«La cybersécurité est par définition une tâche régalienne»

Face aux défis croissants liés à la sécurité informatique, le conseiller national vert fribourgeois Gerhard Andrey souligne la nécessité d’une approche proactive en Suisse. Selon lui, l’Etat et les entreprises sont encore bien à la traîne.

En 2023, les cyberattaques visant la Suisse et son manque de préparation ont fait les grands titres. Depuis plusieurs années, le conseiller national Gerhard Andrey (Les Verts/FR), ancien vice-président du parti et candidat au gouvernement en fin d’année dernière, prône une meilleure approche dans ce domaine. Dans un monde numérique en constante évolution, il partage ses réflexions sur l’importance de la cybersécurité afin de préserver la souveraineté du pays, des individus et des entreprises.

Le Regard Libre: Vous êtes l’un des élus fédéraux les plus actifs au sujet de la cybersécurité. Pourquoi est-ce une thématique importante selon vous?

Gerhard Andrey: C’est une menace existante, et elle nous coûte cher déjà maintenant, à tous les niveaux, que ce soit pour les entreprises, les particuliers ou l’administration. Finalement, c’est une question de souveraineté. Si nous ne parvenons pas à sécuriser ce cyberespace qui est devenu aussi important, nous aurons un grand problème.

En 2022, lors d’une de vos interpellations au Parlement, vous pointiez du doigt les failles en matière de cybersécurité, notamment dans le secteur de la santé. Le Conseil fédéral vous a répondu qu’il était en effet nécessaire d’intervenir dans les secteurs de l’énergie, de la santé, des finances et des télécommunications. Avez-vous depuis constaté des améliorations?

La prise de conscience est là. Il y a eu de grands titres dans la presse qui ont marqué l’administration, la politique et les entreprises. La question que j’avais posée au Conseil fédéral à l’époque était: «Est-ce qu’il nous faut une surveillance par secteur?» On voit, par exemple, que le marché financier est peu touché, parce qu’il a déjà commencé très tôt à prendre ses responsabilités, notamment grâce au contrôle de l’Autorité fédérale de surveillance des marchés financiers (Finma). De manière générale, ce qui a pu être obtenu jusqu’à présent reste modeste, mais ça évolue.

L’année dernière, les Chambres ont adopté une loi concernant les infrastructures critiques – si une centrale nucléaire ou un barrage se fait attaquer, ça peut s’avérer très problématique. En vigueur depuis le 1^er janvier, cette loi oblige ces infrastructures à annoncer les cyberattaques dont elles sont victimes afin que la Confédération puisse mieux comprendre ce qui se passe et ainsi mieux collaborer avec l’économie.

Dans cette même réponse, le Conseil fédéral explique qu’à la suite d’une collaboration entre la Conférence des directrices et directeurs de la santé (CDS) et le National Cyber Security Centre (NCSC), il a été possible d’établir une liste exhaustive de recommandations en cybersécurité. Il n’y en avait aucune auparavant?

La gestion de la cybersécurité des infrastructures critiques en Suisse était volontaire: tout le monde pouvait annoncer les difficultés qu’il rencontrait, mais où personne n’était obligé à rien. Ce qui est nouveau, c’est l’obligation d’annoncer. Aujourd’hui, on ne peut plus se permettre d’être trop soft. J’ai parfois l’impression que si l’on prend l’exemple d’une PME qui serait attaquée, bien sûr que ses activités seraient menacées quelques jours. Mais cette PME a aussi des partenaires et des clients peut-être eux aussi touchés par cette attaque. La facture est bien plus importante que ce que voient les entreprises, et cette sensibilité manque toujours. Il faut que nous soyons plus sévères.

La Suisse, en tant que pays riche, est-elle une cible d’autant plus intéressante pour les pirates informatiques?

Oui, parce que les entreprises suisses sont capables de payer les rançons. Ce n’est pas partout comme ça. Or, justement, le pays est faible en matière de cybersécurité. C’est aussi un peu un effet de luxe : la Suisse a toujours un peu de retard avec la numérisation, dans l’administration comme dans les entreprises. Le pays est un peu endormi parce que ça a longtemps très bien fonctionné sans mesure particulière. Nous devons donc changer de culture et de règles.

En 2022, le Conseil fédéral a décidé de réorganiser la cyberdéfense en faisant du NCSC un office fédéral et en le faisant passer du département des Finances à celui de la Défense. En décembre dernier, il y avait des bruits concernant une vague de démissions, notamment dues à une proximité entre le Service de renseignement de la Confédération (SRC) et le NCSC. Est-ce un problème selon vous?

En 2021, j’ai déposé une interpellation pour demander si le Conseil fédéral était prêt à créer un office de cybersécurité, parce que c’était devenu trop important. Le gouvernement n’était pas vraiment convaincu par cette idée. Trois mois plus tard, aux Cybersecurity Days à Fribourg, l’ex-conseiller fédéral Ueli Maurer a dit vouloir la création de cet office, ce qui m’a bien sûr réjoui. J’ai par contre critiqué le fait que le Conseil fédéral a transmis cet office civil au département de la Défense: j’ai eu la crainte qu’il devienne trop proche du SRC et de l’armée. C’est un défi de parvenir à convaincre l’économie que c’est une bonne chose de travailler avec cette institution, si deux portes plus loin, il y a les renseignements.

Et concernant les départs d’employés?

Huit sont partis du Government Computer Emergency Response Team (GovCERT) et travaillent maintenant dans l’industrie. C’est bien sûr une perte de main-d’œuvre. J’avais averti sur ce risque, alors que la conseillère fédérale Viola Amherd affirmait que cela n’aurait pas d’impact. Je vis désormais avec, et j’essaie de continuer à renforcer l’office fédéral de cybersécurité. Principalement en mettant en avant le facteur de l’indépendance, afin que l’office soit crédible pour les entreprises et les autres niveaux étatiques. C’est une bonne chose d’avoir cet office, avec du personnel très compétent. Cependant, ce qui lui manque encore, c’est d’avoir des responsabilités claires. Et aussi suffisamment de moyens. On parle d’un budget de 15 millions de francs sans augmentation prévue ces prochaines années. Certaines entreprises suisses et même étatiques dépensent bien plus que ça pour leur propre cybersécurité.

Malgré ce rapprochement avec le SRC, avez-vous l’impression que cette récente réorganisation va dans le bon sens?

A voir comment cela va se passer. Parce qu’en ce moment, ce n’est pas très clair qui est responsable de quoi. L’armée, l’Office fédéral de la cybersécurité et le secrétariat d’Etat à la politique de sécurité ont tous un certain intérêt à avoir une bonne part de ce gâteau. L’armée ne s’occupe que de ses propres infrastructures. Si elle crée de nouveaux moyens numériques qui peuvent être intéressants pour le privé ou l’administration, il faut qu’elle partage. Le Parlement a adopté une motion en ce sens. Ce que je souhaite, c’est que chaque instance se focalise sur son domaine, mais qu’il y ait une vraie collaboration, avec un échange d’outils, de savoir-faire, de code open source…

En 2023, il y a eu de nombreuses attaques. Notamment l’affaire touchant le fournisseur de solutions informatiques Xplain, où des documents des polices cantonales, de l’armée et de Fedpol ont été diffusés sur le darknet. Est-ce que leur récurrence vous a surpris?

Leur ampleur, en tout cas! L’attaque que vous mentionnez était vraiment grave. Cette situation est inacceptable. Il y a un manque de sensibilité pour la cybersécurité. Je suis quand même étonné qu’une entreprise active dans un domaine aussi sensible ne soit pas mieux équipée et plus avancée. Elle a vraiment commis des erreurs graves. C’étaient des choses basiques qu’elle n’avait pas respectées, c’est très problématique. On a non seulement un manque de culture dans ce domaine, mais aussi un problème de marché public. On met en avant l’idée de compétition sur le marché privé, afin que l’Etat fasse un appel d’offres, etc. Mais souvent il n’y a pas de concurrence. S’il n’y a qu’une seule entreprise qui a mis le pied dans la porte, il est très difficile de se détacher d’une telle dépendance. Et si les choses tournent mal, c’est quand même la faute de l’administration. 

Dans la même idée, Florian Schütz, directeur de l’Office fédéral de cybersécurité, expliquait en mars dans Blick que la Confédération n’est que tributaire des fournisseurs privés. Comment y remédier?

Premièrement, avec de l’open source. Forcer les entreprises qui fournissent ce genre de services à le faire en open source, ce qui les obligerait à travailler plus soigneusement vu que le code serait public. On a bien vu cela avec le certificat Covid durant la pandémie. Cela crée de la transparence et si jamais l’on arrête de travailler avec une entreprise, au moins, il y a de la transparence et on possède les codes. Et de l’autre côté, il y a aussi toujours quand même cette idée que l’administration ne fait rien d’elle-même, ou alors pas efficacement.

C’est pourtant vrai, non? Nous parlions de l’armée avant…

Je vois des limites à cet argument. Il se trouve que nous nous trouvons à l’ère du numérique et que les tâches régaliennes doivent être fournies par l’administration. La sécurité est une tâche régalienne, et la cybersécurité, par définition, en fait partie. Il faut dépasser ce conflit étatique-privé. Bien sûr que ces deux sphères existent. Donnons l’espace nécessaire pour les deux. La Confédération doit être capable de gérer jusqu’à un certain point ses propres moyens pour répondre aux exigences des tâches régaliennes. Sans compétence interne en matière de cybersécurité, impossible pour un Etat de comprendre ce qui se passe.

Comment la Confédération peut-elle s’améliorer dans la gestion de ses données?

Il faut qu’elle fasse des tests, qu’elle continue de se développer, qu’elle continue d’apprendre ! Ces menaces ne vont pas disparaître, au contraire. C’est pour cette raison que je pense qu’il faut internaliser ces compétences dans l’administration. Sinon, on ne dépend que d’un marché sur lequel la compétition n’est pas toujours présente. Et s’il n’y a pas de compétition, cela devient dangereux pour la Confédération. Mais comme optimiste, je vois des améliorations depuis le référendum sur l’identité électronique (e-ID) en mars 2021 et les applications Swiss Covid et le Certificat Covid…

Diriez-vous que la cybersécurité est une condition de l’indépendance d’un Etat?

Absolument, et cela doit devenir une compétence au même titre que les finances. Aucune organisation, publique ou privée, multinationale ou PME, ne peut se permettre de se désintéresser des finances. La même chose doit valoir pour la sécurité informatique. Savoir quels sont les risques et les opportunités numériques doit devenir une compétence recherchée dans tout organisme.

Ecrire à l’auteur: max.frei@leregardlibre.com

Vous venez de lire un article tiré de notre dossier SÉCURITÉ, publié dans notre édition papier (Le Regard Libre N°105).