{"id":523184,"date":"2024-04-22T06:00:00","date_gmt":"2024-04-22T04:00:00","guid":{"rendered":"https:\/\/leregardlibre.com\/?p=523184"},"modified":"2024-04-22T06:00:00","modified_gmt":"2024-04-22T04:00:00","slug":"la-cybersecurite-est-par-definition-une-tache-regalienne","status":"publish","type":"post","link":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/suisse\/la-cybersecurite-est-par-definition-une-tache-regalienne\/","title":{"rendered":"\u00abLa cybers\u00e9curit\u00e9 est par d\u00e9finition une t\u00e2che r\u00e9galienne\u00bb"},"content":{"rendered":"

Face aux d\u00e9fis croissants li\u00e9s \u00e0 la s\u00e9curit\u00e9 informatique, le conseiller national vert fribourgeois Gerhard Andrey souligne la n\u00e9cessit\u00e9 d\u2019une approche proactive en Suisse. Selon lui, l\u2019Etat et les entreprises sont encore bien \u00e0 la tra\u00eene.<\/strong><\/p>\n\n\n\n\n\n\n\n

En 2023, les cyberattaques visant la Suisse et son manque de pr\u00e9paration ont fait les grands titres. Depuis plusieurs ann\u00e9es, le conseiller national Gerhard Andrey (Les Verts\/FR), ancien vice-pr\u00e9sident du parti et candidat au gouvernement en fin d\u2019ann\u00e9e derni\u00e8re, pr\u00f4ne une meilleure approche dans ce domaine. Dans un monde num\u00e9rique en constante \u00e9volution, il partage ses r\u00e9flexions sur l\u2019importance de la cybers\u00e9curit\u00e9 afin de pr\u00e9server la souverainet\u00e9 du pays, des individus et des entreprises.<\/p>\n\n\n\n

Le Regard Libre<\/em>: Vous \u00eates l\u2019un des \u00e9lus f\u00e9d\u00e9raux les plus actifs au sujet de la cybers\u00e9curit\u00e9. Pourquoi est-ce une th\u00e9matique importante selon vous?<\/h6>\n\n\n\n

Gerhard Andrey: C\u2019est une menace existante, et elle nous co\u00fbte cher d\u00e9j\u00e0 maintenant, \u00e0 tous les niveaux, que ce soit pour les entreprises, les particuliers ou l\u2019administration. Finalement, c\u2019est une question de souverainet\u00e9. Si nous ne parvenons pas \u00e0 s\u00e9curiser ce cyberespace qui est devenu aussi important, nous aurons un grand probl\u00e8me.<\/p>\n\n\n\n

En 2022, lors d\u2019une de vos interpellations au Parlement, vous pointiez du doigt les failles en mati\u00e8re de cybers\u00e9curit\u00e9, notamment dans le secteur de la sant\u00e9. Le Conseil f\u00e9d\u00e9ral vous a r\u00e9pondu qu\u2019il \u00e9tait en effet n\u00e9cessaire d\u2019intervenir dans les secteurs de l\u2019\u00e9nergie, de la sant\u00e9, des finances et des t\u00e9l\u00e9communications. Avez-vous depuis constat\u00e9 des am\u00e9liorations?<\/h6>\n\n\n\n

La prise de conscience est l\u00e0. Il y a eu de grands titres dans la presse qui ont marqu\u00e9 l\u2019administration, la politique et les entreprises. La question que j\u2019avais pos\u00e9e au Conseil f\u00e9d\u00e9ral \u00e0 l\u2019\u00e9poque \u00e9tait: \u00abEst-ce qu\u2019il nous faut une surveillance par secteur?\u00bb On voit, par exemple, que le march\u00e9 financier est peu touch\u00e9, parce qu\u2019il a d\u00e9j\u00e0 commenc\u00e9 tr\u00e8s t\u00f4t \u00e0 prendre ses responsabilit\u00e9s, notamment gr\u00e2ce au contr\u00f4le de l\u2019Autorit\u00e9 f\u00e9d\u00e9rale de surveillance des march\u00e9s financiers (Finma). De mani\u00e8re g\u00e9n\u00e9rale, ce qui a pu \u00eatre obtenu jusqu\u2019\u00e0 pr\u00e9sent reste modeste, mais \u00e7a \u00e9volue.

L\u2019ann\u00e9e derni\u00e8re, les Chambres ont adopt\u00e9 une loi concernant les infrastructures critiques \u2013 si une centrale nucl\u00e9aire ou un barrage se fait attaquer, \u00e7a peut s\u2019av\u00e9rer tr\u00e8s probl\u00e9matique. En vigueur depuis le 1er<\/sup> janvier, cette loi oblige ces infrastructures \u00e0 annoncer les cyberattaques dont elles sont victimes afin que la Conf\u00e9d\u00e9ration puisse mieux comprendre ce qui se passe et ainsi mieux collaborer avec l\u2019\u00e9conomie.<\/p>\n\n\n\n

Dans cette m\u00eame r\u00e9ponse, le Conseil f\u00e9d\u00e9ral explique qu\u2019\u00e0 la suite d\u2019une collaboration entre la Conf\u00e9rence des directrices et directeurs de la sant\u00e9 (CDS) et le National Cyber Security Centre (NCSC), il a \u00e9t\u00e9 possible d\u2019\u00e9tablir une liste exhaustive de recommandations en cybers\u00e9curit\u00e9. Il n\u2019y en avait aucune auparavant?<\/h6>\n\n\n\n

La gestion de la cybers\u00e9curit\u00e9 des infrastructures critiques en Suisse \u00e9tait volontaire: tout le monde pouvait annoncer les difficult\u00e9s qu\u2019il rencontrait, mais o\u00f9 personne n\u2019\u00e9tait oblig\u00e9 \u00e0 rien. Ce qui est nouveau, c\u2019est l\u2019obligation d\u2019annoncer. Aujourd\u2019hui, on ne peut plus se permettre d\u2019\u00eatre trop soft. J\u2019ai parfois l\u2019impression que si l\u2019on prend l\u2019exemple d\u2019une PME qui serait attaqu\u00e9e, bien s\u00fbr que ses activit\u00e9s seraient menac\u00e9es quelques jours. Mais cette PME a aussi des partenaires et des clients peut-\u00eatre eux aussi touch\u00e9s par cette attaque. La facture est bien plus importante que ce que voient les entreprises, et cette sensibilit\u00e9 manque toujours. Il faut que nous soyons plus s\u00e9v\u00e8res.<\/p>\n\n\n\n

La Suisse, en tant que pays riche, est-elle une cible d\u2019autant plus int\u00e9ressante pour les pirates informatiques?<\/h6>\n\n\n\n

Oui, parce que les entreprises suisses sont capables de payer les ran\u00e7ons. Ce n\u2019est pas partout comme \u00e7a. Or, justement, le pays est faible en mati\u00e8re de cybers\u00e9curit\u00e9. C\u2019est aussi un peu un effet de luxe\u2009: la Suisse a toujours un peu de retard avec la num\u00e9risation, dans l\u2019administration comme dans les entreprises. Le pays est un peu endormi parce que \u00e7a a longtemps tr\u00e8s bien fonctionn\u00e9 sans mesure particuli\u00e8re. Nous devons donc changer de culture et de r\u00e8gles.<\/p>\n\n\n\n

En 2022, le Conseil f\u00e9d\u00e9ral a d\u00e9cid\u00e9 de r\u00e9organiser la cyberd\u00e9fense en faisant du NCSC un office f\u00e9d\u00e9ral et en le faisant passer du d\u00e9partement des Finances \u00e0 celui de la D\u00e9fense. En d\u00e9cembre dernier, il y avait des bruits concernant une vague de d\u00e9missions, notamment dues \u00e0 une proximit\u00e9 entre le Service de renseignement de la Conf\u00e9d\u00e9ration (SRC) et le NCSC. Est-ce un probl\u00e8me selon vous?<\/h6>\n\n\n\n

En 2021, j\u2019ai d\u00e9pos\u00e9 une interpellation pour demander si le Conseil f\u00e9d\u00e9ral \u00e9tait pr\u00eat \u00e0 cr\u00e9er un office de cybers\u00e9curit\u00e9, parce que c\u2019\u00e9tait devenu trop important. Le gouvernement n\u2019\u00e9tait pas vraiment convaincu par cette id\u00e9e. Trois mois plus tard, aux Cybersecurity Days \u00e0 Fribourg, l\u2019ex-conseiller f\u00e9d\u00e9ral Ueli Maurer a dit vouloir la cr\u00e9ation de cet office, ce qui m\u2019a bien s\u00fbr r\u00e9joui. J\u2019ai par contre critiqu\u00e9 le fait que le Conseil f\u00e9d\u00e9ral a transmis cet office civil au d\u00e9partement de la D\u00e9fense: j\u2019ai eu la crainte qu\u2019il devienne trop proche du SRC et de l\u2019arm\u00e9e. C\u2019est un d\u00e9fi de parvenir \u00e0 convaincre l\u2019\u00e9conomie que c\u2019est une bonne chose de travailler avec cette institution, si deux portes plus loin, il y a les renseignements.<\/p>\n\n\n\n

Et concernant les d\u00e9parts d\u2019employ\u00e9s?<\/h6>\n\n\n\n

Huit sont partis du Government Computer Emergency Response Team (GovCERT) et travaillent maintenant dans l\u2019industrie. C\u2019est bien s\u00fbr une perte de main-d\u2019\u0153uvre. J\u2019avais averti sur ce risque, alors que la conseill\u00e8re f\u00e9d\u00e9rale Viola Amherd affirmait que cela n\u2019aurait pas d\u2019impact. Je vis d\u00e9sormais avec, et j\u2019essaie de continuer \u00e0 renforcer l\u2019office f\u00e9d\u00e9ral de cybers\u00e9curit\u00e9. Principalement en mettant en avant le facteur de l\u2019ind\u00e9pendance, afin que l\u2019office soit cr\u00e9dible pour les entreprises et les autres niveaux \u00e9tatiques. C\u2019est une bonne chose d\u2019avoir cet office, avec du personnel tr\u00e8s comp\u00e9tent. Cependant, ce qui lui manque encore, c\u2019est d\u2019avoir des responsabilit\u00e9s claires. Et aussi suffisamment de moyens. On parle d\u2019un budget de 15 millions de francs sans augmentation pr\u00e9vue ces prochaines ann\u00e9es. Certaines entreprises suisses et m\u00eame \u00e9tatiques d\u00e9pensent bien plus que \u00e7a pour leur propre cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

\"En<\/a>
En 2022, le Conseil f\u00e9d\u00e9ral a transform\u00e9 le National Cyber Security Centre en office f\u00e9d\u00e9ral et l\u2019a fait passer du d\u00e9partement des Finances (\u00e0 g. de l\u2019image) \u00e0 celui de la D\u00e9fense (\u00e0 d.). \u00a9 Pixabay<\/figcaption><\/figure>\n\n\n\n
Malgr\u00e9 ce rapprochement avec le SRC, avez-vous l\u2019impression que cette r\u00e9cente r\u00e9organisation va dans le bon sens?<\/h6>\n\n\n\n

A voir comment cela va se passer. Parce qu\u2019en ce moment, ce n\u2019est pas tr\u00e8s clair qui est responsable de quoi. L\u2019arm\u00e9e, l\u2019Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 et le secr\u00e9tariat d\u2019Etat \u00e0 la politique de s\u00e9curit\u00e9 ont tous un certain int\u00e9r\u00eat \u00e0 avoir une bonne part de ce g\u00e2teau. L\u2019arm\u00e9e ne s\u2019occupe que de ses propres infrastructures. Si elle cr\u00e9e de nouveaux moyens num\u00e9riques qui peuvent \u00eatre int\u00e9ressants pour le priv\u00e9 ou l\u2019administration, il faut qu\u2019elle partage. Le Parlement a adopt\u00e9 une motion en ce sens. Ce que je souhaite, c\u2019est que chaque instance se focalise sur son domaine, mais qu\u2019il y ait une vraie collaboration, avec un \u00e9change d\u2019outils, de savoir-faire, de code open source<\/em>\u2026<\/p>\n\n\n\n

En 2023, il y a eu de nombreuses attaques. Notamment l\u2019affaire touchant le fournisseur de solutions informatiques Xplain, o\u00f9 des documents des polices cantonales, de l\u2019arm\u00e9e et de Fedpol ont \u00e9t\u00e9 diffus\u00e9s sur le darknet. Est-ce que leur r\u00e9currence vous a surpris?<\/h6>\n\n\n\n

Leur ampleur, en tout cas! L\u2019attaque que vous mentionnez \u00e9tait vraiment grave. Cette situation est inacceptable. Il y a un manque de sensibilit\u00e9 pour la cybers\u00e9curit\u00e9. Je suis quand m\u00eame \u00e9tonn\u00e9 qu\u2019une entreprise active dans un domaine aussi sensible ne soit pas mieux \u00e9quip\u00e9e et plus avanc\u00e9e. Elle a vraiment commis des erreurs graves. C\u2019\u00e9taient des choses basiques qu\u2019elle n\u2019avait pas respect\u00e9es, c\u2019est tr\u00e8s probl\u00e9matique. On a non seulement un manque de culture dans ce domaine, mais aussi un probl\u00e8me de march\u00e9 public. On met en avant l\u2019id\u00e9e de comp\u00e9tition sur le march\u00e9 priv\u00e9, afin que l\u2019Etat fasse un appel d\u2019offres, etc. Mais souvent il n\u2019y a pas de concurrence. S\u2019il n\u2019y a qu\u2019une seule entreprise qui a mis le pied dans la porte, il est tr\u00e8s difficile de se d\u00e9tacher d\u2019une telle d\u00e9pendance. Et si les choses tournent mal, c\u2019est quand m\u00eame la faute de l\u2019administration.\u00a0<\/p>\n\n\n\n

Dans la m\u00eame id\u00e9e, Florian Sch\u00fctz, directeur de l\u2019Office f\u00e9d\u00e9ral de cybers\u00e9curit\u00e9, expliquait en mars dans Blick<\/em> que la Conf\u00e9d\u00e9ration n\u2019est que tributaire des fournisseurs priv\u00e9s. Comment y rem\u00e9dier?<\/h6>\n\n\n\n

Premi\u00e8rement, avec de l\u2019open source<\/em>. Forcer les entreprises qui fournissent ce genre de services \u00e0 le faire en open source<\/em>, ce qui les obligerait \u00e0 travailler plus soigneusement vu que le code serait public. On a bien vu cela avec le certificat Covid durant la pand\u00e9mie. Cela cr\u00e9e de la transparence et si jamais l\u2019on arr\u00eate de travailler avec une entreprise, au moins, il y a de la transparence et on poss\u00e8de les codes. Et de l\u2019autre c\u00f4t\u00e9, il y a aussi toujours quand m\u00eame cette id\u00e9e que l\u2019administration ne fait rien d\u2019elle-m\u00eame, ou alors pas efficacement.<\/p>\n\n\n\n

C\u2019est pourtant vrai, non? Nous parlions de l\u2019arm\u00e9e avant\u2026<\/h6>\n\n\n\n

Je vois des limites \u00e0 cet argument. Il se trouve que nous nous trouvons \u00e0 l\u2019\u00e8re du num\u00e9rique et que les t\u00e2ches r\u00e9galiennes doivent \u00eatre fournies par l\u2019administration. La s\u00e9curit\u00e9 est une t\u00e2che r\u00e9galienne, et la cybers\u00e9curit\u00e9, par d\u00e9finition, en fait partie. Il faut d\u00e9passer ce conflit \u00e9tatique-priv\u00e9. Bien s\u00fbr que ces deux sph\u00e8res existent. Donnons l\u2019espace n\u00e9cessaire pour les deux. La Conf\u00e9d\u00e9ration doit \u00eatre capable de g\u00e9rer jusqu\u2019\u00e0 un certain point ses propres moyens pour r\u00e9pondre aux exigences des t\u00e2ches r\u00e9galiennes. Sans comp\u00e9tence interne en mati\u00e8re de cybers\u00e9curit\u00e9, impossible pour un Etat de comprendre ce qui se passe.<\/p>\n\n\n\n

Comment la Conf\u00e9d\u00e9ration peut-elle s\u2019am\u00e9liorer dans la gestion de ses donn\u00e9es?<\/h6>\n\n\n\n

Il faut qu\u2019elle fasse des tests, qu\u2019elle continue de se d\u00e9velopper, qu\u2019elle continue d\u2019apprendre\u2009! Ces menaces ne vont pas dispara\u00eetre, au contraire. C\u2019est pour cette raison que je pense qu\u2019il faut internaliser ces comp\u00e9tences dans l\u2019administration. Sinon, on ne d\u00e9pend que d\u2019un march\u00e9 sur lequel la comp\u00e9tition n\u2019est pas toujours pr\u00e9sente. Et s\u2019il n\u2019y a pas de comp\u00e9tition, cela devient dangereux pour la Conf\u00e9d\u00e9ration. Mais comme optimiste, je vois des am\u00e9liorations depuis le r\u00e9f\u00e9rendum sur l\u2019identit\u00e9 \u00e9lectronique (e-ID) en mars 2021 et les applications Swiss Covid et le Certificat Covid\u2026<\/p>\n\n\n\n

Diriez-vous que la cybers\u00e9curit\u00e9 est une condition de l\u2019ind\u00e9pendance d\u2019un Etat?<\/h6>\n\n\n\n

Absolument, et cela doit devenir une comp\u00e9tence au m\u00eame titre que les finances. Aucune organisation, publique ou priv\u00e9e, multinationale ou PME, ne peut se permettre de se d\u00e9sint\u00e9resser des finances. La m\u00eame chose doit valoir pour la s\u00e9curit\u00e9 informatique. Savoir quels sont les risques et les opportunit\u00e9s num\u00e9riques doit devenir une comp\u00e9tence recherch\u00e9e dans tout organisme.<\/p>\n\n\n\n

Ecrire \u00e0 l\u2019auteur:\u00a0max.frei@leregardlibre.com<\/a><\/em><\/p>\n\n\n\n

Vous venez de lire un article tir\u00e9 de notre dossier S\u00c9CURIT\u00c9<\/a>, publi\u00e9 dans notre \u00e9dition papier (Le Regard Libre<\/em> N\u00b0105<\/a>).<\/h6>","protected":false},"excerpt":{"rendered":"

Face aux d\u00e9fis croissants li\u00e9s \u00e0 la s\u00e9curit\u00e9 informatique, le conseiller national vert fribourgeois Gerhard Andrey souligne la n\u00e9cessit\u00e9 d\u2019une approche proactive en Suisse. Selon lui, l\u2019Etat et les entreprises sont encore bien \u00e0 la tra\u00eene.<\/p>","protected":false},"author":1,"featured_media":523191,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[105],"tags":[991,986,992,57,695,987],"class_list":["post-523184","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-suisse","tag-cybersecurite","tag-dossier-securite","tag-gerhard-andrey","tag-interviews","tag-parlement","tag-securite"],"acf":[],"_links":{"self":[{"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/posts\/523184","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/comments?post=523184"}],"version-history":[{"count":0,"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/posts\/523184\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/media?parent=523184"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/categories?post=523184"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/leregardlibre.sandbox-novadev.ch\/en\/wp-json\/wp\/v2\/tags?post=523184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}