« Cyberespace : le point sur un nouveau terrain d’opération »
Berne, 01.06.2017 - Présentation de M. le Conseiller fédéral Guy Parmelin, Chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS), à l’occasion de la Conférence internationale du Comité européen des assurances à Zurich, le jeudi 1er juin 2017.
Seul fait foi le texte effectivement prononcé!
Monsieur le Président,
Mesdames et Messieurs,
Je suis très honoré d'être associé à cette conférence internationale et de pouvoir y prendre la parole. J'en profite pour vous transmettre les salutations du gouvernement suisse et l'expression de sa considération pour un secteur important de notre économie nationale et pour un employeur de premier plan dans notre pays.
Vous avez choisi, et c'est d'ailleurs un thème au goût du jour pour un grand nombre d'organisations faîtières en Suisse, de traiter la question de la digitalisation, un défi économique qui est porteur d'espoir pour beaucoup de PME suisses actuellement soumises à rude épreuve concurrentielle et qui sont, pour cette raison même, constamment en quête de compétitivité. L'automatisation des procédés est perçue à juste titre comme un vecteur d'innovation et comme un moteur de croissance, mais c'est aussi - il ne faut pas hésiter à le souligner - une source de risques d'un nouveau genre : de risques liés au vol de données et à la prise de contrôle ou à l'infiltration de nos systèmes informatiques. Or, le but de la technologie doit bien être de servir et non de trahir nos intérêts.
J'illustrerai ces risques par un exemple anecdotique, voire amusant, et pourtant tout à fait révélateur : dans la nuit du 7 au 8 avril dernier, des pirates informatiques d'un genre plutôt farceur sont parvenus à maîtriser le système gérant les sirènes d'alarme de la ville de Dallas, au Texas, une métropole qui compte trois fois plus d'habitants que Zurich. Ainsi, pendant plus d'une heure et demie, les 156 sirènes de la ville ont retenti en même temps, sans discontinuer, hors de tout contrôle et provoquant une panique bien compréhensible au sein de la population.
Cet exemple de cyberattaque, sans gravité, nous rappelle que les systèmes sont d'autant plus vulnérables qu'ils sont informatisés, mis en réseau, centralisés, bref vulnérables du fait même des atouts qui sont les leurs : la possibilité d'être commandés à distance à partir d'un simple ordinateur. Sans aller jusqu'à Dallas, nos villes suisses disposent elles aussi de systèmes de gestion à distance de l'eau potable, de l'électricité ou des feux de signalisation, ce qui donne à réfléchir sur les perspectives d'une utilisation malveillante de ces systèmes. Chaque rose a ses épines, chaque médaille a son revers...
L'exemple des sirènes est révélateur également d'une tendance croissante contre laquelle nous sommes impuissants, à moins de prétendre nager à contre-courant : la tendance à la multiplication des interconnexions et à la complexité grandissante des technologies de l'information et de la communication. L'Etat, l'économie et la société reposent ainsi sur des réseaux digitaux mondialisés, potentiellement accessibles de partout, tout de suite, desquels nous sommes aujourd'hui dangereusement dépendants. Pourrait-on imaginer, à moins d'entretenir une relation conflictuelle avec le progrès, un téléphone portable qui ne servirait qu'à appeler un correspondant ? Non, évidemment, parce que nous sommes devenus tributaires des ressources quasi illimitées qu'offrent nos smartphones. Or, c'est précisément à l'aune de cette dépendance extrême que se mesure aussi notre extrême vulnérabilité: le détournement de votre téléphone portable, c'est souvent plus que le viol de votre intimité, ce peut être aussi l'accès au secrets de votre entreprise. En être conscient, c'est déjà commencer à se prémunir contre ce risque.
Notre pays ne part pas de zéro dans sa lutte contre les dangers liés à la technologie numérique. En 2012, alors que ce sujet ne focalisait encore que timidement l'attention des médias, le Conseil fédéral approuvait la Stratégie nationale de protection contre les cyberrisques et confiait sa mise en œuvre au Département fédéral des finances par l'intermédiaire de l'Unité de pilotage informatique de la Confédération. Compte tenu de l'évolution de la situation, une révision de cette première stratégie vient d'être décidée par le Conseil fédéral pour les années 2018 à 2023.
Du point de vue de mon département, et examinée sous l'angle de la politique de sécurité, nous sommes d'avis que la menace, dans le domaine digital, est devenue plus aiguë et plus globale qu'elle ne l'était jusqu'ici. Le mot « cybermenace » se décline ainsi au quotidien et s'exerce avec une intensité et une complexité jamais vues, souvent dans la durée d'ailleurs, puisque les piratages sont susceptibles d'être « dormants », car indolores, et rester de ce fait longtemps ignorés par les victimes infectées. Ces attaques ne sont pas imputables qu'à des « hackers » isolés: elles sont de plus en plus fréquemment dues à des Etats, à de grands Etats même, capables de se muer au gré des besoins soit en mouchards soit en pillards soit en agresseurs informatiques, et cela en passant parfois à travers des logiciels en apparence innocents que les firmes situées dans ces mêmes Etats élaborent et commercialisent.
On a beaucoup parlé l'an dernier de l'attaque qui a visé l'entreprise RUAG. Cependant, le cadre de mon propos est malheureusement bien plus vaste que les quelques rares cas médiatisés. Les services français compétents évaluent ainsi à 24'000 le nombre d'attaques informatiques externes qu'ils ont dû déjouer l'an dernier. Et selon une publication du World Economic Forum datant d'il y a une année, les coûts engendrés par la cybercriminalité avoisineraient les 450 milliards de dollars, soit un peu moins d'un pour cent du PIB mondial. C'est dire que le temps est venu d'être actifs, ou plutôt proactifs !
J'expliquerai dans un instant quelles stratégies nous entendons déployer, non sans saluer au passage le sens de l'à-propos manifesté par un grand nombre des compagnies que vous représentez et qui offrent aujourd'hui déjà des couvertures de cyberassurances pour les particuliers qui viendraient à perdre ou à se faire voler des données informatiques. Vous-mêmes avez donc pris conscience du phénomène que je décris.
Telles que nous les avons analysées, les cybermenaces peuvent viser différents objectifs : d'abord l'acquisition de renseignement, en plus des méthodes conventionnelles d'espionnage. Pour ce faire, le recours aux procédés numériques offre l'avantage d'être dépourvu de risques physiques, ses moyens d'intervention passent souvent inaperçus et leurs effets peuvent même conserver une certaine latence au cœur des systèmes pollués au-delà de leur découverte et de leur élimination. Dans ce domaine, je trouve assez révélateur que sur les quinze postes actuellement vacants au sein du MI-6, le service des renseignements extérieurs du Royaume-Uni, pas moins de neuf le soient pour des activités directement liées aux nouvelles technologies.
Ensuite, il y a les cybermenaces à vocation terroriste. Nous avons vu ces méthodes appliquées en marge des abominations perpétrées par Daech : il s'agit d'une communication à visée propagandiste ou destinée à manipuler ou à désinformer par la pollution de sites officiels ou de réseaux sociaux.
Il y a enfin les cybermenaces relevant d'actes criminels. Ces dernières comprennent les actes malveillants commis à des fins de pillage de comptes en banque ou d'extorsion de fonds. Le mode opératoire peut passer dans ces cas-là par l'envoi d'un cheval de Troie qui prend en quelque sorte en otage vos données personnelles jusqu'à ce que vous versiez le montant nécessaire, quelques centaines de francs en règle générale, pour obtenir la clef de déchiffrement. Les victimes favorites de ces logiciels de rançon sont les PME, et le phénomène prend de l'ampleur.
Dans ce chapitre des actes de dimension criminelle figurent également le sabotage ou la prise de contrôle de systèmes de commande ou de gestion, à l'instar du cas des sirènes que j'évoquais à l'instant.
Sur ce dernier point, j'aimerais souligner ici les risques qui pèsent sur ce que nous appelons les « infrastructures critiques ». Les cibles privilégiées du terrorisme numérique sont en effet des entreprises dont les activités sont cruciales pour la société, que ce soit dans le domaine de l'approvisionnement, d'électricité, de gaz, d'eau, de combustibles ou de carburants, de production ou de distribution de denrées alimentaires. Les entreprises de télécommunications sont également concernées ainsi que toutes celles qui sont actives de près ou de loin dans le secteur de la santé. Les banques, les assurances - les assurances maladie tout particulièrement, en raison des données sensibles qu'elles traitent -, les compagnies de transport constituent toutes également des cibles potentielles de choix.
Ces branches sont d'autant plus exposées qu'elles sont, comme je viens de le préciser, essentielles à la vigueur d'un pays et à sa prospérité économique. Ainsi, empêcher à distance l'un ou l'autre de ces secteurs de fonctionner normalement provoquerait une paralysie nationale en quelques heures seulement. Défaillante, la Suisse serait du même coup exposée à de possibles prises de contrôle externes auxquelles elle ne serait en mesure d'opposer aucune résistance si elle était prise au dépourvu. Soyons clairs sur un point, Mesdames et Messieurs : sur l'échelle des menaces qui nous guettent, les risques numériques trônent pratiquement au sommet.
L'enjeu n'est pas que civil, il est également militaire. Le cyberespace doit désormais être considéré comme un terrain d'opérations à part entière, un champ de bataille d'ores et déjà ouvert sur lequel nous devons être à même de prévenir le danger et de contrer les attaques, à défaut de pouvoir - neutralité oblige - les lancer nous-mêmes.
C'est la raison pour laquelle, en parallèle au rôle assigné à cet égard au Département fédéral des finances ainsi qu'aux autorités judiciaires compétentes, nous sommes en train de réaliser un plan d'action en matière de cyberdéfense au sein de mon département. Il doit être opérationnel en 2020.
Ce plan a trois piliers. Il vise tout d'abord à permettre au DDPS de remplir ses missions en toute circonstance et d'être opérationnel en permanence, sans être exposé aux menaces numériques. Ensuite, dès lors que le cyber devient une partie du champ de bataille, il est cohérent pour notre armée qu'elle sache y conduire le combat. Enfin, et c'est là l'une des tâches les plus pressantes assignées au Service de renseignement de la Confédération, l'objectif est de prévenir les attaques visant les infrastructures critiques, ainsi que le prévoit d'ailleurs la nouvelle loi sur le renseignement.
En procédant par des réallocations de postes en fonction de nos priorités et de nos impératifs, nous ambitionnons, sans incidence sur le cadre budgétaire étroit qui nous est imposé, de faire passer de 50 à près de 150 les effectifs actuellement affectés à ce secteur, lesquels sont principalement répartis entre l'Armée et le Service de renseignement de la Confédération.
J'aimerais insister à ce stade sur les vertus du partenariat dans la réalisation de cet objectif : avec les industriels et les opérateurs d'infrastructures critiques pour ce qui concerne la prévention et la résilience, mais aussi et surtout avec les hautes écoles pour l'expertise, l'acquisition de connaissances et l'application de compétences techniques utiles. Aujourd'hui déjà, mes collaborateurs occupés à élaborer notre plan d'action en matière de cyberdéfense bénéficient d'un appui scientifique de très haute qualité grâce aux professeurs et aux chefs d'entreprise qui siègent au sein du conseil consultatif chargé de nous éclairer dans le renforcement des moyens que nous entendons consacrer à ce secteur.
Mais il faut pouvoir s'appuyer sur des synergies plus larges encore, qui profiteraient à terme à notre économie : l'objectif est qu'elle puisse recruter des spécialistes ayant acquis des connaissances fondamentales en sécurité informatique dans le cadre de leur formation professionnelle en premier lieu, mais qui les auraient ensuite mises en pratique et affinées lors de leur passage sous les drapeaux. De tels collaborateurs seraient de première force pour nos banques, nos assurances, nos fournisseurs de ressources énergétiques, parmi d'autres branches directement exposées aux cybermenaces. J'ai eu l'occasion de me rendre compte de l'intérêt extrêmement marqué non seulement des milieux académiques pour une telle collaboration, mais également celui des étudiants eux-mêmes - et des étudiantes aussi - qui y voient la possibilité de servir leur pays au plus près de leurs compétences et selon des formes de service mieux adaptées à leurs attentes et à leurs disponibilités. Il en va là d'une logique de bénéfices réciproques et du partage le plus profitable des savoirs.
Si nos ambitions en la matière sont légitimes, eu égard à nos obligations constitutionnelles relatives au maintien de l'indépendance et de la sécurité du pays, elles ne sont pas tout à fait inédites par rapport à ce qu'ont déjà entrepris nos partenaires étrangers dans ce domaine. J'ai en effet eu l'occasion de me rendre compte que la France, qui est l'un des fers de lance des opérations cyber en Europe, partage la même préoccupation que la nôtre à l'égard de cette nouvelle forme de menace. La Suisse a d'ailleurs récemment signé avec elle une lettre d'intention en matière de cybersécurité. Ce document ouvre des pistes de collaboration et de développement entre nos deux pays en matière de cyberstratégie.
J'observe en outre que notre voisine a singulièrement musclé les ressources qu'elle alloue au combat numérique, faisant presque du personnel qu'elle y engage une espèce de « quatrième » armée complétant l'armée de terre, l'armée de l'air et la marine. D'ici 2019, les effectifs français dédiés totaliseront 3'200 personnes auxquels s'ajouteront 4'000 réservistes, et les investissements cyber tripleront pour atteindre 440 millions d'euros. On le voit : la sécurité numérique est devenue un enjeu politique majeur du monde occidental.
J'aimerais pour conclure vous remercier de votre intérêt pour ces questions et de votre contribution institutionnelle à ce grand défi sécuritaire. Je sais que les assurances sont très sensibles aux aspects liés à la cybersécurité qu'elles œuvrent elles-mêmes à renforcer dans leur propre espace. L'élargissement de ce « terrain des opérations », comme je me suis plu à le désigner, répond par ailleurs parfaitement à mes ambitions pour notre armée : pas seulement en tant qu'agent indispensable à notre souveraineté et à notre sécurité, mais avant tout en tant que moyen de défense qui sait s'adapter à son temps, aux menaces de son époque et si possible déjà à celles qui leur succéderont, capable d'être une institution formatrice de pointe et de recourir pour cela, a fortiori dans un pays parmi les plus innovants au monde, aux ressources humaines les plus compétentes par secteur. C'est là précisément le sens et le rôle fondamental d'une armée de milice, dont le renforcement de notre sécurité numérique contribuera assurément à augmenter encore le crédit.
Je vous remercie de votre attention.
Adresse pour l'envoi de questions
DDPS Communication
Palais fédéral Est
CH - 3003 Berne
Auteur
Département fédéral de la défense, de la protection de la population et des sports
http://www.vbs.admin.ch
