La cyber-impuissance helvétique
terrorisme
Face au cyberterrorisme, la Suisse est désarmée, jugent les spécialistes. Mais le rapport de politique de sécurité néglige ce «risque stratégique majeur». Or contrairement aux armements classiques, une attaque informatique est à la portée de n’importe quelle bande criminelle
La Suisse a injecté des dizaines de milliards de francs dans son sous-sol pour se protéger d’une peu probable guerre nucléaire, elle dépense chaque année quelque quatre milliards pour entretenir une armée de milice désormais sans orientation ni mission. Mais il suffirait de quelques hackers au service du cyberterrorisme, s’en prenant au réseau de distribution électrique, pour mettre le pays à genoux.
Ce risque-là est littéralement négligé par le rapport de politique de sécurité dont le ministre de la Défense, Ueli Maurer, doit présenter une troisième version ce mercredi devant le Conseil fédéral. Le conseiller fédéral s’en tient à une vision classique de la menace militaire, que ses experts jugent pourtant peu probable. Pour des raisons politiques, il privilégie une armée de milice classique, massive, polyvalente et cantonnée à une stratégie de Réduit national.
Or, la Suisse serait impuissante face une cyberattaque. Elle «ne dispose pas de mesures défensives d’ensemble pour faire face à des attaques sur des réseaux. Les ressources en personnel sont insuffisantes… L’armée n’est aujourd’hui pas en mesure de détecter une attaque de pirates ciblée et menée de manière professionnelle ni d’y réagir adéquatement et à temps», admettait le Conseil fédéral lui-même, l’an dernier, en réponse à une interpellation du conseiller national Ulrich Schluer (UDC/ZH).
Depuis dix ans, l’état de préparation de la Suisse n’a pas évolué.
Certes, le pays n’est pas totalement démuni. Sur le plan civil, il existe au Département fédéral de justice et police une Centrale d’enregistrement et d’analyses pour la sûreté de l’information (MELANI) chargée de détecter de manière précoce des risques encourus par les réseaux de la Confédération et des infrastructures nationales vitales. Mais ses effectifs, moins d’une dizaine de spécialistes, sont ridicules face aux 40 postes consacrés à la même mission aux Pays-Bas, se plaint depuis des mois le président de la Commission de politique de sécurité, Jakob Büchler (PDC/SG).
En matière militaire, la Base d’aide au commandement est en train de mettre en place au sein du Centre des opérations électroniques (COE) deux domaines consacrés à la cyberguerre, le «miliCert» chargé de surveiller les systèmes et réseaux de l’armée, et le Computer Network Operation, chargé de doter la Suisse des capacités en matière de cyberdéfense (CND), mais aussi de cyberattaques (CNA) ou de cyberespionnage (CNE). Toutefois, ces deux derniers types d’opération, faute de bases légales, ne seraient autorisés qu’en cas de service actif, de guerre ou de mobilisation générale.
Pour cet officier EMG, spécialiste de la politique de prévention au civil, «le risque d’une attaque ciblée ou massive contre les réseaux informatiques de la Suisse est aujourd’hui le plus à craindre. L’agression reste anonyme, peut être commandée à distance, elle est sans danger pour celui qui la lance et elle peut faire un maximum de dégâts».
Comme la plupart de ses voisins européens, la Suisse est soumise en permanence à «un risque majeur de rupture stratégique, avec l’économie comme première victime», écrit Gérald Vernez, chef des opérations d’information au Département fédéral de la défense, dans une thèse récente sur la «guerre de l’information et politique de sécurité de la Suisse». Surtout, note l’auteur dans son travail académique, il faudra à l’avenir s’attendre à différentes évolutions en situation normale:
– le cyberterrorisme s’attaquant à des éléments d’infrastructure (réseau électrique, ferroviaire, eau, télécommunications, etc.);
– des incidents découlant du manque de contrôle croissant sur les technologies, avec effet domino;
– des vols de données à des fins d’espionnage économique, diplomatique ou industriel;
– des attaques de la cybercriminalité contre les réseaux de distribution ou des sites de production avec à la clé des extorsions ou des attaques de positions commerciales ou d’image.
On peut aussi imaginer qu’un différend politique avec une autre nation dégénère. Avec, en guise d’avertissement, des attaques ciblées contre un réseau administratif, des banques, des entreprises. Or, la Suisse a appris à son détriment, ces derniers mois, qu’elle n’a pas que des amis à travers le monde. En octobre dernier, après d’autres centres stratégiques européens comme la chancellerie allemande, le Département fédéral des affaires étrangères a à son tour été la cible d’une cyberattaque massive. Depuis longtemps les Etats-Unis montrent du doigt l’Armée populaire chinoise, mais Pékin a toujours fermement démenti son implication.
Régulièrement les parlementaires suisses s’inquiètent de la vulnérabilité de la Confédération. Et tout aussi régulièrement le Conseil fédéral répond qu’il est bien conscient du problème. Mais les moyens financiers et la volonté politique font défaut. On dépense 20 à 30 millions de francs pour la sûreté de l’information et des infrastructures. Mais les pertes annuelles du pays en raison de cyberattaques pourraient être de l’ordre de 3 milliards de francs, par analogie avec ce que subissent les Etats-Unis, estime Gérald Vernez dans son étude. Or, quand on dépense annuellement plus de quatre milliards pour préparer une guerre qui ne vient toujours pas, en mettre 300 millions pour prévenir une cyberagression, comme le suggère ce spécialiste, et donc protéger ainsi l’économie, est-ce disproportionné par rapport au risque?
