Opinions

La cybercriminalité contre les infrastructures: nos déficits

Didier Burkhalter, conseiller aux Etats radical de Neuchâtel, est l'auteur d'une motion parlementaire sur la lutte contre les pirates du Web, dont il expose les raisons et les buts.

Face à l'attentisme du Conseil fédéral, le Conseil des Etats vient d'adopter une motion sur la cybercriminalité contre les infrastructures. Elle vise à combler une lacune dans la politique de sécurité nationale au moment où la menace va s'intensifiant.

Le texte de la motion que j'avais déposée en mars dernier demande le développement d'une stratégie nationale de lutte contre la cybercriminalité: une seule stratégie, conduite par la Confédération, en collaboration avec les cantons, en partenariat avec l'économie privée et en intégrant les réalités internationales. Dans cette stratégie, la priorité des priorités devrait être donnée à la protection des infrastructures importantes (pour certaines vitales) relevant du public et du privé, et de plus en plus des deux à la fois. En particulier et par exemple: les réseaux énergétiques, la surveillance aérienne, les flux de données sensibles dans l'administration comme en matière économique. Enfin, cette stratégie devrait viser à contrer d'emblée, en amont, toutes les nouvelles tentatives d'attaques, qu'elles relèvent du terrorisme, de l'espionnage ou de toute autre forme de cybercriminalité.

Il existe déjà pas mal d'exemples de ces attaques: le piratage informatique de fin 2007, mais qui vient d'être révélé, contre des ordinateurs du Département des affaires étrangères et du Secrétariat d'Etat à l'économie; le procès récent ayant opposé le groupe suisse Kudelski à l'un de ses concurrents accusé d'avoir recouru à des pirates informatiques pour casser le code de cryptage des télévisions; l'arrestation en Espagne il y a deux semaines de hackers (dont deux jeunes de 16 ans) soupçonnés d'avoir attaqué 21000 pages internet en deux ans, dont des sites gouvernementaux des Etats-Unis; ou encore la condamnation tout aussi récente d'un internaute qui avait pénétré le système informatique de l'Université de Genève pour diffuser de la propagande incitant à la violence et au racisme.

Dans sa prise de position, le Conseil fédéral est paru quelque peu en marge de cette réalité. Il a dit en substance qu'il disposait déjà d'une série de stratégies de lutte contre la criminalité par Internet et de sûreté de l'information; que des collaborations diverses, notamment avec le privé, existaient; que les bases légales de collaboration avec les cantons avaient été renforcées dans le domaine pénal; enfin, qu'une série d'offices et d'organismes se préoccupaient activement du sujet. Il a cité l'Office pour l'approvisionnement économique, l'Office fédéral de la police et sa centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI, l'Etat-major spécial sûreté de l'information SONIA ainsi que le Service de coordination de la lutte contre la criminalité sur Internet SCOCI.

Tout cela est bien réel, mais les questions soulevées par la motion restent elles aussi bien réelles: y a-t-il véritablement une stratégie nationale efficace pour contrer la cybercriminalité dans ses formes les plus nouvelles et les plus dangereuses? Peut-on vraiment se satisfaire d'une politique du statu quo en la matière? Les réponses concrètes données sur le front ne sont en tous les cas pas aussi positives que le laisse entendre le Conseil fédéral.

Ainsi, à la fin de l'année dernière, le premier congrès suisse de l'informatique de police aboutissait à un constat très critique: des déficits dans la lutte contre la criminalité par Internet, un manque de coordination entre les cantons, notamment dans le domaine technique, un manque de conduite politique au niveau de la Confédération, un manque de moyens affectés à ces tâches. Dans ce cadre, l'un de mes collègues du Conseil des Etats, Bruno Frick, n'avait visiblement pas mâché ses mots: selon lui, «la Suisse est quasiment un pays en développement en matière de criminalité par Internet et d'utilisation de l'informatique».

Dans le même sens, le centre d'études sur la sécurité de l'Ecole polytechnique de Zurich (CSS) a publié une analyse, il y a un an, selon laquelle il y a quatre défis à relever en vue de la protection des infrastructures critiques: l'évaluation des risques, la compréhension des vulnérabilités (interdépendance, notamment, à ne pas sous-estimer), la définition de ce qui rend une infrastructure critique, et la coopération la plus vaste possible (Etat-privé, notamment en raison de la libéralisation dans de nombreux domaines).

En résumé, le CSS estime que la Suisse se défend bien en matière d'évaluation. La Centrale MELANI est efficace: «Ceci devrait servir de base à une stratégie de protection des infrastructures critiques», qui reste donc à mettre en place. En revanche, l'analyse des vulnérabilités est jugée insuffisante comparée aux programmes de recherche européens. La définition des seuils pour juger du caractère critique des infrastructures exige, selon le CSS, «un débat politique qui n'a pas encore eu lieu en Suisse», d'autant que cela doit «reposer sur une approche unique pour tous les départements». Enfin, concernant la nécessité d'une vaste coopération, les spécialistes du CSS constatent «des points forts et des déficits importants». Il s'agit de mieux exploiter les partenariats déjà formés et de «mettre les bouchées doubles au niveau de la coopération internationale».

Enfin, l'administration elle-même se plaint. Les responsables de l'Office fédéral de police (Fedpol) ont décrit devant la sous-commission financière du Conseil des Etats leurs peu de moyens et surtout de compétences pour lutter contre la criminalité informatique. La problématique de sécurité posée par la tendance à recourir à l'outsourcing dans les technologies informatiques est également évoquée.

Par ailleurs, à ma connaissance, le Conseil fédéral n'a pas retenu l'idée selon laquelle la sécurité des infrastructures doit être examinée et testée par des équipes spécialisées comme cela se fait dans d'autres pays et dans des entreprises privées.

Bref, la Suisse dispose certes d'une série d'éléments sur lesquels on peut en effet construire une stratégie, mais elle ne dispose pas encore d'une stratégie. On a des pièces, mais on n'a pas encore fait le puzzle, et l'on ne sait pas vraiment si l'on a toutes les pièces et si l'on est capable de le terminer.

Publicité