Entretien avec Myriam Dunn Cavelty sur le thème de la cybersécurité - Entretien avec Myriam Dunn Cavelty sur le thème de la cybersécurité

Blog

null Entretien avec Myriam Dunn Cavelty sur le thème de la cybersécurité

Entretien avec Myriam Dunn Cavelty sur le thème de la cybersécurité

La cybercriminalité est le mot à la mode. Avant d’aborder le sujet: quelles formes de cyberattaques existent-elles?

On emploie souvent dans les médias le terme d’Hacktivisme, un effet secondaire de presque tous les conflits politiques ou économiques. Ce mot-valise composé de «hacking» et d’«activisme» désigne la modification, la destruction et le blocage virtuel de contenus, par exemple le piratage de sites Web ou l’arrêt d’un serveur par saturation de données (attaque DDoS) ou encore la publication de données sensibles, volées pour porter atteinte à l’image de la victime du vol. En dépit de sa fréquence, le piratage n’occasionne que des coûts primaires minimes. Le dommage pour la réputation des personnes concernées peut être toutefois considérable, surtout si la gestion de crise et de communication est maladroite.

Nettement plus grave est la cybercriminalité (organisée), par exemple la fraude, l’usurpation d’identité ou l’utilisation d’Internet comme arme. Aujourd’hui, ce ne sont pratiquement plus des délinquants isolés, mais des professionnels bien organisés qui sont à l’œuvre. Les coûts directs estimés varient considérablement selon la méthode de relevé utilisée, mais on considère généralement que les coûts sont le plus souvent élevés et sont en constante augmentation, surtout pour l’économie. On trouve même à acheter au marché noir des logiciels malveillants ciblés, avec les indications nécessaires sur les failles de sécurité, dont les services secrets, par exemple, se servent eux aussi.

Et puis il y a le cyberespionnage, qui consiste à fouiner de manière non autorisée et donc illégale dans les réseaux ou à voler des données sur ces réseaux. Là non plus, on ne connaît pas vraiment l’ampleur du problème ni les dommages qui en résultent. De nombreux incidents restent longtemps voire totalement ignorés. Le cyberespionnage semble être largement répandu et les acteurs étatiques ne se privent pas non plus de l’utiliser pour espionner d’autres Etats et leurs économies.

Mais il y a deux catégories encore plus graves, qui sont toutefois pour l’heure du domaine de la fiction. Une attaque serait qualifiée de cyberterreur si elle débouchait sur des violences physiques contre des personnes ou des choses ou occasionnait de tels dégâts que cela provoquerait une énorme anxiété – ce seraient par exemple des attaques d’acteurs non étatiques (terroristes) contre des infrastructures vitales. Qu’aucun cas concret de cyberterrorisme ne soit connu jusqu’à ce jour est peut-être dû au fait que des attaques d’une telle gravité ne sont pas faciles à organiser, ou qu’avec des moyens conventionnels (p. ex. des explosifs) on peut à moindre coût obtenir plus facilement un effet médiatique. Les experts estiment tout aussi improbable une cyberguerre, un conflit armé qui se déroulerait exclusivement dans l’espace virtuel. Des incidents cybernétiques de moindre envergure, dus par exemple au piratage informatique, ou des activités militaires telle la «guerre électronique», sont toutefois depuis longtemps un sous-produit des conflits armés. On connaît d’ailleurs des cas où ce sont des Etats qui ont utilisé des logiciels malveillants à des fins stratégiques. Le meilleur exemple en est «Stuxnet», un ver, autrement dit un logiciel malveillant, qui a infecté le programme nucléaire iranien en 2010: il s'agit là de cybersabotage.

 

Laquelle de ces formes touche particulièrement la Suisse et pourquoi?

Selon les rapports semestriels de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), la Suisse est concernée par tous les cas car elle constitue un objectif intéressant au même titre que tous les autres pays industrialisés organisés en réseau. Il n’est donc pas possible d’établir des priorités claires, ce qui fait de la cybersécurité une tâche complexe.

 

On connaît les cartes soviétiques des infrastructures suisses datant de la guerre froide.Le degré de détail de ces cartes en a surpris bon nombre. Pourquoi et dans quel but ces plans ont-ils été élaborés?

Il n’est pas nouveau qu’en cas de conflit, les cibles de grande valeur pour l’adversaire doivent être attaquées. Les «infrastructures critiques» sont des cibles intéressantes qu’il fallait auparavant éliminer depuis l’espace aérien (bombardements stratégiques). Ces cartes ont été établies afin de se préparer à toutes les éventualités, même si aucune guerre n’était en vue.

Aujourd’hui encore, les infrastructures critiques, définies comme des processus, des systèmes et des équipements essentiels au fonctionnement de l’économie ou au bien-être de la population, sont au cœur du cyberdébat. C’est pourquoi on imagine toujours qu’une cyberattaque avec des conséquences graves serait une attaque contre des infrastructures critiques effectuée via le cyberespace.

 

Les actes d’espionnage et de sabotage ont atteint un nouveau sommet. Peut-on supposer que les plans d’infrastructure numérique présentent également un intérêt pour ces activités? Si oui, dans quel but?

Les infrastructures critiques sont de plus en plus mises en réseau. Cela les rend fondamentalement plus vulnérables car, outre des dommages physiques, il est dès lors possible de commettre des actes de sabotage par voie numérique, ce que nous savons depuis Stuxnet. Mais de tels incidents sont très rares et il est peu probable que cela change. On a longtemps craint que des acteurs étatiques puissent utiliser le cyberespace pour des attaques de bien plus grande envergure. Or ils ne le font pas – il n’est pas de leur intérêt de risquer un conflit armé. C’est pourquoi nous constatons aujourd’hui que le cyberespace sert davantage à la déstabilisation (p. ex. campagnes de désinformation) et à des actions perturbatrices assez bénignes, toutes nettement en dessous du seuil de la guerre, et de préférence conçues de manière à éviter un trop grand risque d’escalade.

Le cyberespace est également beaucoup utilisé pour l’initiation, c’est-à-dire pour la préparation à d’autres attaques, y compris physiques. Le monde en réseau offre également de nouvelles voies intéressantes à l’espionnage industriel.

 

Quels sont les effets possibles dans le secteur de l’ingénierie et de la construction? Existe-t-il des exemples de sabotage d’infrastructures?

Il y a peu de cas retentissants, dont aucun en Suisse. Dans la grande masse des cyberattaques malveillantes, de tels sabotages ciblés sont extrêmement rares et il ne faudrait donc pas les surévaluer. Toutefois, nous sommes en plein dans la quatrième révolution industrielle. Des mots clés comme «l’Internet des objets» ou les «systèmes embarqués» ne sont plus du domaine de la science-fiction, mais sont devenus réalité. Les avantages d’une connexion entre des systèmes de contrôle industriels et des réseaux externes, par exemple, sont importants: maintenance simplifiée, économies de coûts, etc. En même temps, il devient beaucoup plus facile d’attaquer ces installations. Mais les estimations coûts-avantages fondées sur l’analyse des risques sont extrêmement difficiles: il n’existe pas de chiffres fiables qui reflètent le risque d’une attaque pour des entreprises prises individuellement.

En outre, les systèmes embarqués et les processus industriels présentent des caractéristiques particulières qui nécessitent des solutions de sécurité spécifiques et donc coûteuses. Souvent, les systèmes embarqués n’utilisent pas de système d’exploitation ou ils fonctionnent avec des versions spéciales de systèmes d’exploitation standards – ces solutions propriétaires font que souvent les points faibles risquent de ne jamais être étudiés, compris ou éliminés et que les solutions de sécurité usuelles, comme l’échange de données cryptées, ne peuvent pas être implémentées ou uniquement avec grande difficulté.

Inversement, nous dirons qu’un scénario doit avoir du sens pour l’attaquant, y compris en termes de rapport coût-utilité. Il ne suffit pas de constater l’existence des points faibles pour supposer qu’ils seront exploités.

 

Jusqu’à la moindre vis, le secteur de la planification et de la construction est un monde de normes et de standards. La conception et la mise à disposition de modèles numériques de planification des infrastructures nécessitent-elles des normes de sécurité, notamment lorsqu’il s'agit d'infrastructures critiques?

Il existe déjà des normes de régulation qui contiennent des composantes numériques. Mais il n’est pas du tout facile d’établir des standards car les cyberrisques sont très dynamiques. Pour la sécurité de l’exploitation, il y a des procédures quantitatives de contrôle et de certification. En revanche, dans le domaine des cyberrisques, nous avons affaire à des pirates qui contournent délibérément les mesures de protection et mettent à profit les vulnérabilités. Un dispositif fixe et quantifiable de sécurité de l’information est donc insuffisant pour la certification. Ce qui compte, c’est plutôt la présence de certains systèmes de gestion de la sécurité ou bien le recours à des plans de gestion des crises éprouvés. Les mesures de sécurité informatique conventionnelles sont également insuffisantes parce que chaque branche a ses propres exigences. Dans les processus industriels, il faut en particulier éviter les interruptions du processus de production qui peuvent survenir lors de travaux de maintenance informatique ou de l’installation de nouvelles solutions de sécurité informatique, car elles peuvent être très coûteuses ou devenir problématiques pour certains processus ou prestations de services, notamment dans les infrastructures critiques.

 

A l’automne 2018, Foreign Affairs[1] a dressé un tableau très inquiétant de l’évolution globale actuelle et d’une politique extrêmement négligente en matière de cybersécurité, notamment dans les Etats occidentaux. Comment se positionne la politique suisse?

Je me bats depuis longtemps contre un alarmisme qui ne sert à rien. Naturellement, dans un monde hautement technicisé comme le nôtre, l’arrêt des ordinateurs en raison d’erreurs ou de manipulation ciblée par des malfaiteurs peut avoir des conséquences fâcheuses, voire fatales. Cependant, bien que la possibilité d’une catastrophe numérique ne puisse être exclue, il est de fait que, dans toute l’histoire de l’informatique, il n’y a encore jamais eu d’incident grave de grande ampleur ayant des conséquences à long terme.

Bien entendu, la politique doit réfléchir à des scénarios catastrophes, mais les considérations sur les pires scénarios envisageables ne doivent pas faire oublier d’autres phénomènes bien plus vraisemblables, ou même déjà d’actualité, ou induire une vision déformée des menaces existantes. Car si, en dépit de la très faible probabilité qu’il se produise, on accorde un trop grand poids au pire des cas envisageables, toujours accompagné de dommages importants, cette question de la probabilité sera reléguée au second plan, tout comme l’exigence d’apporter les preuves que ces scénarios ne sont pas seulement des spéculations, mais constituent de véritables menaces.

L’appel à «plus d’Etat» en matière de cybersécurité en est une illustration. Tout le monde se plaît à dire que l’Etat en fait trop peu, mais pour être honnête, il est évident que la cybersécurité est un thème transversal typique qui – comme dans le cas de la lutte contre le terrorisme – exige une coopération entre des acteurs les plus divers, dont certains ont des cultures parfois très différentes. Il ne s’agit pas là des seules autorités étatiques, mais aussi d’acteurs de l’économie et de la société.

Le rôle exact de l’Etat et de l’administration dans la cybersécurité doit être déterminé et rigoureusement défini dans un processus politique. Les infrastructures critiques sont pour l’essentiel aux mains d’acteurs privés. Le cyberespace peut être qualifié de bien commun dont la dynamique ou l’utilisation est conditionnée par tout un écosystème d’acteurs étatiques et non étatiques. Il n’existe pas de solution unique capable de résoudre tous les problèmes de cybersécurité: compte tenu de la multiplicité des risques que présentent les technologies numériques, il incombe aux milieux politiques la tâche délicate et complexe de déterminer les responsabilités et de planifier l’allocation des ressources.

 

A quoi ressemble la cyberdéfense en Suisse? Comment est-elle structurée? A quel moment l’armée intervient-elle?

En 2018, la Suisse a publié sa deuxième «Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC)», qui identifie nombre de défis majeurs, décrit les responsabilités et esquisse les futures mesures. Dans la SNPC, on note une perspective holistique de la cybersécurité, qui se reflète également dans la «Stratégie nationale de protection des infrastructures critiques (stratégie PIC)», ainsi que dans la stratégie «Suisse numérique». La SNPC tient compte des différentes entités bureaucratiques avec leurs rôles et leurs responsabilités. Par ailleurs, un centre de compétences en cybersécurité, qui sera dirigé par un délégué ou une déléguée à la cybersécurité, est en cours de réalisation. Avec cette nouvelle structure, le problème de la coordination entre les différents acteurs – même en dehors du gouvernement – devrait être plus facile à régler, mais le danger d’un conflit de compétences et de solutions sous-optimales demeure et les nouvelles structures auront encore à faire leurs preuves. D’autre part, la cybersécurité n’est pas un thème isolé mais doit être intégrée dans d’autres domaines politiques. La création de structures parallèles dédiées aux questions cybernétiques n’est pas forcément une bonne idée.

L’armée est compétente en premier lieu pour la protection de son propre réseau et de ses propres systèmes. En cas de cybercrise de très grande ampleur, l’armée pourrait intervenir en Suisse à titre subsidiaire.

 

Voyez-vous un potentiel d’optimisation dans le domaine public de la cyberdéfense?

On s’accorde à dire qu’un niveau satisfaisant de cybersécurité ne peut être atteint que par la coopération entre l’Etat, l’économie et la société. Or les différents secteurs poursuivent souvent des objectifs et des intérêts divergents. Cela crée au moins trois champs de tension dans lesquelles chaque politique de cybersécurité doit être positionnée.

Dans le premier champ de tension entre Etat et économie, il faut formuler une politique de sécurisation des infrastructures critiques capable d’amortir les conséquences négatives de la libéralisation, de la privatisation et de la mondialisation sur la politique de sécurité, sans en entraver les effets positifs. Dans le deuxième champ de tension entre Etat et citoyen, il faut trouver l’équilibre politique souhaitable entre plus de sécurité et préservation des droits des citoyens dans l’espace numérique. Dans le troisième champ de tension entre citoyen et économie, il est nécessaire de fixer les conditions-cadres pour le développement d’un écosystème de sécurité performant, qui créent un équilibre optimal entre sécurité et fonctionnalité et incitent les prestataires de services à s’acquitter d’obligations de sécurité accrues.

Ce qui est une évidence pour les acteurs de l’économie et de la société civile vaut aussi pour l’Etat: il assume concurremment une multitude de rôles. Reconnaître la diversité de l’action étatique est un bon point de départ pour gérer et aborder systématiquement les conflits de rôle au niveau politique et développer ainsi une politique proactive pour l’avenir.

 

Pensez-vous que les entreprises suisses sont prêtes à relever les défis actuels et futurs?

C’est très variable. Certaines (p. ex. dans le secteur financier) sont très bien préparées aux cyberrisques, d’autres moins – pour des raisons diverses, entre autres parce qu’elles sous-estiment le danger ou parce qu’elles n’ont pas les ressources nécessaires pour acheter des solutions professionnelles.

 

Quelles sont à votre avis les mesures que les entreprises suisses, en particulier les bureaux d’études, devraient engager d’urgence?

Prendre au sérieux les cyberrisques, observer les prescriptions fondamentales d’hygiène cybernétique, les inclure dans les analyses de risques – ne pas paniquer si le cas se présente, mais compter avant tout sur la résilience et la gestion de crises.

 

 

 

Dr Myriam Dunn Cavelty

Enseigne au «Center for Security Studies» de l’EPF Zurich. Elle a étudié les relations internationales, l’histoire et le droit international à l’Université de Zurich. Ses recherches sont focalisées sur «the politics of risk and uncertainty in security politics and changing conceptions of (inter-)national security due to cyber issues (cyber-security, cyber-war, critical infrastructure protection) in specific».

 

A côté de ses mandats d’enseignement et de recherche, elle conseille les gouvernements, les institutions internationales et les entreprises dans les domaines cybersécurité, cyberguerre, protection des infrastructures critiques, analyses des risques et stratégie.

 

[1] https://www.foreignaffairs.com/articles/world/2018-08-14/battlefield-internet

 

Verfasst von: Lea Kusano lea.kusano@usic.ch