Cybercriminalité

«La Suisse n’est pas à l’abri de cyberactions»

Plus un jour ne passe sans que l’on parle de cyberattaque. Comme récemment les piratages informatiques des communes de Rolle (VD) et de Montreux (VD). Pourtant, l’ampleur de la menace venant du cyberespace a longtemps été sous-estimée en Suisse, selon Solange Ghernaouti, experte internationale en cybersécurité.

Texte Christine Werlé

Date 20.10.2021

Computer hacker with a hood touches the touch screen binary code. Light waves on abstract binary dark background hacker silhouette. Hacking computer system, database server, data theft, vector — Solange Ghernaouti: «Ce n’est pas le territoire de la Suisse qui est attaqué, mais son cyberespace».

Solange Ghernaouti, d’après les déclarations cet été du président américain Joe Biden, la cyberguerre entre les États a déjà commencé. De quoi parle-t-on au juste?

La cyberguerre fait référence à des cyberattaques contre des infrastructures numériques d’un pays pour porter atteinte à ses intérêts, le déstabiliser ou l’affaiblir économiquement, politiquement mais aussi culturellement.
La finalité est de soumettre, de contraindre ou d’influencer «l’autre» pour gagner en supériorité. Cela peut accompagner des conflits armés et servir des logiques de guerre et de compétitivité économiques. Il s’agit de faire la guerre par d’autres moyens que les armes, y compris en temps de paix. Agir dans le cyberespace pour obtenir des résultats concrets. Toutefois, qualifier une agression informatique comme relevant de la guerre, au sens classique du terme, est toujours délicat. Jusqu’à présent, la majorité des cyberattaques, même sur des infrastructures vitales, restent sous le seuil d’un acte de guerre.

Comment fonctionnent les attaques des pirates informatiques?

L’arme du crime, constituée de codes et de données informatiques, est projetée à distance, via le -réseau. Les entités à l’origine de cyberattaques, cachées derrière un écran et de multiples intermédiaires techniques, agissent souvent de l’étranger et loin des victimes. Quasi invisibles, sachant masquer leurs identités, elles disposent d’une isolation protectrice et d’un sentiment d’impunité.

De quoi parle-t-on?

Le Centre national pour la cybersécurité (NCSC) de la Confédération a enregistré cette année une nette augmentation des cyberincidents, qui sont passés de 10 606 en 2020 à 14 341 en 2021 (état au 30.09.2021). Pour Solange Ghernaouti, professeure à l’Université de Lausanne (UNIL) et experte internationale en cybersécurité, notre pays, qui n’a que récemment commencé à mettre en place une stratégie de cyberdéfense, présente plusieurs lacunes dans la protection de son territoire numérique.

Les grandes puissances sont régulièrement visées par des cyberattaques de grande ampleur, visant à les déstabiliser. La Suisse est-elle aussi concernée?

Affaiblir un secteur d’activité, faire perdre des parts de marché, manipuler les cours de la bourse, nuire à la réputation d’un pays, d’une entreprise ou de ses dirigeants peut s’inscrire dans des stratégies de déstabilisation émanant d’un pays envers ses ennemis, comme de ses alliés d’ailleurs, pour influencer des prises de décisions tant sur le plan diplomatique que commercial. La Suisse n’est pas à l’abri de telles cyberactions visant à lui nuire.

Cela s’est-il déjà produit dans notre pays?

Il y a eu quelques cyberattaques exemplaires. J’en retiendrais deux: celles qui ont touché en 2009 le Département fédéral des affaires étrangères (DFAE) et l’entreprise d’armement Ruag en 2015, et qui furent pour le Conseil fédéral des déclencheurs d’actions pour prendre en compte cette nouvelle dimension d’expression des crimes et des conflits.

Lausanne, 7 octobre 2021.
<br/>
<br/>Solange Ghernaouti, professeure à l'université de Lausanne (UNIL) et experte internationale en cybersécurité et cyberdéfense.
<br/>
<br/>©François Wavre | Lundi13 — Pour Solange Ghernaouti, la Suisse doit renforcer la protection de son espace numérique (photo: François Wavre | Lundi13).

Si l’on prend l’exemple de la commune de Rolle (VD), on a plutôt l’impression d’avoir affaire en Suisse à des cybercriminels qui cherchent à se faire de l’argent…

Difficile de généraliser. Il est parfois délicat de distinguer la motivation des attaquants. Si la majorité des cyberattaques ont des visées pécuniaires, il ne faut pas sous-estimer l’importance des actions de sabotage, d’espionnage, de désinformation émanant d’acteurs licites (concurrents, agences gouvernementales, etc.) qui ne sont pas forcément détectées et médiatisées. À cela s’ajoutent des opérations pouvant provenir de groupes terroristes ou d’activistes.

Les pirates informatiques sont-ils liés à des États?

Quelles que soient la finalité ou les cibles des cyberattaques, les outils et moyens pour les réaliser sont relativement identiques et sont disponibles tant pour des acteurs étatiques que pour des mercenaires à la solde de commanditaires. Sans revendication de leur part, les auteurs sont parfois difficiles à identifier par des moyens «cyber». Toutefois, leurs actions s’inscrivent dans une réalité politique, économique et criminelle connue, ce qui permet d’attribuer à des pays l’origine de certaines cyberattaques. Lors d’un dépôt de plainte, les forces de justice et police, en s’appuyant sur la coopération et l’entraide judiciaire internationales, peuvent être en mesure d’identifier des auteurs et de les poursuivre.

La Suisse prend-elle la menace au sérieux? Est-elle préparée à une cyberguerre?

La Convention européenne de lutte contre la cybercriminalité, signée par la Suisse en 2001, est entrée en vigueur en 2012, mais ce n’est que récemment qu’il y a eu une prise de conscience de l’ampleur du problème et que de nouvelles mesures ont été annoncées pour renforcer la cyberdéfense de l’armée, comme la création d’un commandement Cyber. La dimension «cyber» doit être intégrée dans toute démarche sécuritaire du pays, car de plus en plus d’opérations hostiles se réalisent via internet et non pas dans les airs ou sur terre. Ce n’est pas le territoire de la Suisse qui est -attaqué, mais son cyberespace. Dans son rapport d’août 2021, le Centre national pour la cybersécurité (NCSC), qui coordonne la mise en œuvre de la stratégie, précise que sur «les 275 étapes, 154 ont été franchies, et six des vingt-neuf mesures sont pleinement réalisées».

La création de ce commandement Cyber, qui sera opérationnel en 2024, fait partie de la stratégie du Conseil fédéral de développer la cyberdéfense au sein de l’armée. Cette stratégie prévoit également la création d’un cyberbataillon. Pourra-t-il prêter main-forte aux entreprises et aux communes?

Au-delà de son rôle de défendre les intérêts du pays, l’armée doit avoir les moyens d’agir dans le cyberespace, y combattre via du code informatique offensif. Ainsi, il ne faut pas penser la cyberdéfense uniquement en termes de soutien au secteur privé ou pour combler ses lacunes. La Suisse doit disposer d’une doctrine Cyber et d’armes de cyberdissuasion tout en promouvant une posture d’acteur incontournable de la défense des droits humains, de la paix, de la recherche de solutions pacifiques et de la désescalade des conflits.

Bio express

1958 Naissance le 5 décembre à Blida, en Algérie

1986 Docteure en informatique de l’Université Paris Sorbonne

1987 Devient la première femme professeure de la Faculté des HEC de l’Université de Lausanne

2011 Directrice du Swiss Cybersecurity Advisory & Research Group

2013 Membre de l’Académie suisse des sciences techniques

2019 Publie Cybersécurité – Analyser les risques, mettre en œuvre les solutions aux Éditions Dunod, le dernier d’une trentaine de livres sur le sujet.

* En vente sur exlibris.ch

Et la neutralité dans tout ça? Comment la Suisse pourra-t-elle la conserver si elle doit -riposter un jour à une cyber-attaque majeure?

Disposer d’une force de cyberdéfense pour agir légalement dans le cyberespace est compatible avec la neutralité helvétique. Être neutre, c’est aussi être capable de défendre sa neutralité. La Suisse, qui ne participe pas militairement à des conflits armés entre États, doit se protéger et réagir pour faire cesser des cyberattaques la visant. Elle doit être prête en cas de crise, renforcer ses infrastructures numériques et devenir un pays capable de survivre à un événement majeur pour devenir un pays «cyberrésilient».

La Suisse est-elle en retard par rapport à d’autres pays européens dans la mise en œuvre d’une stratégie de cyberdéfense?

La Kennedy School for Science and International Affairs de Harvard a publié en 2020 un index qui évalue trente États en fonction de leurs capacités en matière de cybersécurité et de cyberdéfense. Dans ce classement, la Suisse arrive au 17^e rang, alors que le Royaume-Uni, les Pays-Bas, la France et l’Allemagne sont respectivement en 3^e, 5^e, 6^e et 7^e position.

Où se situe la faiblesse de notre pays en matière de sécurité informatique?

Le réseau des PME est à considérer, me semble-t-il, comme une infrastructure critique pour le pays. Des cyberattaques ciblées sur certaines d’entre elles peuvent être dévastatrices pour la société. Les individus ou les entreprises victimes de cyberattaques sont souvent considérés de manière isolée, sans prise en compte des impacts globaux sur la société et des effets en cascade sur le long terme. Cela ne permet pas de comprendre l’ampleur du phénomène. Voler 1000 francs par exemple à une PME semble bénin, mais voler 1000 francs à 99% des entreprises suisses l’est beaucoup moins.

À part les PME, existe-t-il d’autres maillons faibles?

Les principaux points faibles sont liés au manque d’anticipation, à un certain défaut de vision et de volonté politique, de coopération, mais aussi à la dépendance à des fournisseurs hégémoniques étrangers.