Bilan

Berne veut enrôler l’économie dans la cyberdéfense

La Confédération prépare sa stratégie pour se défendre vis-à-vis des attaques venues de l’internet. Elle souhaite mobiliser les geeks des entreprises.

L’an prochain, l’administration fédérale va jouer à se faire très peur. Catastrophe chimique, panne des ordinateurs du contrôle aérien qui clouent les avions au sol, chantage sur des décideurs clés… Et tout cela en même temps… Pourquoi? Parce que la conduite de l’exercice stratégique 2013 aura pour thème une vaste cyberattaque contre le pays avec prise de contrôle de machines et d’infrastructures par des virus informatiques, chevaux de Troie, propagande en ligne, etc. «La cyberattaque, c’est l’arme parfaite, explique Gérald Vernez, directeur suppléant du projet de cyberdéfense au Département de la défense (DDPS). Le potentiel et le savoir-faire pour de telles attaques sont là. Il ne manque que le passage à l’acte. Cela ne coûte pas cher et met toute l’économie d’un pays au tapis. L’effet de surprise est total. En plus, votre agresseur reste anonyme, empêchant toute velléité de riposte ou de représailles.» Pour faire face à cette menace, le Conseil fédéral a demandé en 2010 au DDPS et en l’espèce à un groupe d’experts emmenés par le divisionnaire Kurt Nydegger de préparer une stratégie nationale de cyberdéfense. Parce que la Suisse est menacée?

La Suisse cybermenacée

Depuis dix ans qu’il travaille sur ce sujet, y compris au travers d’une thèse dans le cadre de l’Ecole polytechnique de Zurich, Gérald Vernez affirme en tout cas que le risque n’a pas cessé de croître. «Le nombre de malwares introduits chaque jour sur internet est passé de quelques dizaines à plusieurs milliers avec des logiciels qui conçoivent et diffusent des vers et des virus de manière automatique.» Certes, mais n’est-ce pas une question de sécurité informatique gérable par les entreprises? Le Département de la défense doit-il s’en préoccuper comme s’il s’agissait d’un enjeu de sécurité nationale? Poser la question à Gérald Vernez c’est s’exposer immédiatement à une avalanche d’arguments. «La criminalité informatique a changé de nature, explique-t-il. On est passé du hacker individuel qui se lançait le défi de pénétrer un système ultraprotégé à la manipulation ou au recrutement de tels hackers par le crime organisé. On entre dans une nouvelle dimension. Celle d’organisations étatiques ou paraétatiques qui font de l’espionnage électronique, de la cyberguerre et de la guerre de l’information sur internet pour déstabiliser un pays essentiellement via son économie.» Avocat spécialisé dans le droit numérique, Sébastien Fanti confirme que «nombre de pays comme les Etats-Unis, la Chine, la Grande-Bretagne ou la France reconnaissent officiellement employer des escadrons de cybersoldats, y compris pour des activités offensives. Face à cela, la Suisse est une proie facile.»

De l’Estonie en 2007 à la Géorgie en 2008 en passant par les Etats-Unis en 2005 ou bien encore par l’affaire WikiLeaks, les exemples de cyberattaques «nationales» ne manquent pas. Mais le cas qui inquiète vraiment Gérald Vernez, c’est celui de Stuxnet. Découvert à l’été 2010, ce ver a infecté les systèmes de contrôle et d’acquisition de données (SCADA) de Siemens. Etant donné que 60% des machines infectées étaient en Iran, les soupçons se sont orientés vers une attaque partie d’Israël ou des Etats-Unis contre le programme nucléaire iranien qui utilise ces systèmes Siemens pour ses centrifugeuses. Les spécialistes n’ont aucun doute sur l’origine étatique de l’attaque tant Stuxnet était sophistiqué. Pour Gérald Vernez cela signifie qu’une offensive sur des infra-structures critiques n’est plus théorique. «Imaginez que les systèmes de contrôle pour le transport d’électricité ou les télécommunications tombent, toute l’économie du pays se retrouve à genoux.» Certes, mais la Suisse n’est pas l’Iran. La révélation en 2010 que les ordinateurs du Département des affaires étrangères avaient été entièrement siphonnés par des pirates et que les échanges de mails entre diplomates n’étaient plus protégés a cependant changé la donne. D’autant plus qu’un an plus tôt ce sont les ordinateurs du Secrétariat à l’économie qui avaient été attaqués. Et le tout dans un contexte qui faisait parler de guerre économique à propos du secret bancaire. Preuve en tout cas que la Confédération ne prend plus la question à la légère, elle a ratifié en septembre 2011 la Convention de Budapest sur la cybercriminalité après avoir traîné des pieds pendant dix ans. Reste que la Suisse n’était pas complètement désarmée depuis la création en 2004 de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information, MELANI. Piloté par le Département des finances mais aussi en partie relié au service de renseignements du DDPS depuis 2010, ce service collabore avec une centaine d’entreprises pour protéger les infrastructures vitales (énergie, transports, télécommunications…) du pays. Le problème, dont tout le monde convient, c’est que MELANI est notoirement sous-dotée. Et «elle ne peut rien faire ni pour surveiller nos frontières électroniques ni pour collaborer au-delà alors que la question est clairement internationale», ajoute Nick Mayencourt de l’entreprise bernoise de sécurité Dreamlab.

Cyberattaque  En 2010, le ver Stuxnet a infecté le site nucléaire de Natanz en Iran. Wikileaks  Les archives informatiques du site sont stockées dans une grotte sécurisée à Stockholm.   Economie ouverte ou service secret?

Pour les spécialistes de sécurité informatique comme le fondateur de NetObservatory (l’observatoire de la sécurité internet des PME) Antoine Delley ou celui de Objectif-Sécurité (société de conseil) Philippe Oechslin, la question est d’autant plus urgente que les risques débordent le périmètre de MELANI à cause de l’évolution même de l’informatique. Les smart grids qui relient compteurs intelligents et appareils électriques à l’ensemble du réseau pour produire d’énormes économies d’énergie multiplient les vulnérabilités. Même chose pour le cloud computing, autrement dit l’informatique à la demande qui disperse les données. De manière générale, le maillage toujours plus serré du monde physique avec le monde numérique, s’il est synonyme de gains de productivité et de compétitivité, ouvre un boulevard à toutes sortes de cyberattaques. «A côté de l’espace aérien ou terrestre, le cyberespace est devenu un nouveau champ de bataille», conclut la professeure et experte internationale de sécurité informatique de l’UNIL, Solange Ghernaouti-Hélie, pour qui «c’est bien désormais un problème de sécurité nationale, donc une question de défense». Le projet de stratégie de cyberdéfense dont Gérald Vernez nous a présenté les grandes lignes est la réponse à ce défi. Il ne repose pas sur la création d’une nouvelle agence mais sur une forme de coordination, notamment avec le nouveau Réseau national de sécurité, destinée à améliorer la coopération entre le DDPS et les cantons et à assurer le pilotage en cas de crise. Cette entité aurait aussi pour mission d’anticiper et de prévenir. Dans ce cadre, MELANI devrait être renforcée. Cependant, Gérald Vernez, qui mesure les limites de l’exercice, ajoute: «On va aussi utiliser le réseau économique de la Suisse d’une part pour sensibiliser, d’autre part pour faire remonter systématiquement les informations sur des attaques (ce qui supposerait une modification du cadre légal, ndlr), afin d’avoir une vue d’ensemble, et enfin en identifiant les gens compétents à disposition en cas de crise. Une milice, mais pas une milice militaire.»

Reste à convaincre l’économie de mettre à disposition des forces pour cette milice 2.0. Ce n’est pas gagné. Président de l’Association suisse des télécommunications, Fulvio Caccia remarque que «les opérateurs télécoms n’ont pas besoin de l’Etat pour faire face à des centaines d’attaques quotidiennement. Certes la Confédération a sans doute besoin de mieux se protéger, mais en quoi une nouvelle organisation, de surcroît militaire, avec tout ce que cela signifie en termes de connotations, est-elle nécessaire? Ne serait-il pas plus simple de doter MELANI de vrais moyens?» Ex-membre de la direction d’EconomieSuisse, Dominique Reber observe que «les entreprises internationales n’ont pas attendu la Confédération pour se préparer». Pas systématiquement opposé à une cybermilice, il avertit: «Il va falloir créer de l’adhésion à une telle stratégie, ce qui signifie opérer avec une transparence qui aille au-delà de la consultation qu’on nous a proposée.» Or c’est précisément ce que critique Sébastien Fanti. «Il s’agit de questions qui concernent les services secrets pour lesquels une procédure de consultation ouverte est contre nature.» C’est dans cette tension entre l’économie ouverte et les impératifs de secret d’Etat qu’évolue aujourd’hui la stratégie de cyberdéfense de la Suisse. Face à la complexité du problème et aux innombrables divergences d’intérêts, le risque est de n’aboutir qu’à une solution bricolée.

Crédits photos: USAF, Anthony Anthony, Dr

Fabrice Delaye
Fabrice Delaye

JOURNALISTE

Lui écrire

Fabrice Delaye a découvert Internet le 18 juillet 1994 sur les écrans des inventeurs du Web au CERN. La NASA diffusait ce jour-là les images prises quasi en direct par Hubble de la collision de la comète Shoemaker-Levy sur la planète Jupiter…Fasciné, il suit depuis ses intuitions sur les autoroutes de l’information, les sentiers de traverse de la biologie et étend ses explorations de la microélectronique aux infrastructures géantes de l’énergie.

L’idée ? Montrer aux lecteurs de Bilan les labos qui fabriquent notre futur immédiat; éclairer les bases créatives de notre économie. Responsable de la rubrique techno de Bilan depuis 2006 après avoir été correspondant de L’Agefi aux Etats-Unis en association avec la Technology Review du MIT, Fabrice Delaye est diplômé de l’Institut d’Etudes Politiques de Paris et de l’EPFL.

Membre du jury des SwissICT Awards, du comité éditorial de la conférence Lift et expert auprès de TA-Swiss à l’Académie Suisse des Arts et des Sciences, Fabrice Delaye est l’auteur de la première biographie du président de l’EPFL, Patrick Aebischer.

Du même auteur:

«Le prochain président relèvera les impôts»
Dubaï défie la crise financière. Jusqu'à quand'

Les newsletters de Bilan

Le cercle des lecteurs

Le Cercle des Lecteurs est une plate-forme d'échanger sur tout ce qui touche votre magazine. C'est le reflet de vos opinions, et votre porte-parole le plus fidèle. Plus d'info


Image Footer

"Tout ce qui compte.
Pour vous."