Analyse

Cybersécurité: la Suisse pèche par manque de moyens

Alors que les menaces sur la sécurité informatique augmentent, la Confédération peine à déployer une protection solide, faute de personnel. Des observateurs pointent des risques de captation par le privé de ces activités sensibles. Faut-il imaginer un service cybermilitaire?

C’est une petite phrase, glissée en bas de page. Mais elle claque, comme un coup de fusil. Dans des audits envoyés début janvier sur deux projets informatiques de l’armée et Fedpol (surveillance des télécommunications), le Contrôle fédéral des finances pointe le manque permanent d’informaticiens qualifiés et expérimentés. Dans les deux cas, le niveau de risque «dépasse le niveau normal». En d’autres termes, la Suisse n’est pas armée en cas d’attaque.

Cette pénurie de talents est une constante dans les indices de l’emploi publiés par les sociétés de placement intérimaire: les informaticiens sont encore plus demandés que l’an dernier, écrivait Adecco mi-janvier, annonçant une hausse de 17% sur un an des emplois à pourvoir dans le secteur.

A ce sujet: La Suisse est en panne d’informaticiens

Au total, la branche employait près de 200 000 personnes fin 2017 (+29% depuis 2010), estime l’organisation des professionnels des technologies de l’information, ICT-Formation professionnelle. Et d’ici à 2026, il en faudra 88 500 de plus.

Les besoins en sécurité informatique explosent

Les besoins augmentent au rythme effréné des avancées technologiques – du gadget de reconnaissance faciale pour smartphone, aux systèmes de villes intelligentes, le tout porté par l’internet des objets, qui fait de chaque dispositif connecté une source intarissable de données. Récemment, l’expert en cyberrisque de PwC, Yan Borboën, relevait que, en 2020, 200 milliards d’appareils connectés existeront sur Terre. Et qu’à cette même échéance, chaque personne va générer 1,7 Mo de données chaque seconde, soit le poids du fichier MP3 d’une chanson.

Lire l’entretien «La croissance des données sera exponentielle»

Tant et si bien que dans les cinq ans à venir, le nombre de vols et piratages de données devrait tripler à 33 milliards au niveau mondial, selon Juniper Research. L’étude relève en outre que les plus vulnérables à ces attaques sont les PME: elles constituent 99% des entreprises helvétiques, faisant de la Suisse un pays particulièrement exposé.

Face à ce constat, des efforts sont déployés au niveau de la formation continue: un diplôme reconnu au niveau fédéral forme depuis cet automne les premiers experts en la matière. Mais l’arrivée sur le marché de nouveaux diplômés ne couvre qu’à hauteur de 36% les besoins futurs en spécialistes. Tandis que l’immigration y répond à hauteur de 19%, selon l’étude d’ICT-Formation professionnelle, qui estime que plus de 40 000 talents resteront à trouver dans les sept ans à venir.

«La Confédération et les cantons sont en très forte concurrence avec le privé, qui courtise ces talents. Notamment avec des salaires sur lesquels les collectivités publiques ne peuvent pas s’aligner», glisse André Duvillard, délégué au Réseau national de sécurité, entre deux sessions d’un atelier consacré à la cybersécurité.

La bataille pour le marché a commencé

Ce même secteur privé s’immisce d’ailleurs dans la formation (Microsoft, La Poste, Ruag, Swisscom et UBS notamment ont participé à la mise en place du diplôme fédéral évoqué plus haut). Dans le même temps, Zurich, le Tessin, Genève et même Lausanne avec son EPFL se livrent bataille pour accueillir le futur centre de compétences en cybersécurité de la Confédération, avec leur lot de sponsors privés.

Autant de velléités pour se positionner dans un marché qui s’annonce juteux: la société de conseil Gartner pronostique que les dépenses mondiales en matière de cybersécurité atteindront les 124 milliards de dollars cette année (+8,7% sur un an).

A ce propos: Le futur centre fédéral de cybersécurité suscite moult convoitises

Reste que ces partenariats font grincer les dents des observateurs. Faute de moyens, l’Etat tend à sous-traiter l’expertise à des sociétés privées. Que ce soit pour la gestion du vote électronique par La Poste, qui elle-même externalise le développement de ce service à Scytl, une entreprise espagnole. Ou pour les accès à l’identification numérique, que Berne entend confier à des fournisseurs privés ou issus du secteur parapublic. Le groupe SwissSign (coentreprise réunissant notamment La Poste, les CFF, Swisscom, de grandes banques et plusieurs assureurs) est sur les rangs avec son label SwissID.

A ce sujet L’identité numérique individuelle sera garantie par l’Etat

L’Etat perd peu à peu le contrôle dans des domaines sensibles, qui ont trait à la sécurité de ses citoyens. Une sécurité qui relève par ailleurs de sa responsabilité, au même titre que la protection physique – on n’imagine pas l’armée suisse sous-traiter ses services à des milices privées.

Vers un service cybermilitaire?

A quand un service cybermilitaire? C’est ce que propose notamment d’explorer Alexis Roussel, ex-président du Parti pirate et fervent militant pour la reconnaissance de l’intégrité numérique. Berne a fait un premier pas cet été en lançant le premier cours de cyberdéfense donné à l’école de recrues. Avec plus de 21 000 jeunes enrôlés chaque année, elle tient peut-être une piste pour dénicher quelques-uns de ces experts tant convoités.

Publicité