C’est un sujet majeur d’inquiétude parmi les responsables informatiques et les autorités helvétiques: comment parer aux agressions informatiques contre des infrastructures critiques? Décrites comme une «sérieuse menace contre la sécurité de la Suisse et son économie» par le Conseil fédéral, les cyberattaques étaient au cœur d’une conférence vendredi à Lausanne. Organisé par le Center for Digital Trust, l’Université de Lausanne (Unil) et la Trust Valley (initiative visant à accroître la confiance en ligne), l’événement a mis en lumière les défis énormes face aux pirates informatiques.

Alors que des pénuries d’électricité sont redoutées pour cet hiver, les dirigeants de Swissgrid, qui gère le réseau électrique suisse de très haute tension, sont sur le qui-vive. «Nous faisons actuellement tout notre possible pour parer des cyberattaques. Mais il faut être réaliste: si des agressions sont organisées ou soutenues par des acteurs étatiques, elles réussiront», a averti Gerald Hoschek, spécialiste en sécurité chez Swissgrid. Selon lui, «un travail énorme est réalisé pour minimiser le risque que ces attaques surviennent: nous cartographions notre réseau informatique, nous le testons en permanence, nous effectuons des simulations pour rétablir le plus vite notre réseau après une agression. Mais attention: face à des attaquants aux moyens quasi illimités, des effets négatifs pourraient survenir.»

Armes plus puissantes

Le responsable de Swissgrid l’assure, si son réseau subit continuellement des attaques, aucune d’elles n’a pour l’heure été identifiée comme provenant d’un Etat. «Nous subissons de nombreuses agressions par ransomware (logiciel d’extorsion), heureusement sans succès. Mais en face de nous, nous avons des acteurs qui possèdent des outils de plus en plus puissants.» Et attention à cet hiver, poursuit Gerald Hoschek. Car en cas de pénurie d’électricité, «Swissgrid sera alors plus vulnérable, une cyberattaque aura des conséquences plus importantes encore. Mais nous faisons tout pour nous préparer au mieux.»

Et la Suisse est une cible de choix, assure Reto Inversini, responsable de GovCERT, l’équipe d’intervention de la Confédération en cas d’urgence informatique: «Nous avons repéré des groupes de pirates qui s’en prennent avant tout à des entreprises suisses. Nous avons placé de nombreux capteurs dans les réseaux en Suisse pour détecter ces attaques et faisons un énorme travail de récolte de données et de prévention.» Reto Inversini a envoyé près de 300 lettres postales à des entreprises et administrations qui n’avaient pas corrigé une faille de sécurité: «Souvent, une lettre recommandée a davantage de poids qu’un e-mail envoyé par la Confédération», grimace-t-il.

Davantage de transparence

Selon le responsable de GovCERT, l’obligation pour les infrastructures critiques de signaler les cyberattaques – qui pourrait entrer en vigueur fin 2023 – est une bonne chose: «Cela apportera davantage de transparence, il ne faudra plus répéter le même message à de nombreux acteurs; les incidents de sécurité seront connus plus tôt et tout le monde en bénéficiera.»

Ce n’est pour l’heure qu’un projet de loi, porté par le Conseil fédéral, aux contours flous. «Neuf secteurs ont été identifiés comme critiques, par exemple, la santé, l’énergie ou les transports. Mais on est encore loin d’une définition d’une infrastructure critique en Suisse», avance Pauline Meyer, étudiante en cybersécurité à l’Unil et spécialiste du dossier. «Cela doit être un acteur important dans un secteur critique, mais c’est encore vague: ce seront a priori par exemple des hôpitaux figurant sur une liste cantonale, la SSR ou des transporteurs aériens ayant reçu une licence de l’Office fédéral de l’aviation civile. Le projet de loi évoque aussi des fournisseurs de services cloud ayant un nombre important d’utilisateurs, mais aucun chiffre n’est précisé pour le moment.» Il est également possible que des exploitants de supermarchés se retrouvent sur la liste.

De nombreuses questions

Ce n’est pas tout: il s’agira encore de définir le délai dans lequel un incident de sécurité devra être communiqué (et de quelle manière) aux autorités, ainsi que sa nature. «Il faudra aussi que ce que transmet l’exploitant ne soit pas utilisé contre lui pour le sanctionner, poursuit Pauline Meyer. La question d’éventuelles sanctions en cas de non-annonce est également délicate.» Le nombre de points à résoudre est ainsi vertigineux. Le parlement devrait se saisir de ce dossier au printemps 2023.

En attendant, les menaces augmentent. Ce vendredi, Google affirmait que, selon ses recherches, des hackers russes et des activistes en ligne se coordonnent avec le Kremlin pour mener des attaques dans le monde. «On voit de plus en plus que des armes, permettant de mener des cyberattaques, développées par des Etats, se trouvent entre les mains de groupes de pirates, estime Christophe Gerber, responsable de la société ELCA Security. Certes, on n’a pas encore vu d’agressions cyber massives liées au conflit entre la Russie et l’Ukraine. Mais de plus en plus de cyberarmes puissantes circulent. Et le fait que la Suisse se soit alignée sur les sanctions européennes en fait aussi une cible.»

Lire aussi: Chronique d’une Suisse ravagée par les cyberattaques