La cyber-sécurité de la Suisse : oui mais non

La Suisse parle de plus en plus de cyber-sécurité et de cyber-défence au niveau politique. C’est bien, mais gageons que les actes suivront les paroles. Aujourd’hui, plusieurs élus s’impatientent comme le rapporte cette article:

Des élus s’énervent: « La Suisse a une guerre de retard sur la cyberdéfense »

Effectifs, budget, commandement, deux conseillers nationaux versés dans l’informatique pointent les faiblesses de l’armée.

Il y mentionne en particulier que:

Que faire? Franz Grüter veut que l’armée consacre 500 millions à la cyberdéfense: 250 millions pour recruter des spécialistes IT et 250 millions pour l’acquisition de matériel. Comme il le demande dans une motion parlementaire, il veut rationaliser et réunir les forces pour éviter redondances et inefficacité. «Il existe des compétences, mais elles sont disséminées entre l’armée, le Service de renseignement, l’OFCOM, l’OFIT, le DFJP et d’autres départements». Même constat chez Marcel Dobler, par ailleurs président de ICT Switzerland, l’organisation faîtière des entreprises de technologie de l’information: «Les experts en technologie sont perdus dans l’organigramme de l’armée. Il faut descendre loin dans la hiérarchie pour les trouver». Les deux élus appellent à un commandement cyberunifié comme dans les pays voisins.

Des postulats sont lancés mais, aujourd’hui, rien n’est encore joué à l’image des 2 objets rejetés suivants:

https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20163528

Postulat de Mme IDA GLANZMANN-HUNKELER :

La cyberstratégie de la Confédération prévoit que chaque département est responsable de sa propre cyberdéfense. Chaque département doit constituer le savoir-faire nécessaire, alors qu’il serait plus judicieux de regrouper les expériences et les ressources disponibles. La création d’un centre de compétences permettrait d’exploiter des synergies et d’utiliser les effectifs en fonction du but à atteindre. Il n’est ni judicieux ni utile que chaque département gère son propre service de cyberdéfense pour garantir la sécurité. Un centre de compétences qui régirait de surcroît les infrastructures critiques (Confédération, cantons et entreprises civiles, par ex. Swissgrid), et qui aurait la fonction d’interlocuteur, pourrait travailler plus efficacement. Si ce centre était intégré au DDPS pour des raisons relevant de la politique de sécurité, on pourrait étoffer ses ressources humaines avec des militaires de milice qui apporteraient leur expérience professionnelle en matière informatique.
Pour garantir la cybersécurité, on affectera toujours une partie du budget de l’armée à la protection des infrastructures critiques.

Et encore cet autre postulat:
https://www.parlament.ch/fr/ratsbetrieb/suche-curia-vista/geschaeft?AffairId=20163348

Postulat de M. CLAUDE BÉGLÉ :

Le Conseil fédéral est chargé d’étudier le lancement d’un programme intégré de cyberdéfense qui irait bien au-delà de la simple sécurité informatique et des moyens mis en oeuvre actuellement. Un Conseil de Cyberdéfense, en lien direct avec le conseiller fédéral en charge du DDPS, coordonnerait le tout. Il s’appuierait sur toutes les compétences suisses: recherche, industrie, banques.

Objectifs:

1. protéger le pays et les entreprises;

2. assurer leur défense active;

3. rechercher les auteurs des attaques effectives ou en projet;

4. pouvoir monter des cyber-contre-offensives.

Mesures complémentaires: synchronisation des sphères d’opération militaires (sol, air, espace électromagnétique, cyberespace), liste des infrastructures et entreprises critiques (avec directives à leur attention), coopération avec certains spécialistes dans d’autres pays, collaboration avec les PME expertes en détection des risques, formation des cadres militaires et civils.

Une telle stratégie renforcerait l’image de la Suisse en tant que pays souverain et place économique et financière sûre.

Malheureusement l’affaire n’est pas encore jouée comme le montre la décision de la semaine passée du Conseil fédéral qui ne veut pas d’un office dédié la cybersécurité:

Le Conseil fédéral ne veut pas d’un office dédié la cybersécurité

Le Conseil fédéral a proposé de rejeter la motion parlementaire exigeant la création d’une unité cybernétique autonome rattachée à un service approprié de l’armée ou du DDPS.

La cyber-attaque mondiale de la semaine passée rappelle pourtant l’importance de coordonner les forces en présence. N’est-il pas vrai que l’union fait la force ?