Qui protège la Suisse contre les cyberattaques? Qui défend nos barrages, nos lignes ferroviaires, nos installations téléphoniques...?
«NOTRE ENTREPRISE FUT L’UNE DES PREMIÈRES À ÊTRE LA CIBLE DE PIRATES INFORMATIQUES.» André Kudelski
L’Hebdo avait posé la question au Département fédéral de la défense dans son édition du 23 décembre 2010. «Personne», nous avait-on répondu à Berne.
Un attentisme que dénonce aujourd’hui André Kudelski. Le patron du groupe vaudois Kudelski, l’un des leaders mondiaux dans le domaine de la sécurité numérique avec ses 2600 employés sur les cinq continents et un chiffre d’affaire de 1,069 milliard de francs, plaide dans nos colonnes pour une réaction urgente.
Interview de celui qui est aussi officier spécialiste à l’état-major de conduite de l’armée, en marge du débat qu’organisera L’Hebdo sur cette question lors du Forum des 100 le 12 mai prochain.
La Suisse est-elle aussi désarmée qu’on le dit en matière de cyberwar?
On peut le craindre. Ni l’économie ni le politique ne semblent conscients dans notre pays à quel point la sécurité de l’information et la sécurité informatique sont fondamentalement stratégiques.
Je redoute que l’on ne prenne conscience de l’ampleur du problème qu’après un premier désastre, à l’instar de ce qui s’est passé avec les tremblements de terre ou les tsunamis.
Pourquoi cet attentisme?
La Suisse se considère comme étant un petit endroit que personne ne veut embêter. C’est d’ailleurs souvent le même raisonnement qui est fait pour le terrorisme. On se dit qu’on est quantité négligeable. Personne ne va nous attaquer.
Or la Suisse n’est pas à l’abri. De loin pas. Le poids de notre économie n’est pas négligeable, certaines de nos entreprises sont parmi les plus importantes de la planète. Elles sont potentiellement en première ligne.
Et elles pourraient fortement souffrir des cyberattaques qui visent, avant tout, à obtenir des informations ou pire, à entrer dans vos systèmes pour savoir en temps réel ce que vous faites et ce que vous préparez. C’est l’une des pires choses qui puissent arriver à une entreprise.
Vous voulez dire que certaines entreprises suisses sont espionnées sans le savoir…
Pourquoi les entreprises suisses seraient-elles une exception dans le monde d’aujourd’hui? Bien sûr que certaines le sont... Mais ce qui m’inquiète le plus, c’est que je ne suis pas certain qu’elles aient pris conscience du danger que représente la perméabilité de leur réseau informatique.
Elles le sous-estiment même souvent, alors que dans notre monde globalisé et interconnecté, l’information a une valeur clef. Surtout pour un pays comme le nôtre, dont la richesse n’est pas matérielle. Ce qui fait la force de la Suisse, ce sont ses idées, son savoir-faire, il faut les protéger. C’est ce qui nous permet de maintenir notre niveau de vie.
C’est ce qui permet à notre économie de créer des emplois…
C’est clair. Mais j’y suis d’autant plus sensible que notre entreprise fut l’une des premières à être la cible de pirates informatiques. Nous avons donc développé non seulement des technologies pour nous protéger activement contre les différentes formes de piratage, mais nous avons aussi pris des mesures, notamment juridiques, pour poursuivre les professionnels du piratage qui utilisent internet pour distribuer illégalement de l’information.
Cette nouvelle approche nous a permis d’obtenir pour plus de 1,3 milliard de dollars de condamnations par les tribunaux américains sur ces trois dernières années. Les enjeux sont énormes. La cyberwar, c’est du concret et elle se vit tous les jours. Défendre ses droits coûte cher, mais il est tout aussi cher de se défendre soi-même.
Etonnant dès lors que personne ne s’en soucie vraiment au niveau politique…
Effectivement. Mais il n’est pas étonnant que dans le pays du consensus, il soit difficile de lutter contre un risque qui n’a pas été clairement identifié, ni par le politique, ni par l’économie.
Est-il trop tard pour réagir ?
Si on attend encore trois ou cinq ans avant de bouger, cela le sera. Dans le domaine de la cyberwar, on en est encore au début, aux balbutiements, même si les techniques d’attaque sont rodées. Mais d’un autre côté, il y a encore très peu de pays et d’entreprises qui sont capables de lutter contre ce fléau.
Comment le savez-vous?
Nous l’avons appris à nos dépens. Notre société a été l’une des premières à souffrir de tels risques. Aujourd’hui, nous sommes parmi les seuls à y répondre de façon efficace, si nous nous basons sur les échanges d’expériences que nous avons au niveau international. Cela nous donne une certaine idée de ce qui se passe au sein des autres pays.
Là, vous prêchez pour votre paroisse...
Non, je ne le crois pas. Je dis simplement que dans notre entreprise, nous prenons les mesures qui s’imposent pour protéger nos affaires. Je souhaite juste sensibiliser les personnes aux nouveaux risques et encourager nos autorités à prendre les mesures nécessaires avant que le train soit parti.
C’est justement ce que tente de faire le Département de la défense (DDPS). Même s’il n’a pas évoqué le sujet dans les rapports sur l’avenir de l’armée et sur la politique de sécurité, il a mis en place un groupe de travail qui est chargé d’élaborer une stratégie contre les nouvelles menaces cybernétiques.
C’est un début. Mais il faudra surtout veiller à ce que l’on ait la volonté de dépasser le stade des premières discussions. Il me semble important que des équipes efficaces soient mises sur pied, très concrètement. La Suisse devrait aller plus vite dans ce domaine.
Que proposez-vous?
Dans ce monde en guerre, nous possédons un outil extraordinaire que certains nous envient: notre armée de milice. Nous pouvons nous appuyer sur les compétences de personnes qui ont un rôle civil important dans le domaine des technologies de l’information et qui peuvent intervenir dans ce même secteur quand ils sont sous les drapeaux.
Pour moi, ce partenariat entre le militaire et le privé est la meilleure approche contre la cyberwar. Structurellement, notre potentiel est unique.
En gros, vos ingénieurs vont profiter de leur temps sous les drapeaux pour continuer à travailler pour vous… Pas complètement désintéressée votre proposition!
L’important, c’est de disposer d’une défense vraiment efficace dans ce domaine. Une défense qui est peut-être plus cruciale aujourd’hui que des bataillons de chars ou des régiments de cyclistes armés. Nous nous devons de nous préparer aux guerres de demain. La cyberwar en est une.
Mais elle est virtuelle…
Pas tant que ça. Les Américains n’excluent pas de recourir à des ripostes «militaires» en cas de cyberattaque. Selon moi, l’armée suisse doit aussi se préparer à répondre à ces attaques en formant par exemple 300 à 400 cyberdéfenseurs capables de défendre nos infrastructures vitales.
Des infrastructures déjà attaquées comme ce fut le cas avec le Département fédéral des affaires étrangères dont le réseau été pillé par un ver informatique, une sorte d’aspirateur à informations piloté a distance. Une attaque que vient de subir d’ailleurs l’Etat français.
Ce sont des exemples. Mais le pire serait que ces pirates puissent modifier et corrompre de l’information sensible. C’est le plus dangereux. Imaginez que des crapules injectent 10% d’informations erronées dans le flux de Wikileaks. Les dégâts seraient énormes. Vous pourriez détruire la réputation de n’importe quelle entreprise, de n’importe quel gouvernement.
Qui sont ces pirates?
Il faut imaginer des groupes d’individus dispersés dans le monde. Formant une nébuleuse, comme al-Qaida peut l’être, ils se côtoient dans les réseaux sociaux.
Et c’est par ce biais-là qu’ils sont capables de mener des projets en commun. Ils forment une espèce de société civile virtuelle. Ces gens se connaissent très bien et ils peuvent travailler pour le bien commun ou contre. Tout dépend.
Profil
André Kudelski
Né le 26 mai 1960, André Kudelski est diplômé en physique de l’Ecole polytechnique fédérale de Lausanne.
En 1991, il succède à son père Stefan Kudelski au poste de président et administrateur délégué de Kudelski SA.
Le groupe possède plusieurs entreprises dans le domaine de la sécurité électronique et informatique dont MediaCrypt et Nagra.
Tags: Cyberguerre, André Kudelski, cyberattaques, Kudelski, 
|