Solange Ghernaouti: " En étant connecté, nous sommes exposés en permanence au risque d’origine criminelle"

jeudi, 21.04.2016

Face aux nombreuses cyber-attaques, l’Académie suisse des sciences techniques (SATW) a décidé de faire de la cyber-sécurité un de ses programmes prioritaire. Etat des lieux en Suisse avec Solange Ghernaouti, professeur de l’Université de Lausanne, experte internationale en cybersécurité.

Tiago Pires

"La Suisse n'a pas subit de cyber-attaques. C'est bien, mais c’est aussi préjudiciable à la prise de conscience et à la mise en œuvre d’une véritable politique de cybersécurité et de maîtrise des cyber-risques."

Outre l’aspect financier et fiscal, l’affaire des Panama Papers a également eu un effet de rappel bénéfique. Personne n’est à l’abri d’une faille sécuritaire ou d’un piratage informatique. Les cyberattaques menées contre les organisations, les acteurs, les services, les systèmes et les réseaux sont désormais permanents et ne cessent de croître en termes d’importance, d’intensité, de complexité et de dommages effectifs. Au niveau mondial, le montant des dommages liés à la cybercriminalité aurait déjà dépassé les 600 milliards de dollars.

Les attaques sont connues et tangibles. Or, les Etats tardent encore à mettre un plan d’action en forme. Sur la base de ce constat, l’Académie suisse des sciences techniques (SATW) a décidé de faire de la cyber-sécurité un de ses programmes prioritaire. Ainsi, elle élabore des recommandations d’actions sur des sujets techniques d’importance pour la Suisse en tant qu’espace de vie, mais également en tant que place industrielle et de recherche. Pour ce faire, elle souhaite intensifier le dialogue scientifico-politique sur la cybersécurité actuelle et future, et déterminer les mesures adaptées en accord avec les opportunités et la position suisses dans le contexte international.

Preuve de cette volonté, la structure organise ce soir à l’EPF de Zurich une conférence sur la sécurité des infrastructures. L’objectif est de faire en sorte que la Suisse puisse suivre les nouveaux développements et identifier rapidement les potentiels d’innovation. Etat des lieux en Suisse avec Solange Ghernaouti, professeur de l’Université de Lausanne, experte internationale en cybersécurité.

L'affaire des Panama Papers a accentué les lacunes des différents moyens de sécurité. Le monde semble se trouver à la croisée des chemins avec une évidence: se protéger de manière efficace ou devenir une cible d'hackers. Quel est votre jugement?

Effectivement, «nous», nous comme organisations publiques et privées et nous comme individus, sommes devenus vulnérables aux risques de non-maîtrise de notre patrimoine numérique. Nous ne savons pas protéger suffisamment et efficacement nos infrastructures, services et données. En étant connecté à l’Internet, nous sommes exposés en permanence au risque d’origine criminelle. En effet, tout élément connecté à Internet est une cible potentielle de la cybercriminalité. La vraie question est sans doute de savoir, non pas si nous allons devenir une cible, mais quand allons – nous être une cible (ce n’est qu’une question de temps). Il faut savoir aussi si nous sommes objectivement prêts à affronter cette nouvelle réalité des cyber-risques, si nous sommes prêts à gérer les incidents ou les crises (en fonction de l’intensité des impacts et des dégâts consécutifs) et si nous sommes suffisamment résilients aux cyber-attaques pour continuer à fonctionner correctement même après leurs survenues. La proximité des cibles et des hackers est inhérente au réseau Internet car il permet une mise en relation avec n’importe qui, n’importe quand, à partir de n’importe où et donc avec des hackers ou acteurs malveillants ou mal intentionnés. Il s’agit là d’un risque structurel, c’est le revers de la médaille de la connectivité permanente et mondiale.

A ce titre, dans quelle position se trouve la Suisse?

Une réponse nuancée est nécessaire. De manière générale, plus un pays est connecté, plus il dépend de ses infrastructures numériques et plus il est vulnérable. Ce qui est le cas d’un grand nombre de pays! Concernant la Suisse, pour l’instant, nous n’avons par chance, pas encore été confrontés à des situations de crises majeures et durables du fait de cyber-attaques. C’est bien, mais c’est aussi préjudiciable à la prise de conscience et à la mise en œuvre d’une véritable politique de cybersécurité et de maîtrise des cyber-risques car il est alors difficile de convaincre qu’il faille investir dans ce domaine puisque «tout semble aller bien» et de ce fait d’un faux sentiment de sécurité. Le baromètre n’est plus au bon temps et tous les indicateurs commencent à clignoter. En effet, en matière de cyber-risques le «Même pas peur!» est naïf et irresponsable. La peur est un facteur de sécurité: tous ceux qui pratiquent des sports de l’extrême le savent. Ceux-qui sont dangereux (pour eux-mêmes et les autres) sont ceux qui n'ont pas peur! La peur doit être un régulateur du calcul des risques et de la sécurité, pas un outil marketing de la sécurité. En revanche, c'est la panique et la terreur qu'il faut refuser.

La situation est-elle alors critique?

Nous vivons dans une situation qui se dégrade de plus en plus notamment du fait des points suivants. En premier lieu, vulnérabilité croissante des infrastructures vitales, des interdépendances croissantes et de la fuite en avant vers toujours plus de confort. Il y a une sorte de fatalité et de laisser faire… Ensuite, se pose la question de la dépendance et de l’interdépendance des infrastructures et de l’interdépendance des risques. Finalement, vient la sécurité souvent considérée comme une variable d’ajustement économique. Dans le contexte de la privatisation des infrastructures critiques, l’Etat a été amené à se défaire de ces entreprises pour économiser et par conséquent si l’on se place du point de vue des entreprises: si l'Etat veut de la sécurité, c'est à lui de la financer… les entreprises énergétique sont en faillite et sont/vont être vendues à des acteurs étrangers pour lesquels la sécurité de la Suisse n’est pas une priorité pour eux…

A lire dans son intégralité dans L'Agefi de demain





 
 

...