Dans une société qui se dématérialise un peu plus chaque jour, il est intéressant de se demander si les cybercriminels ont réellement toujours un temps d’avance, ou s’il s’agit juste d’une expression de la difficulté que l’on a à identifier et admettre nos propres manquements. Cet article vise à démystifier l’idée d’une forme d’omniscience cybercriminelle et à examiner les défis auxquels nous sommes confrontés en matière de cybersécurité.
L’expertise en cybersécurité n’est pas innée, elle est acquise. Les cybercriminels ne sont pas des êtres surnaturels, ils ne naissent pas experts, ils le deviennent grâce à une formation continue et une pratique constante. C’est une démarche proactive qui nécessite un investissement en temps et en ressources. De la même manière, les entreprises et les administrations peuvent développer une expertise similaire en investissant dans la formation de leur personnel. Cependant, il est nécessaire de reconnaître que cette formation doit être continue et adaptée aux évolutions constantes du paysage des menaces cybernétiques. Par exemple, le Danemark, qui est considéré comme le pays le plus sûr en matière de cybersécurité selon une étude de Comparitech de septembre 2022, investit fortement dans la formation en cybersécurité et a mis en place des initiatives pour encourager l’apprentissage continu dans ce domaine.
Les cybercriminels adoptent une approche de type startup pour mener leurs opérations. Ils sont organisés, utilisent les dernières technologies, adaptent rapidement leurs stratégies en fonction des nouvelles opportunités et des défis, et sont prêts à prendre des risques. Ils travaillent souvent en équipes distribuées, avec des membres spécialisés dans différents domaines. Ils abordent souvent leur attaque comme un projet, avec des objectifs spécifiques à atteindre. Tout comme une startup, ils ont des processus d’embauche et même des plans de carrière. Ils travaillent souvent sans horaires de bureau fixes, avec une grande flexibilité dans leurs horaires de travail. Et ils ont même des services clients. C’est sans juste au niveau des salaires que cette métaphore trouve ses limites… et c’est là une partie du problème.
La porosité humaine de nos infrastructures
Une grande partie des cyberattaques réussies peuvent être attribuées à la vulnérabilité humaine. Que ce soit par le biais de l’hameçonnage, de l’ingénierie sociale ou d’autres tactiques, les cybercriminels exploitent souvent les failles humaines pour pénétrer nos systèmes. C’est pourquoi il est primordial d’améliorer la littératie numérique de la population. Il s’agit d’un enjeu national, notre fédéralisme ou chaque canton agit un peu comme bon il lui semble est un frein à une acquisition homogène des connaissances nécessaires, et l’hétérogénéité des niveaux de connaissance contribue à la porosité du système face aux cyberattaques. L’éducation au numérique doit être intégrée dans le curriculum scolaire et sanctionnée par des examens, tout comme les autres matières fondamentales. Cela permettrait non seulement de renforcer la résilience individuelle face aux cyberattaques, mais aussi de créer une culture de la cybersécurité au sein de la société, chaque citoyen étant constitutif de notre capacité de résilience face aux risques cybernétiques. Des pays comme l’Estonie ont déjà intégré l’éducation numérique dans leur système scolaire. « Pour créer une société cyber-consciente, les directives estoniennes en matière d’éducation suggèrent que les élèves commencent à faire leurs premiers pas à la maternelle. Outre les programmes officiels et le matériel didactique, les programmes d’informatique non formels et les concours de formation soutiennent l’utilisation de la sensibilisation à la sécurité numérique dans les écoles et les foyers. Le Center for Digital Forensics and Cyber Security a eu un impact significatif. Plus de 150 000 élèves à partir de 7 ans et 5 000 enseignants ont participé à leurs programmes de 2017 à 2021. », Peeter Vihma, Chercheur en sciences sociales à l’université d’Helsinki et à l’université estonienne des sciences de la vie. Un modèle dont la Suisse ferait bien de s’inspirer.
Renforcer le cadre législatif
Afin d’aligner son cadre législatif sur la Directive NIS2/SRI2 de l’UE, la Suisse pourrait envisager plusieurs améliorations. À l’instar de NIS2, la Suisse pourrait mettre en place des mécanismes de supervision pour les opérateurs de services essentiels et les fournisseurs de services numériques. Ces mécanismes permettent de s’assurer que ces entités respectent les obligations de sécurité et de notification des incidents. De plus, la Directive NIS2 prévoit la mise en place d’un cadre de certification de cybersécurité de l’UE pour les produits, services et processus de TIC et les fournisseurs de services numériques, garantissant ainsi le respect des obligations de sécurité et la notification des incidents (il existe déjà une politique de notification des incidents dans l’Article 74b de la Loi fédérale sur la sécurité de l’information au sein de la Confédération (LSI), mais la législation européenne semble couvrir un spectre plus large). L’extension du champ d’application pour inclure les fournisseurs de services numériques, tels que les plateformes en ligne et les services de cloud computing. Ces entités sont tenues de prendre des mesures appropriées pour gérer les risques liés à la sécurité de leurs réseaux et systèmes d’information et de notifier les incidents de sécurité ayant un impact significatif sur la continuité de leurs services. De plus, la protection des consommateurs pourrait être renforcée, la NBIS2 prévoit des mesures pour améliorer la transparence et l’information des consommateurs sur les incidents de sécurité affectant les services numériques..
Créer un index de confiance numérique
La cybersécurité a un impact direct sur l’économie. Les cyberattaques peuvent entraîner des pertes financières importantes, affecter l’emploi et freiner l’innovation, en Suisse elles représentent plusieurs milliards par années. Un index de confiance numérique pourrait aider à quantifier cet impact et à identifier les domaines qui nécessitent une attention particulière. Cet index pourrait inclure des indicateurs tels que le nombre de plaintes pénales liées aux cyberattaques, le nombre de cyberattaques identifiées et le nombre de ces procédures qui ont abouti au niveau juridique. En outre, il pourrait également prendre en compte l’impact des cyberattaques sur l’emploi, comme les pertes d’emploi dues à des attaques par rançongiciel ou l’incapacité d’une entreprise à embaucher du personnel. Nonobstant, il est difficile d’évaluer précisément cet impact à l’heure actuelle. Pour pouvoir le faire il est essentiel que tous les acteurs de la cybersécurité, les institutions et les entreprises travaillent ensemble afin d’obtenir des données statistiques homogènes et fiables. Ce qui permettrait finalement de disposer d’un indicateur fiable de notre capacité de résilience face aux cyberattaques.
Quelle stratégie de détection et divulgation active des failles de sécurité ?
Le “Vulnerability Equity Process” (VEP) est une autre préoccupation importante liée à la nécessaire coopération entre les états en matière de cybersécurité. Il s’agit d’un processus interne mis en place par certains gouvernements pour évaluer et décider si la découverte d’une faille informatique inconnue du public (0day, zero-day), doit être divulguée aux fabricants de logiciels, aux entreprises et au public, ou bien conservée secrète pour des raisons de renseignement et de sécurité nationale. Les approches divergentes des pays alliés en matière de VEP peuvent également compliquer la situation. À ce titre, Le VEP a été critiqué pour son manque de transparence et de responsabilité. Par exemple les Five Eyes qui, désigne l’alliance des services de renseignement de l’Australie, du Canada, de la Nouvelle-Zélande, du Royaume-Uni et des États-Unis), ont établi des feuilles de route qui sont réservées à leur alliance en matière d’exploitation de vulnérabilités informatiques non référencées (zero day), et donc pas nécessairement connues de leurs alliés en dehors des Five Eyes. Ce qui soulèvent des questions importantes sur l’éthique de la rétention des vulnérabilités logicielles par les gouvernements. Alors que ces pratiques peuvent aider à protéger la sécurité nationale, elles peuvent également mettre en danger le grand public si ces vulnérabilités sont découvertes et exploitées par des acteurs malveillants. Une stratégie de détection proactive des vulnérabilités qui implique autant les acteurs privés que publics est l’un des moyens de renforcer notre résilience. Dès lors, la question se pose : Quelle stratégie pour la Suisse ? Comment se déroule la collaboration au niveau européen ?
Donnons-nous les moyens de développer notre expertise plutôt que mettre en avant celle des cybercriminels
En juin 2023, la Suisse à connu une série d’attaques par Déni de services (DDoS) plusieurs dizaines de sites web ont été rendus inaccessibles, dont plusieurs sites gouvernementaux, mais aussi les CFF, l’aéroport international de Genève, ou encore ceux de l’Association des Banquiers Privés Suisses, de Genève place financière et de l’Association Suisse des Banques, entre autres. Et ces attaques venaient s’ajouter à la diffusion sur le Darknet de milliers de Gigabit de données de données sensibles depuis de le début de l’année. Et ces attaques ne sont malheureusement qu’une petite partie de celles subies par les entreprises, institution et citoyens suisses. Ces incidents soulignent l’importance de la cybersécurité et la nécessité d’investir dans la formation, l’éducation au numérique et d’avoir une gestion une gestion proactive des vulnérabilités. D’autant plus que l’une des richesses de la Suisse, c’est sa capacité à produire du savoir et la qualité de ses écoles. Et, en termes de cybersécurité, ce n’est pas non plus l’expertise qui manque, mais le pays, son administration, ses entreprises sont en manque d’experts. En fin de compte, la question n’est pas de savoir si les cybercriminels ont toujours un temps d’avance, mais plutôt de savoir comment nous pouvons rattraper notre retard et renforcer notre résilience face aux cyberattaques, car nous en avons les moyens.
Directive (UE) 2016/1148
Directive sur les mesures pour un haut niveau commun de cybersécurité dans l’Union (NIS2 Directive)
Ordonnance sur la protection des infrastructures critiques (OIC)
Stratégie suisse de cybersécurité (CSN)
– Objectifs et mesures de la CSN
– Principes de la CSN
– Groupes cibles de la CSN