La cyberguerre a été gagnée en Suisse

Organisée pour la première fois en Europe, l’édition 2015 de la compétition internationale Cyber 9/12 Student Challenge s’est tenue à Genève du 22 au 23 avril. Les participants à ce concours de référence devaient présenter des mesures de gestion de crise à des décideurs politiques, économiques et militaires, afin de trouver une réponse appropriée à une cybercrise internationale.

La Suisse a brillé non seulement comme pays hôte grâce à l’organisation sans failles du Geneva Center for Security Policy (GCSP), mais également grâce à son équipe qui a décroché la médaille d’or. Le Team Switzerland a remporté une belle victoire en finale contre l’Angleterre, la Finlande et la Pologne. Cette première place confirme la force de notre modèle de milice qui permit de réunir au pied levé une équipe de quatre étudiants aux profils éclectiques (ingénieur, juriste, militaire, économiste), parlant différentes langues et provenant de diverses institutions: Académie militaire à l’EPFZ, Center for Security Studies et HEC Lausanne.

Soudés par leur solide formation militaire, les participants ont rapidement appliqué les méthodes de travail d’état-major au scénario reçu peu avant la compétition. Trois variantes ont été proposées au jury, composé d’experts internationaux. Anticipant une escalade de la situation, l’équipe a recommandé de retenir la variante «smart power», soit un catalogue de mesures prévisionnelles combinant «soft power» et «hard power». Au fil des présentations orales, rythmées par un scénario gagnant en intensité, l’équipe a trouvé des réponses proportionnelles à l’évolution de la menace, tout en préservant une grande liberté de manœuvre. Les mesures présentées furent ainsi crédibles et cohérentes à tous les échelons. Mais comment l’exercice s’est-il déroulé concrètement?

Phase numéro un: l’exercice a l’apparence d’une simple attaque informatique asymétrique sur un réseau militaire. Qui en est responsable? Comme souvent dans le cyberespace, les motivations et les responsabilités sont difficiles à cerner. Avant d’envisager des mesures coercitives, qui bien entendu respectent le droit international, le premier défi est d’établir une attribution claire de l’attaque. Alors que la crise s’aggrave, les participants réalisent que ces premières cyberattaques n’étaient en réalité que les prémices d’un conflit symétrique classique, impliquant forces armées, infrastructures critiques, secteur privé et secteur public.

La coordination de la réponse entre les différents acteurs impliqués et la coopération internationale se révèlent les éléments clés de cet exercice. Un autre enseignement important est que la protection des infrastructures critiques contre les cyberattaques passe aujourd’hui nécessairement par une collaboration entre le secteur privé et le secteur public. Le Conseil fédéral, lors de sa séance du 20 mai 2015, s’est d’ailleurs penché sur un projet de réseau de données sécurisé (RDS) permettant, en cas de crise grave, de maintenir une liaison entre les cantons, la Confédération et les exploitants d’infrastructures critiques. Ce réseau et ses applications utiliseront en priorité les liaisons par fibre optique du réseau de conduite suisse mis en place par l’armée.

L’homme, ce maillon faible

Cette victoire démontre l’importance d’une approche multidisciplinaire de la cybersécurité et donc également la nécessité de mener la recherche académique au-delà du domaine traditionnel de la sécurité informatique. Si l’approche technique est évidemment nécessaire, elle manque souvent de vue d’ensemble pour appréhender et résoudre les problèmes d’une façon globale et durable.

Les sciences économiques comportementales ont par exemple récemment démontré que l’humain est généralement le maillon faible dans la chaîne de la sécurité de l’information. La psychologie a contribué d’une manière significative à la cybersécurité avec son concept de résilience, c’est-à-dire la capacité pour un système de s’adapter et de continuer à fonctionner pendant une attaque, puis de revenir rapidement à son état initial. Le droit et la diplomatie sont également des disciplines clés. Ce décloisonnement de la cybersécurité est un changement de paradigme indispensable pour la sécurité numérique et pour la confiance générale dans notre société de l’information encore émergente.