encore mieux en réseau et de les rendre ainsi plus résistants aux cyberattaques.

Du fait de la crise du coronavirus, des formes de travail plus flexibles, comme le télétravail, ont gagné en importance : quelles nouvelles difficultés comportent-elles en termes de sécurité informatique ?

En télétravail, la vie privée et la vie professionnelle se mélangent. Cela a également des répercussions sur la cybersécurité. Souvent, les ordinateurs à domicile sont utilisés à la fois à des fins privées et professionnelles, ce qui peut entraîner des failles de sécurité par lesquelles des criminels arrivent à attaquer l'entreprise. C’est la raison pour laquelle, il faudrait séparer les appareils professionnels et les appareils privés. L’employeur devrait aussi installer un accès sécurisé à l’infrastructure informatique de l’entreprise. Il est également recommandé de verrouiller son ordinateur lorsque l'on n’est pas à son poste. Les enfants sont curieux et risqueraient de révéler des données sensibles sans mauvaise intention.

Pour finir, essayons de prédire l’avenir : on entend souvent dire que les ordinateurs quantiques pourraient devenir un problème de sécurité majeur, car ils seraient capables de décoder les cryptages en un rien de temps. Qu’en pensez-vous ?

Je ne suis pas un spécialiste des ordinateurs quantiques. Mais ils peuvent aussi être utilisés pour le cryptage, ce que l'on appelle la cryptographie quantique. Des recherches passionnantes sont en cours en Suisse à ce sujet. Il sera intéressant de voir si les ordinateurs quantiques permettront de garantir une meilleure cybersécurité dans le monde.

Portrait

Florian Schütz est le délégué fédéral à la cybersécurité. Il assure le rôle d’interlocuteur des milieux politiques, des médias et de la population pour les questions relatives aux cyberrisques. ll dirige le Centre national pour la cybersécurité (NCSC) et est responsable de la mise en œuvre coordonnée de la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). Il est titulaire d’un master en sciences informatiques et d’un Master of Advanced Studies en politique de sécurité et gestion de crise de l’École polytechnique fédérale de Zurich.