«Nous nous trouvons dans un écosystème de sécurité commun»

Le vol de données dans la commune de Rolle VD montre comment la cybercriminalité déstabilise la crédibilité de l'État. Le Dr Myriam Dunn Cavelty enseigne la cybersécurité à l'EPFZ Zurich et fait des recherches à ce sujet. Au contrôle de sécurité de l'aéroport de Zurich, elle explique ce qu'il faudrait faire.

De Gregor Patorski et Florian Brunner · 5 octobre 2021

Dr Myriam Dunn Cavelty sur le tapis roulant de l'aéroport de Zurich.
Toute bonne cyberattaque commence toujours par de l'ingénierie sociale. Dr. Myriam Dunn Cavelty

La pandémie a restreint notre liberté de mouvement. Ce phénomène est particulièrement frappant à l'aéroport de Zurich. Après le contrôle des passeports, on ne voit pratiquement personne à la fin du mois d'août 2021 et le contrôle de sécurité est vide. Nous rencontrons ici Myriam Dunn Cavelty, chercheuse en cybersécurité de renommée internationale.

Magazine abraxas: On pouvait lire cette déclaration de votre part récemment: Les infrastructures critiques en Suisse ne sont pas suffisamment protégées en termes de cybersécurité. Qu’est-ce qui vous fait dire ça?
Dunn Cavelty: Il faut distinguer selon les secteurs. Le secteur financier, par exemple, consacre beaucoup d'argent à la cybersécurité. Dans d'autres secteurs, nous savons que très peu d'argent circule et qu'il est également très difficile de protéger les systèmes - par exemple, le secteur de la santé est un parent pauvre depuis des années. Il y a donc trop peu d'investissements à certains endroits. Trois raisons expliquent ce retard dans les investissements en matière de cybersécurité: le manque de prise de conscience, des raisons économiques et le manque de personnel qualifié. Aujourd'hui – en 2021 – il y a une prise de conscience. Cependant, les questions très difficiles «Que faut-il faire?» et «Combien faut-il faire ?» demeurent. En outre, les cyberrisques ne constituent qu'un risque parmi d'autres dans une analyse des risques.

Afin d'accroître la cyberprotection en Suisse, les mesures normes minimales et déclaration obligatoire des incidents font l'objet d'un débat politique. Ces mesures seraient-elles efficaces?
Oui. Après tout, nous sommes dans un écosystème de sécurité commun et nous ne sommes pas seuls. Par exemple, l'électricité est une infrastructure super-critique. Vous dépendez d'un certain nombre de fournisseurs et d'entreprises différents qui, ensemble, constituent le secteur de l'énergie. Maintenant, le problème est le suivant: Même si tu investis un million dans la cybersécurité, si quelqu'un partage un réseau ou une chaîne d'approvisionnement avec toi et qu'il ne fait pas cet investissement chez lui, autant dire que tu as jeté un million par la fenêtre. C'est pourquoi il est nécessaire de disposer de certaines normes minimales; ainsi, tu es assuré que tout le monde investit jusqu'à un certain point. En ce qui concerne l’obligation de déclaration, on espère qu'il y aura une incitation indirecte à investir dans la cybersécurité, car la déclaration obligatoire impliquerait un effort supplémentaire et, si le public en était informé, cela causerait des dommages en termes de réputation. L'obligation de déclaration permettrait également de clarifier l'ampleur réelle du risque que représente la menace. Parce que pour l'instant, on ne dispose que de très peu de données à ce sujet.

Nous sommes à l'aéroport. Quels scénarios sont envisageables?
Plusieurs scénarios sont possibles. À commencer par une perte purement économique lorsque les systèmes de caisses enregistreuses de la zone des boutiques hors taxes tombent en panne. Cela devient plus critique dans certaines zones de sécurité. La défaillance du contrôle des passeports pourrait entraîner le chaos. Les manipulations seraient pires qu'une défaillance pure et simple. Le pire des cas serait une attaque contre le contrôle aérien – heureusement, cela ne s'est pas encore produit dans le monde. Dans les infrastructures critiques, il est également important de réglementer clairement l'accès et de procéder au contrôle de sécurité des collaborateurs. Dans le domaine de la cybersécurité, beaucoup de choses sont purement techniques et elle est souvent conçue sur un plan purement technique. Mais toute bonne cyberattaque commence toujours par de l'ingénierie sociale. Le piratage constitue la plus petite partie.

L'équipe de 10 personnes travaille sur l'interface entre technologie et politique sociale – notamment pour le projet de cyberdéfense du Département fédéral de la défense, de la protection de la population et des sports (DDPS). En plus de sa carrière scientifique, Dunn Cavelty s'engage en tant qu'ambassadrice de women-in-cyber.ch pour une plus grande quote-part de femmes dans les «cyberprofessions». Elle a 45 ans, vit à Zurich, est mariée et mère d'une fille.

Informations concernant la personne:

Le Dr Myriam Dunn Cavelty enseigne la cybersécurité à l'EPFZ Zurich et fait des recherches à ce sujet depuis plus de 20 ans. La politologue est directrice adjointe pour la recherche et l'enseignement au Center for Security Studies (CSS). Depuis 2014 – et son livre «La cybersécurité en Suisse» – elle est incontournable en Suisse en matière de politique de cybersécurité. Au CSS, elle a constitué la plus grande équipe au monde dans cette spécialité.

En août, le plus grand vol de données jamais commis dans une administration communale suisse a été rendu public. Le collectif de ransomware «Vice Society» avait piraté la commune vaudoise de Rolle à la fin du mois de mai. Après l'attaque, un grand nombre de données en partie sensibles d'environ 5500 habitant-e-s sont apparues sur le darknet, notamment le nom, l'adresse, la date de naissance, le numéro AVS, les notes scolaires et les infections par le coronavirus. Le 14 juin, les responsables ont porté plainte contre X, mais ont gardé le silence sur le piratage. Ce n'est qu'après des recherches menées par «watson», «Le Temps» et «NZZ» que la commune a reconnu des erreurs dans la gestion de la cyberattaque.

De tels cas deviendront-ils plus fréquents à l'avenir?
En principe, oui. Nous sommes au tout début d'une évolution. Il existe aujourd'hui déjà des offres de ransomware as a service, car la cybercriminalité est un marché dans lequel les acteurs se sont rendus compte de la chose suivante: Ça marche. Il y en aura donc beaucoup qui sauteront sur l'occasion. La dépendance de données numériques, qui doivent toujours être disponibles, associée à la aux dépenses limitées dans ce domaine et au fait que les entreprises attaquées sont prêtes à payer, rentre parfaitement dans les plans économiques des criminels. Pour l'instant, nous ne pouvons pas faire grand-chose contre cette dynamique. En fait, ce problème ne peut être résolu que par de meilleures normes de sécurité informatique. Par exemple, par le biais de solutions mutualisées ou de Cybersecurity as a Service.

Quelles sont les choses que les communes devraient mettre sur la liste des tâches à réaliser pour éviter des cas comme celui de Rolle?
Il est impératif de penser et de planifier dans une approche par scénarios. Une analyse des risques classique est peu utile car on ne connaît que trop peu de cas qui montrent l'importance du risque et les effets possibles. Des experts doivent être consultés pour cette planification dans une approche par scénarios: Quelles données sont stockées et où est-ce qu’elles sont stockées? Quelles sont les conséquences si une personne non autorisée s'en empare? Une autre mesure peut consister à faire tester ses propres réseaux par des pentesters. Et toujours intégrer la communication dans la réflexion: Et si un incident se produisait malgré tout?

Le piratage de la commune de Rolle VD suggère que la cybercriminalité peut déstabiliser la crédibilité de l'État. Par conséquent, la cybersécurité doit toujours être pensée en termes socio-politiques et sociaux, d’après l'experte.

Il manque une autodétermination numérique. Dr. Myriam Dunn Cavelty

Vous faites des recherches au niveau de l’interface entre technologie et politique sociale et vous avez dit ailleurs que la cybercriminalité déstabilise la crédibilité de l'État. L'ancien président américain Donald Trump serait-il donc un cybercriminel?
Au sens strict de la définition d'un acteur non étatique cherchant à s'enrichir, bien sûr que non. Mais si vous regardez ses outils et ses techniques rhétoriques, ils sont certainement issus du livre de jeux de certains pouvoirs pour lesquels on aurait tendance à dire que c'est illégal et que cela ne devrait pas être autorisé.

Les réactions au piratage de Rolle ou le résultat clair du vote sur l'e-ID du secteur privé montrent un certain scepticisme à l'égard de la numérisation. Comment y faire face?
Le danger de la méfiance vient en grande partie du fait que les gens ne se sentent pas habilités à prendre des décisions sur la manière d'évoluer dans l'espace numérique. Il manque une autodétermination numérique: Quelles données dois-je communiquer à qui et à quel moment? Un phénomène similaire peut actuellement être observé avec la vaccination COVID: De nombreuses personnes ne se sentent plus en phase avec la science. C’est un peu pareil en ce qui concerne la numérisation. La recherche sur les risques nous apprend que les gens ont tendance à prendre des décisions basées sur la peur lorsqu'ils n'ont aucun contrôle sur le risque. Ils réagissent alors de manière émotionnelle et non rationnelle. Du point de vue de l'État, un débat doit être conduit au sein de la société.

Les administrations acquièrent une plus grande légitimité en jouant un rôle proactif. Dr. Myriam Dunn Cavelty

Comment immuniser une société face à une dépendance numérique croissante?
Notre monde social vit très fortement et à tous les niveaux au rythme des influences numériques. Les structures d'autorité traditionnelles disparaissent: Il n'y a plus d'affinités claires entre médias et partis politiques, comme entre la NZZ et le PLR. Nous consommons beaucoup plus de médias provenant de l'étranger, c'est-à-dire que les espaces nationaux disparaissent. Il y a donc une déstabilisation de certains modèles qui étaient à notre disposition dans le passé et qui avaient déjà la confiance intégrée en eux-mêmes. La numérisation peut être l'un des amplificateurs ou une des raisons de cette déstabilisation, mais elle n'est pas la seule raison. Un processus de déstabilisation est en cours à tous les niveaux, sapant les anciennes valeurs et la compréhension sociale qui primait jusqu’ici. L'immunisation n'est pas possible ici. Nous devrions toutefois essayer de restaurer la confiance. On peut y observer de nombreuses initiatives partant de la base. De très nombreuses choses ne peuvent même plus être contrôlées par l'État.

L'administration peut-elle jouer ici un rôle de régulateur?
Je pense que l'avenir appartient de plus en plus aux modèles multilatéraux avec des acteurs étatiques, des acteurs privés et des acteurs de la société civile. Les administrations acquièrent une plus grande légitimité en jouant un rôle proactif et en s'engageant dans un discours, en impliquant les citoyen-ne-s ainsi que des expert-e-s en la matière. C'est fondamentalement démocratique et relativement éloigné de la technologie. Il ne doit pas s'agir de solutions techniques, cet espace doit être consacré aux questions sociales et à l'équilibre des intérêts.

Lire aussi

0 / 0