Seule la version prononcée fait foi

Monsieur le Président de l’Association vaudoise des banques,
Monsieur le Président de la Fondation vaudoise pour la formation bancaire,
Mesdames et Messieurs,

Vous m’avez suggéré de vous parler de « La Suisse à l’heure de la cyberdéfense ? », en prenant soin d’assortir ce titre d’un point d’interrogation. Au risque de couper mes propres effets, je peux d’ores et déjà vous dire que ce point d’interrogation est superflu. Cette précision étant apportée, et avant de développer mon propos, je tiens à vous remercier de votre invitation et à vous dire le plaisir qui est le mien de pouvoir aborder avec vous un sujet majeur, à la fois politiquement et médiatiquement, mais à propos duquel je dois tout de même relever qu’il est loin d’occuper tout l’espace sécuritaire dans lequel mon département est appelé à évoluer au quotidien.

Le thème que nous traitons ce soir est de ceux qui prennent volontiers du relief par l’exemple. Aussi, je me propose de vous parler de cyberdéfense dans la réalité concrète qui est la sienne. Ainsi, comme vous le savez, notre pays envisage de faire l’acquisition de nouveaux avions de combat. Or, parmi les candidats potentiels figure l’avion américain F-35, construit par la firme Lockheed Martin. Il se trouve que nous venons d’apprendre qu’en Australie, une petite entreprise de défense active dans la sous-traitance s’est fait voler en novembre dernier 30 gigaoctets de données relatives notamment à cet appareil. Ses responsables assurent qu’aucune de ces données ne concernait des informations classifiées, mais il s’avère qu’elles étaient tout de même, aux dires de cette société, « commercialement sensibles », et que les hackers ont eu accès à tous les courriels de l’entreprise en question. Quoi qu’il en soit, et sans préjuger des choix qui seront faits par notre pays, vous voyez qu’en achetant le F-35, un acquéreur achète également l’historique des cyberattaques dont ce produit a déjà été l’objet. Cela revient à dire que cet acquéreur voudra savoir si les capacités de l’avion sont d’une façon ou d’une autre compromises, et quelles mesures ont été définies pour prévenir les risques qui pourraient découler d’un tel piratage.

Prenons maintenant un autre exemple, celui d’Accenture, l’une des plus grandes entreprises internationales de conseil, si ce n’est la plus grande, renommée en particulier pour son expertise dans le développement et la mise en œuvre de systèmes d’information, cybersécurité comprise. Il se trouve qu’Accenture aurait imprudemment stocké dans le « cloud » d’Amazon, le fameux prestataire de services web, plusieurs centaines de gigaoctets de données concernant ses clients. En fait, il semblerait qu’il suffisait de connaître l’adresse IP des serveurs d’Amazon pour accéder le plus simplement du monde à ces données : des identifiants, des clefs de chiffrement, un répertoire de 40'000 mots de passe et même la clef maîtresse permettant de mettre la main sur n’importe quelle donnée cryptée emmagasinée sur les serveurs en question. En clair : entrez, chers amis pirates, et faites comme chez vous !

Accenture a beau avoir communiqué que ces données ne représentaient qu’une tête d’épingle parmi toutes celles qu’elle stocke, qu’elle étaient au surplus périmées et que personne ne paraissait avoir profité de cette faille pour les subtiliser, tout cela n’est guère rassurant et nous incite à mettre rapidement le nez dans nos propres lacunes.

Je ne suis pas spécialement d’une nature soupçonneuse, mais le monde dans lequel nous vivons nous conduit à faire preuve de prudence. A cet effet, on relira utilement les précieuses feuilles de Joseph Joubert, un moraliste français hélas oublié, qui écrivait ceci (je cite) : « Il faut recevoir le passé avec respect, et le présent avec défiance, si l’on veut pourvoir à la sûreté de l’avenir. » Cela pour vous dire que l’interconnectivité de nos appareils de communication, la fragilité des systèmes de sécurité qui les équipent et la malveillance incommensurable des gens ou des Etats qui s’en servent à des fins criminelles exposent nos réseaux à des périls sans précédent. Nous en avons des preuves chaque jour et dans le monde entier ; à nous la responsabilité d’y parer !

Le WEF a répété au printemps dernier que le coût annuel de la criminalité numérique s’était élevé, en 2014, à 445 milliards de dollars, soit 0,8% du PIB mondial. Cela représente 5,6 milliards de francs à l’échelle de notre pays. Le PDG de Microsoft, quant à lui, a récemment prédit – en lançant son idée de convention de Genève sur le cyber – que ce chiffre atteindrait 3'000 milliards de dollars d’ici 2020 ; la Lloyd’s, célèbre marché britannique d’assurance, estime dans un rapport publié en juillet 2017 qu'un seul événement extrême pourrait entraîner une perte économique globale susceptible de se monter à 120 milliards de dollars. Ce ne sont là que des ordres de grandeur, mais le WEF et la Lloyd’s n’étant pas réputés pour leur fantaisie, je me doute que leurs appréciations reposent sur des analyses fiables. Néanmoins, j’invite régulièrement mes interlocuteurs – politiques, administratifs ou médiatiques – à garder leur sang-froid et à ne pas céder à une quelconque « cyber-hystérie », en courant comme des poules sans tête à l’idée d’une apocalypse numérique imminente. Nous n’en sommes de loin pas là, et nous mettons d’ailleurs tout en œuvre pour ne jamais y être.

Le fait est cependant que les technologies de l’information ont connu un développement spectaculaire en quelque vingt années. Après l’avènement de la vapeur, puis celle de l’électricité et enfin celle de l’informatique, nous abordons aujourd’hui la quatrième révolution industrielle, qui comprend des interactions homme-machine toujours plus poussées, laissant présager un besoin croissant en personnel apte à installer, à exploiter et surtout à protéger les systèmes sur lesquels cette même révolution s‘appuie.

Il y a une année, le quotidien Le Temps rapportait des chiffres publiés par l’association ICT, active dans la formation aux métiers de l’informatique et de la communication, montrant que l’économie avait rapidement besoin de 24'000 nouveaux spécialistes des domaines couverts par ces métiers. Actuellement, ces derniers emploient 210'000 personnes en Suisse, un effectif qui s’accroît de 3'000 unités chaque année. Le besoin en spécialistes se fait sentir dans un grand nombre de branches : celui de la banque, celui de l’assurance, dans plusieurs secteurs infrastructurels dits sensibles ou « critiques », selon notre jargon, tels les transports ou l’énergie, et bien évidemment dans la défense. L’une de nos difficultés à recruter, cependant, n’est pas le manque de bras, mais nos conditions, notamment salariales, qui ne sauraient rivaliser avec celles qu’offrent par exemple les entreprises du GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

L’émergence de cette « génération numérique » revêt plusieurs aspects. Aujourd’hui, un smartphone permet non seulement de téléphoner, mais encore de photographier, de filmer, de payer une addition, de consulter un horaire de train, de commander une pizza, de signaler sa position, voire de régler chauffage ou éclairage à distance. Cela revient à dire que les frontières techniques ont été repoussées, que nos habitudes et nos comportements ont changé en proportion, que notre manière d’aborder les services a également grandement évolué, bref que le pouce – lieutenant de nos décisions – est plus que jamais notre doigt le plus exercé. Mais cela souligne aussi et surtout notre dépendance croissante vis-à-vis de ce genre d’appareils, du wifi, de la connectique, et révèle une vulnérabilité proportionnelle aux risques de sécurité considérables que cette réalité induit.

Il y a certainement, dans les médias, dans les milieux politiques, un effet de mode à l’endroit de tout néologisme accompagné du préfixe « cyber- ». Pour autant, les nouveaux horizons numériques sont loin de ne présenter que des menaces, comme ils sont tout aussi loin – il faut le dire – de ne présenter que des avantages. Les pouvoirs publics, dans les grandes communes, dans les cantons, au sein de la Confédération, doivent être extrêmement attentifs aux développements que connaît ce secteur et apporter des solutions évolutives aux problèmes qu’il soulève. Le département dont j’ai la charge est en première ligne de cette observation et du combat qu’elle suppose, ce qui l’a d’ailleurs conduit à élaborer un plan d’action propre à la défense.

Il est de fait que la cyberprotection est nécessaire, mais elle n’est pas nécessaire parce que ce sujet est à la mode. Elle n’est pas nécessaire non plus parce qu’il y existe un risque considérable de vols de données. Elle est nécessaire parce que l’univers numérique représente une nouvelle dimension dans laquelle l’insécurité est permanente. Nous devons ainsi constater que des Etats et des acteurs non étatiques s’en servent activement pour mener de véritables opérations d’assaut destinées à neutraliser l’adversaire.

C’est donc en ma qualité de ministre chargé de la sécurité que je suis concerné par ces enjeux et que je me dois de fixer des objectifs clairs, en l’occurrence celui de détecter, d’identifier et de contrecarrer de telles attaques. Ainsi en va-t-il de la défense de notre pays et de la protection de notre population, s’agissant en particulier du bon fonctionnement des infrastructures critiques. Au sein du DDPS, la cybersécurité est ainsi au carrefour des tâches de l’Armée, du Service de renseignement de la Confédération et de l’Office fédéral de la protection de la population.

L’armée, plus particulièrement, a pour mission d’être capable d’intervenir à couvert dans cette dimension, faute de quoi elle ne pourrait pleinement déployer ses moyens et risquerait ainsi d’être inopérante. La défaillance de la logistique, le brouillage des moyens de renseignement, l’aviation clouée au sol sont quelques-uns parmi les principaux dangers d’une opération numérique hostile contre notre armée.

Ma perception des enjeux en question s’est effectuée sans le moindre temps d’adaptation : je suis en effet entré en fonction en janvier 2016, époque où les « cybermenaces » étaient à peine évoquées dans le grand public. Soudain, ce même mois, 20 gigaoctets de données étaient dérobés à l’entreprise Ruag par des pirates informatiques, et alors que l'un de nos systèmes venait de subir une attaque en déni de service. Ces événements ont brutalement accéléré notre prise de conscience du phénomène et conduit à l’élaboration, par le DDPS, de ce que nous avons appelé un « plan d’action cyberdéfense » ou PACD. Il a été approuvé en juin dernier, et sa réalisation est d’ores et déjà en cours.

Ce document est, pour une large part, le fruit d’une collaboration thématique avec nos partenaires nationaux et internationaux, avec la base industrielle suisse et avec les hautes écoles. Mme la Professeure Solange Ghernaouti, que je salue ici et avec qui nous avons étroitement travaillé, peut d’ailleurs l’attester, puisqu’elle siège au sein du conseil consultatif mis sur pied par mon département pour servir de laboratoire d’idées dans ce domaine. Le PACD prévoit une triple montée en puissance : celle des moyens de cyberprotection, qu’il convient simplement de renforcer à ce stade dès lors que nous disposons déjà de cellules de lutte actives qui fonctionnement à satisfaction ; celle également des moyens d’opérations numériques, autorisés par la nouvelle loi fédérale sur le renseignement et la loi sur l’armée et l’administration militaire qui nous en fournissent désormais les bases légales ; celle enfin des capacités à rester à jour et, le cas échéant, à anticiper les dangers.

Ce plan prévoit notamment l’établissement d’un pôle de ralliement, baptisé CYD-CAMPUS, autrement dit un campus pour la cyberdéfense. Il s’agit de créer non pas une université avec briques et charpente, mais de mettre en place et de développer un réseau de compétences entre nos différents partenaires. En effet, la « cyberdéfense » sera d’autant plus efficace si elle passe par un échange d’expériences et d’informations : un vol de données bancaires ou le piratage de fichiers techniques chez un fournisseur de matériel militaire font émerger, au demeurant, des problèmes digitaux semblables. Ce réseau doit nous aider à les anticiper en saisissant les enjeux à temps, à disposer des capacités et des savoir-faire opérationnels requis et à mobiliser les personnes-ressources nécessaires. Il s’agit là d’une première, de sorte que je ne peux vous dire à ce stade si les objectifs du CYD-CAMPUS seront effectivement atteints, mais nous avons déjà commencé à entraîner activement ce modèle et à exercer la collaboration en question. Je souligne ici que cette structure poursuit un double dessein, à savoir celui d’assurer, en dépit des cybermenaces et des cyberattaques, la conduite de l’engagement et de sauvegarder les fonctions vitales de notre société, en particulier dans les secteurs énergétiques, économiques, sanitaires et administratifs.

En évoquant les personnes-ressources, je souhaite insister sur notre besoin en personnel. Il n’est pas évoqué qu’au sein du DDPS, puisque le département de mon collègue Johann Schneider-Ammann vient de valider un diplôme fédéral destiné aux experts en sécurité numérique. Ce besoin concerne aussi bien les professionnels que les miliciens incorporés dans l’armée. A ce titre, il bouscule évidemment, s’agissant de l’armée, le modèle traditionnel de l’école de recrues, étant donnà qu’il n’est pas envisageable de former quelqu’un dans cette branche en quatre mois à peine. Autrement dit, nous devrons faire appel à des personnes qui sont déjà au bénéfice d’une formation adéquate, que nous pourrions ensuite adapter aux exigences militaires. C’est d’ailleurs le cas pour les sportifs d’élite, les musiciens ou les médecins, par exemple, dont la formation de base représente un processus de longue haleine. Nous réfléchissons même, avec le Secrétariat d’Etat à la formation, à la recherche et à l’innovation, à la possibilité de rendre qualifiante cette formation militaire, en quelque sorte « post-graduée », par la délivrance, à terme, d’un brevet fédéral. J’y vois un avantage gagnant-gagnant pour l’économie, qui pourrait ainsi engager du personnel parfaitement au point sur le plan théorique, mais qui au surplus aurait mis, le temps de son passage sous les drapeaux, ses connaissances à l’épreuve de la pratique.

Selon nos calculs, l’armée aurait besoin de 150 professionnels et, annuellement, d’environ 60 militaires formés – ce qui représente 500 à 600 soldats incorporés – pour faire face aux enjeux stratégiques liés à la cyberdéfense. Nous ambitionnons de donner un premier tour concret à cette mesure dès l’an prochain, mais sans occasionner de nouvelles dépenses. Les contraintes budgétaires de la Confédération étant ce qu’elles sont, nous devrons en effet procéder par réallocations internes des effectifs en fonction de nos priorités.

Toutefois, il y a lieu également de modifier l’angle d’approche de l’engagement de nos troupes de milice dans ce domaine. Les « cybermenaces » sont permanentes et elles se déclenchent sans délai, ce qui revient à dire qu’un plan de mobilisation, quel qu’il soit, ne peut qu’avoir un temps de retard. Nous devons par conséquent, en plus de nos effectifs professionnels, pouvoir recourir en tout temps à des détachements en service afin d’assurer notre propre capacité de défense ainsi que l’appui subsidiaire aux différentes entités de la Confédération, aux cantons, aux exploitants d’infrastructures critiques voire à d’autres acteurs nationaux encore.

Sur le plan politique, je constate que les attentes sont grandes, notamment de la part de ceux qu’indispose l’existence même des casques et des fusils. Mais notre armée ne peut pas être qu’une légion d’informaticiens en baskets, la tête plongée dans un écran d’ordinateur. Si je peux donc entendre les tenants de l’armée 4.0, je n’en dois pas moins prendre en compte toutes les autres menaces, au premier rang desquelles le terrorisme, les dangers naturels et les violations de notre espace aérien.

Je veux néanmoins désamorcer les critiques de ceux qui affirment que le DDPS n’investit pas, ou du moins pas assez, dans la cyberdéfense. En regardant attentivement, vous verriez au contraire que nous engageons des moyens très importants dans la modernisation de nos infrastructures informatiques. En outre, chaque renouvellement d’équipement comprend un volet de cybersécurité. En choisissant un nouvel avion de combat, par exemple, nous devons simultanément opter pour un appareil qui intègre déjà cette dimension dans son avionique sans qu’on ait besoin de redondances à partir du sol. Donc, en clair, s’il n’est pas explicitement question de cyberdéfense dans la littérature émanant de mon département, ce n’est pas que le sujet a été éludé, mais qu’il est le plus souvent déjà compris dans les systèmes dont nous examinons le renouvellement ou l’acquisition. Selon nos estimations, la part du budget du DDPS qui serait dévolue spécifiquement à la cyberdéfense pourrait être de 2%, ce qui correspond à une enveloppe d’une centaine de millions de francs.

Quoi qu’il en soit, l’une des difficultés sera de rendre tangibles nos efforts dans ce secteur, et nos succès aussi je l’espère. Le contribuable aime savoir ce que l’on fait des ressources qu’il nous met à disposition, et notre devoir est d’être transparents à ce sujet, même si le domaine numérique n’est pas celui qui permet en la matière les démonstrations les plus illustratives. Toutefois, compte tenu de l’évolution exponentielle des menaces et des attaques qui transitent quotidiennement par ce canal, nous devrons constamment veiller à ce que nos progrès soient mesurables, ce qui constituera un atout important pour justifier les moyens engagés sur ce nouveau terrain d’opération.

Je tiens également à ce que notre stratégie et notre expérience vous soient profitables à vous, ou plutôt que nos expériences NOUS soient réciproquement profitables. C’est la raison pour laquelle j’entretiens beaucoup de contacts avec les entreprises privées et avec les hautes écoles concernées par ce phénomène, ainsi qu’avec mes homologues étrangers, ce que font d’ailleurs les responsables opérationnels de mon département.

Je crois qu’il ne faut pas avoir peur d’affronter la réalité en face et d’appeler les choses par leur nom : ainsi, il n’est pas exagéré d’affirmer que nous nous trouvons devant un changement radical de la façon – ou de l’art diront les plus vieux stratèges – de faire la guerre. Nous nous y adaptons aussi rapidement que possible, en consolidant nos dispositifs, mais sans pouvoir pour autant laisser de côté les autres orientations, plus classiques, de notre système de défense.

Comme je viens de le souligner, on ne part pas de zéro, mais la fréquence d’apparition de ces nouvelles menaces, leur acuité aussi, nous obligent impérativement à optimiser, à transformer et à renforcer nos moyens, cela dans une logique collaborative, afin de donner à nos engagements dans le domaine « cyber » le maximum de chances de succès.

Je me réjouis de pouvoir approfondir ce sujet à la faveur des échanges qui vont suivre et je vous remercie de votre curiosité pour les défis incroyables qu’il nous lance. Votre contribution dans ce domaine est grandement appréciée.

Merci de votre attention.