Cybersécurité en Suisse : un écosystème dynamique et performant
![Image Cybermalveillance.gouv.fr étend [« SensCyber »], son dispositif de e-sensibilisation](https://incyber.org//wp-content/uploads/2024/03/incyber-news-people-connexion-885x690.jpg)
![Image [IA, 6G, identité numérique :] États-Unis et UE poursuivent leur coopération](https://incyber.org//wp-content/uploads/2024/01/incyber-news-cybersecurite-cybersecurity-partenerariat-partnership-885x690.jpg)
![Image [PhilosoFIC :] les algorithmes génératifs, fossoyeurs ou accélérateurs de l’intelligence humaine ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurity-persona-885x690.jpg)
Avec sa réputation de qualité et d’innovation dans plusieurs domaines, la Suisse exprime aussi ses savoir-faire dans le domaine du numérique. A ce titre, la Confédération est l’objet de convoitises. Ses points forts : la méthodologie, le pragmatisme et le sens de l’anticipation. Focus.
Il y a quelques années, la Suisse se croyait à l’abri. La culture du secret ne favorisant pas la sensibilisation, les cyberattaques étaient soigneusement cachées mais quelques-unes d’entre elles, réussies, ont été relayées par les médias et ont servi d’électrochoc.
Quelques communes, des cabinets de médecins, des universités, des fondations, des organisations internationales ou des industriels ont été victimes de rançongiciels. Ils se sont fait voler des données sensibles qui se sont retrouvées ensuite sur la place publique. Très récemment Infopro, l’hébergeur d’un éditeur de logiciels comptables, a été touché par un . Ce qui a paralysé les processus comptables de près de 10 000 entreprises.
En Suisse comme en France, la croissance de la cybercriminalité est forte. « En trois ans, le nombre de cyberattaques en France a été multiplié par dix », a assuré, le 13 décembre 2022, Guillaume Poupard, l’ancien le directeur de l’Anssi. La réalité des cyberattaques est d’ailleurs très supérieure aux incidents signalés. En effet, les victimes ne sont pas toujours conscientes qu’un cybercriminel soit entré dans ses réseaux (notamment dans le cas de l’espionnage). Par ailleurs, la plupart des victimes qui ont constaté des dégâts (systèmes d’information bloqués et données volées) ne déposent pas plainte.
Création de garde-fous
Certains secteurs, comme le bancaire, sont sous la surveillance des autorités nationales (la FINMA en Suisse). Ils prodiguent des conseils pour protéger les acteurs : plans de réaction efficaces en cas de cyber incidents, cartographie des risques, exigences claires en matière de cybersécurité à l’égard de leurs prestataires. Tous les États se sont donc organisés et la Suisse ne fait pas exception. Le Centre national pour la cybersécurité (NCSC), créé en 2019 et transformé en office fédéral en 2022, sera rattaché cette année au Département fédéral de la défense, de la protection de la population et des sports (DDPS).
Dans le détail, le NCSC est le guichet de signalement des cyberattaques, qui est obligatoire pour les infrastructures critiques. Il examine les incidents et donne une évaluation ainsi que des recommandations. Il collabore avec les cantons, les communes, les milieux économiques et scientifiques, la société et les partenaires internationaux. Il encourage de surcroît à l’échange d’informations.
À titre de comparaison, en France, « le but de l’Anssi, créée dix ans plus tôt, en 2009, est de coordonner, d’apporter de l’expertise et parfois d’imposer les choses », a déclaré Guillaume Poupard. La loi française a été modifiée en 2014 pour imposer la cybersécurité à tous les opérateurs critiques.
L’économie suisse étant libérale, ce sont aux entreprises de prendre en charge leur sécurité. L’inconvénient réside dans le fait que les efforts ne soient pas mutualisés. L’avantage, lui, repose sur le fait que les entreprises n’ont pas un faux sentiment de sécurité que pourrait suggérer un État centralisateur, qui intervient dans la sphère publique et privée.
Cadre plus souple
Les entreprises évoluent dans un monde moins contraignant, focalisé sur le business plus que sur la conformité. Malgré tout, la Suisse ne peut pas s’exonérer de la mise en place de règlementations (LPD par exemple, proche du RGPD). Elles sont nécessaires pour le commerce international, utiles pour adopter des méthodologies de traitement de données protégeant les données de citoyens (santé, fiscalité, identité…). Ce sont des standards indispensables à une plus grande sécurité des systèmes.
Des outils spécifiques ont été développés par des start-ups incubées par la TrustValley pour gérer la conformité (Rumya, fondée par Aurélien Tisserand), cartographier les risques cyber (Smart cockpit, fondée par Sylvain Félix), ou sécuriser le développement de code (StrongNetwork, fondée par Laurent Balmelli, et récompensée par le FIC 2022), pour ne citer que quelques exemples.
« Le risque cyber est systémique », comme l’explique Oscar Prado, RSSI de Romande Énergie. Et l’amélioration de la sécurité des grandes entreprises n’est utile que si l’ensemble de l’écosystème progresse. À ce titre, les PME, les fournisseurs et sous-traitants, les prestataires de services, partenaires de ces grandes entreprises, doivent se mettre à niveau à la même vitesse. « Les grandes entreprises les amènent à améliorer leur cybersécurité et intégrer leur performance en matière de cybersécurité pour les référencer dans leur portefeuille de fournisseurs », poursuit-il.
La Suisse possède d’autres points forts dans le domaine de la cybersécurité : sa neutralité, sa confidentialité, sa sécurité, la protection qu’elle apporte à la vie privée et peu de réglementations. Des initiatives cantonales et académiques (EPFL), comme la « Trust Valley », permettent de développer l’innovation dans le secteur de la cybersécurité.
La Suisse exerce également une influence dans le domaine de la gouvernance internationale de l’Internet, de la coopération en matière de sécurité dans le cyberespace. La preuve par l’exemple : Florian Schütz, délégué de la Confédération à la cybersécurité depuis août 2019, a été nommé, en janvier 2022, président du groupe de travail sur la sécurité dans l’économie numérique (SEN) de l’OCDE.
De nombreuses sociétés suisses se sont développées dans l’ensemble des métiers informatiques et de la sécurité informatique. Par exemple, SWIFT a sélectionné la Suisse pour localiser son data center dédié à ses opérations en Europe. « La Suisse est choisie pour sa réputation de sécurité, d’indépendance, et de protection de l’information, inscrite dans la constitution », précise Frans Imbert, Fondateur d’UbCom.
La souveraineté numérique, qui est un des piliers de la cybersécurité, a fait l’objet de nombreux débats, notamment lorsque la Confédération Helvétique a choisi, en 2021, cinq géants d’Internet pour se fournir en services cloud : quatre américains (Amazon, IBM, Microsoft et Oracle) et le chinois Alibaba. Pourtant, en 2022, la Confédération indique qu’elle créera une infrastructure numérique indépendante, englobant notamment les services de cloud. Objectif : garantir le plus haut niveau de sécurité possible pour les données personnelles particulièrement sensibles. Elles devront être inviolables et soumises au droit suisse.
Dans un entretien accordé au journal suisse Le Temps, le 13 décembre 2022, Cédric Moret, CEO d’Elca, a affirmé qu’« il est communément admis que la Suisse possède l’un des meilleurs réseaux ferroviaires au monde, des plus denses et des mieux organisés. Dans le domaine numérique, la Suisse est à un tournant similaire : la mise en place d’infrastructures numériques ne pourra se faire que grâce à un partenariat ambitieux entre les pouvoirs publics et les entreprises privées de la high tech ».