Après une première journée axée sur le complexe militaire, le sommet s’est tourné vers des questions de sécurité plus virtuelles dans la deuxième partie de la conférence. Le discours d’ouverture a été prononcé par le secrétaire général de l’OSCE, Thomas Greminger. L’ambassadeur suisse a abordé l’érosion du multilatéralisme au profit du bilatéralisme, qui constitue une tendance globale influant le paysage actuel de la sécurité et que de nombreux Etats utilisent pour faire valoir leurs intérêts. Les négociations internationales seraient rendues plus difficiles par une «diplomatie publique» toujours plus prégnante. Dans ce contexte, l’OSCE offre selon Greminger un cadre privilégié pour discuter et créer la confiance. L’objectif est de réduire les risques et de promouvoir le consensus et la stabilité.
Mais que se passerait-il si, malgré toutes vos précautions, vous étiez victime d’une cyberattaque ? Ria Thomas (Groupe Brunswick) a décrit de manière radicale la situation difficile des entreprises attaquées, qui doivent non seulement faire face aux dommages réels souvent existentiels, mais également aux exigences juridiques, financières, techniques et de réputation. Comme les logiciels malveillants ne s’arrêtent pas aux frontières, les victimes sont souvent confrontées à des réglementations contradictoires. Bien que la lutte contre les logiciels malveillants soit un problème notoire, le public voit rarement les entreprises concernées comme des victimes, mais considère souvent qu’elles ont négligé leur devoir de vigilance.
L’intelligence artificielle offre une aide pour lutter contre les cyber-attaques difficiles à déceler, comme l’a expliqué Hippolyte Fouque de Darktrace. Des algorithmes intelligents sont capables d’explorer l’obscurité du cosmos électronique pour détecter des traces invisibles aux yeux des administrateurs système et de repousser les attaquants avant qu’ils ne causent des dommages. L’intelligence artificielle trouve les logiciels malveillants et est capable de «vacciner» d’autres ordinateurs sur le réseau contre l’attaque. Le problème, cependant, est que les logiciels des attaquants deviennent aussi plus sophistiqués.
Guerre ou crime ?
C’est un point que Jeffrey Bohn (Swiss Re Institute) n’a pu que confirmer. Il a souligné l’importance d’accroître les investissements dans la cybersécurité. L’internet, a-t-il déclaré, est une infrastructure centrale dans des domaines tels que la finance, la mobilité ou les soins de santé. Bien que les cyber-risques ne représentent actuellement que 2% de toutes les primes de réassurance, à plus long terme, ils devraient devenir tout aussi importants que les primes catastrophe. Un problème encore non résolu pour le réassureur est l’accumulation des risques en cas de propagation pandémique d’une attaque. La question de l’exclusion des risques de guerre est également incertaine : il est souvent difficile de savoir si une attaque est un acte de guerre ou un acte criminel.
Dans le cyberespace, il n’y a pas non plus de neutralité au sens classique du terme, a souligné Jon Fanzun du Département fédéral des affaires étrangères. En termes de valeurs, la Suisse fait partie des pays occidentaux. En outre, malgré sa petite taille, la Suisse joue un rôle majeur dans le cyberespace – non seulement en raison de son importance économique, mais aussi parce que de nombreuses institutions internationales ont leur siège en Suisse.
Julia Schuetze (Stiftung Neue Verantwortung) s’est montrée sceptique quant à la capacité de l’UE à agir en cas de cyber-attaque. De nombreux pays n’ont toujours pas de stratégie propre cohérente dans ce nouveau domaine de la défense nationale, ce qui rend l’action collective encore plus difficile. Bien qu’il y ait quelques initiatives au sein de la Pesco, le principal fardeau de la lutte contre les cyberattaques reste le secteur privé.
Eviter les portes dérobés
À l’aide de deux études de cas captivantes, Stefanie Frey (Deutor Cyber Security Solutions) a montré comment les pirates informatiques abusent souvent des PME mal protégées pour en faire des «portes dérobées» vers des réseaux plus importants. De nombreux systèmes de sécurité négligent les partenaires considérés comme inoffensifs. De ce point de vue, même les entreprises partenaires apparemment inoffensives devraient être considérées comme des «infrastructures critiques». Cartographier la criminalité à chaque attaque est nécessaire afin d’évaluer les dommages collatéraux.
Les risques auxquels sont exposées les infrastructures critiques et les mesures prises par l’Etat pour les protéger ont été présentés par Manuel Suter, de l’Unité de pilotage informatique de la Confédération (Upic) chargée de mettre en œuvre la stratégie en matière de technologies de l’information et de la communication dans l’administration fédérale. Elle génère des connaissances et des compétences, est responsable de la prévention et gère les cyberattaques.
Dans le cas de ces dernières, Stefan Brem de l’Office fédéral de la protection de la population estime qu’une approche en deux parties est à privilégier : d’une part, des instructions et des conseils clairs pour les entreprises en cas de cyberattaque, et d’autre part une analyse des risques par secteur. Après tout, c’est pour cette raison qu’il y a eu peu de défaillances des infrastructures en Europe jusqu’à présent.
Le discours de clôture a été prononcé par Rainer Mühlberger, directeur de la technologie de la société nationale de réseau Swissgrid. Il travaille avec la «plus grande machine du monde» – et cela peut être pris au pied de la lettre : le réseau électrique européen est une installation qui s’étend physiquement sur tout le sous-continent. Comme les électrons ne s’arrêtent pas aux frontières nationales, la coopération internationale est essentielle. Cela rend l’absence d’accord sur l’électricité entre la Suisse et l’UE d’autant plus problématique. Dans ce contexte, a souligné M. Mühlberger, l’approvisionnement en électricité en Europe ne tient parfois qu’à un fil. Et ce, à une période où l’informatique du système est confrontée à un nombre croissant de cyberattaques.
Les participants à la conférence sur la sécurité auraient sans doute souhaité rentrer chez eux avec une vision plus optimiste de l’avenir. Quoi qu’il en soit, Pascal Lago les a remerciés en soulignant que le sommet avait montré que la volonté de coopérer sur le continent européen n’était pas seulement cruellement nécessaire, mais aussi clairement ressentie par toutes les parties prenantes.
Publication «Le futur de la politique de sécurité en Europe» (disponible en anglais)
Le compte-rendu de la première journée de conférence est disponible ici.
