L’homme numérique: Florian Schütz

Florian Schütz est «Monsieur Cyber» (Photo : Florian Brunner)

À quoi pourrait ressembler le «membre de l’administration» numérique? Peut-être Florian Schütz, premier délégué fédéral à la cybersécurité et directeur du Centre national de cybersécurité (NCSC), pourrait-il en être un. Il allie l’enthousiasme pour la numérisation aux exigences les plus élevées en matière de sécurité informatique et de protection de la vie privée.

Le quadragénaire nous accueille dans un discret immeuble de bureaux de cinq étages au centre de Berne. Le NCSC n’est pas indiqué à l’entrée et se trouve un peu à l’écart du Palais fédéral. Discret mais rapidement présent en cas de besoin, tout comme la sécurité informatique dans l’idéal.

Exposition aux risques
Florian Schütz fait office d’interlocuteur pour les responsables politiques, les acteurs de l’économie et le grand public sur les questions de cyber-risques et s’occupe de la mise en œuvre de la stratégie nationale de protection de la Suisse. Son NCSC aide notamment les exploitants d’infrastructures critiques à faire face aux incidents. Ce faisant, il est bien entendu lui-même une victime potentiellement intéressante pour les pirates informatiques. Qu’est-ce que cela signifie pour Florian Schütz dans sa vie privée? «Je suis conscient que je peux être intéressant en tant que victime.

Mais ce qui a changé par rapport à mes activités antérieures dans le secteur privé, c’est surtout mon exposition et moins mon propre comportement. J’ai aussi réfléchi très tôt aux données me concernant qui sont précieuses, à celles que je veux divulguer et à celles que je ne veux pas».

Il n’a par exemple pas d’enceinte intelligente dans sa vie privée, non pas en raison de problèmes de sécurité particuliers, mais parce que ces appareils lui sont «antipathiques». «Il y a aussi des microphones dans d’autres appareils et je ne suis pas paranoïaque. Je vis de telle manière que probablement quiconque le veut peut écouter, s’il fournit l’effort nécessaire, car je n’ai pas de conversations confidentielles ou même secrètes à la maison».

C’est toujours une question d’équilibre entre le confort et la sécurité. Florian Schütz

Gérer les risques
En fait, comme chacun peut le confirmer dans le secteur des TIC, la plupart des experts en sécurité sont extrêmement prudents, voire paranoïaques. Florian Schütz adopte ici une approche pragmatique: «De nombreux professionnels de la sécurité n’utilisent pas Facebook ou LinkedIn. Je pense que c’est une vision à court terme. La vie devient plus numérique et cela a des avantages. Les canaux de réseaux sociaux aident par exemple à penser aux anniversaires. Mais après tout, c’est à moi de décider de ce que j’écris, et je peux toujours déterminer quelles informations je souhaite divulguer et où.» Il y a donc le Florian Schütz privé, dont on ne peut pas tout savoir, même en combinant ses profils en ligne.

Dans ce comportement, la règle numéro un de la sécurité informatique s’applique: être conscient des risques et les gérer en conséquence. Utiliser la technologie avec précaution en fait également partie. Ainsi, Florian Schütz a lui-même trois ordinateurs portables chez lui. Un pour les participations à des conférences, sans données pertinentes au cas où il serait piraté. Un pour l’usage privé et un en réserve. Avec cette approche, il faut considérer un secrétaire communal à la fois comme une personne privée et comme un professionnel. «C’est une obligation de l’employeur de former les collaborateurs à la sécurité, idéalement dès leur entrée en fonction et en organisant régulièrement des événements de sensibilisation».

Aperçu NCSC

Création le 1^er juillet 2020
Budget 2022 11,2 millions de CHF
Collaborateurs 46 personnes (situation au 1.9.2022)

Cyberincidents signalés*

2020 10 833 signalements
2021 21 714 signalements
2022 20 631 signalements (état au 8.8.2022)

* Les signalements ne sont pas toujours des attaques réussies. Les tentatives d’attaque (hameçonnage, etc.) sont également signalées. En l’absence d’obligation générale de signalement, le nombre de cas est en réalité bien plus important.

Maintenir l’équilibre des risques
Il est donc possible de se protéger, même si l’on n’a pas de master en informatique par exemple. Ou pas? Les personnes prudentes s’agacent lorsque, par exemple, un iPhone indique qu’il n’est pas entièrement configuré parce que Face ID n’a pas été activé. D’où la question: en cas de piratage, les empreintes digitales ou un visage ne sont pas modifiables comme un mot de passe. Ce à quoi Florian Schütz répond: «C’est une question de confiance, c’est à chacun de peser le pour et le contre. Par exemple, j’ai activé la reconnaissance faciale, ce qui m’aide, et pour l’e-banking, j’ai un deuxième facteur d’authentification. Je me suis renseigné sur le fonctionnement de cette technologie. Tant qu’Apple tient ses promesses, le risque est gérable». Il explique de manière compréhensible le fonctionnement de la reconnaissance faciale avant d’en venir à la question centrale, à savoir l’importance du facteur confiance. «Faut-il faire confiance à Apple? Oui.» La question se pose également de savoir quel effort un pirate est prêt à fournir pour obtenir une empreinte digitale. Et s’il n’y aurait pas de moyen plus simple. «Il s’agit toujours de trouver un équilibre entre le confort et la sécurité», dit-il.

Mais il sait aussi qu’il est difficile pour les profanes en informatique d’avoir confiance lorsqu’ils lisent des articles sur les piratages informatiques ou même lorsqu’ils ont été eux-mêmes piratés. «Sur ce sujet, nous n’avons pas encore de discussion saine», estime Florian Schütz. Il critique d’une part le fait qu’un trop grand nombre d’experts en sécurité autoproclamés soient engagés sans expérience professionnelle, certains même en tant que Chief IT Security Officer ou directeur informatique.

Ce n'est pas parce qu'une personne tombe dans le piège d'un hameçonnage que tout est perdu ! Florian Schütz

Considérer les risques dans leur globalité
Florian Schütz relativise également une célèbre phrase concernant la cybersécurité: «On dit souvent : “L’homme est le plus grand point faible”. Ce n’est pas vrai! L’homme n’est qu’un facteur parmi d’autres. Prenons l'exemple d'un e-mail de phishing envoyé à 5 000 collaborateurs et collaboratrices. Et soyons généreux sur le temps de réaction de la sécurité informatique. Si, en l’espace d’une heure, 5 collaborateurs/collaboratrices accèdent via un e-mail à un site web qui n’a encore jamais été consulté par cette entreprise, une alarme devrait se déclencher dans le système informatique. On reconnaît ainsi qu’il s’agit d’un nouveau site de conférence ou que quelque chose ne va pas et qu’il faut renforcer les défenses. Ce n’est pas parce qu’une personne tombe dans le piège d’un hameçonnage que la houppe et le malt sont perdus!»

Quel est le point faible le plus important? «Nous n’avons pas encore appris à penser de manière globale, nous ne pensons qu’à des éléments isolés. Or, la sécurité n’est pas une question de technologies isolées, mais de contexte dans lequel on les utilise et pour quoi faire». Florian Schütz sait que tout le monde et tous les services n’en sont pas encore là. Malheureusement, comme il le dit. «Nous devons penser la sécurité comme une partie intégrante des services numériques. Et nous devons passer d’une sécurité réactive à une sécurité proactive».

Florian Schütz prend congé, une collaboratrice du NCSC nous accompagne à la sortie, la sécurité proactive, mise en œuvre de manière tout à fait classique.

En écoutant Florian Schütz, on pourrait se demander pourquoi tant d’attaques réussissent. Selon le célèbre chercheur en matière de risques Gerd Gigerenzer, chacun pourrait apprendre à gérer les risques de manière réaliste, y compris dans le monde numérique, et à s’immuniser contre les discours alarmistes, tout comme contre la minimisation des risques.

«C’est une question de confiance»

Aperçu NCSC

Lire aussi