Article du 08 juin 2018

Cybercrime: quel rôle doit jouer l’Etat?

CYRILLE REYNARD, JEAN-JAQUES KOHLER ET PABLO FAUS-PÉREZ
OBSERVATOIRE DES RISQUES OPÉRATIONNELS

 

 » L’EFFICACITÉ DU DISPOSITIF NATIONAL EN MATIÈRE DE CYBERSÉCURITÉ EST D’AUTANT PLUS LIMITÉE QUE LES INCIDENTS NE SONT PAS SYSTÉMATIQUEMENT DÉCLARÉS. »

 

Le cadre légal suisse en matière de cybersécurité est insuffisant, seule la protection des données personnelles, ou seules certaines entreprises d’importance systémique ou encore bancaires sont règlementées.

Les entreprises ne sont donc pas contraintes d’investir dans des mesures de protection, se retrouvant souvent seules face aux cyber-attaques en augmentation et de plus en plus sophistiquées. Des moyens de réaction au niveau des cantons et de la Confédération sont déployés mais restent incomplets et non coordonnés. L’efficacité du dispositif national en matière de cybersécurité est d’autant plus limitée que les incidents ne sont pas systématiquement déclarés.

Voici le constat principal d’une enquête de terrain menée par Oprisko, l’Observatoire des risques opérationnels qui a consisté à étudier un échantillon d’entreprises romandes face aux cyber-risques et en parallèle à comprendre la motivation des «hackers».

Un hacker déclare «Au début, tout était question de curiosité et d’apprentissage. (…) en ce moment, c’est juste de l’argent, (…) je fais le travail, je prends l’argent et je disparais.»

A l’origine, un hacker manipule un instrument informatique pour résoudre des problèmes.

C’est le cas des hackers «white hat» qui sont curieux, aiment bricoler,détourner des produits ou des systèmes de leur usage premier et mettent à profit leurs compétences au service de l’industrie. 

Mais il existe aussi les «black hat» qui violent les systèmes d’information, avec ou sans avantage personnel, parfois par conviction. Le but de ces «pirates» est de s’introduire dans les systèmes d’information, en volant des données et parfois en les revendant.

La cybercriminalité représente un marché de profits illégaux de plus de 500 milliard de dollars  (World Economic Forum, 2018).

Du côté des entreprises, la cybercriminalité n’est souvent pas prise au sérieux. Alors que des normes

incendie ou des normes d’hygiène sont imposées dans certains secteurs d’activité, les normes de sécurité des systèmes d’information sont très lacunaires.

Les dirigeants, n’étant pas contraints par la loi, ne mettent pas en oeuvre les mesures de contrôles nécessaires et n’intègrent pas systématiquement les responsables de la sécurité au sein des comités exécutifs. Les entreprises expriment leur difficulté à «vendre de la sécurité informatique à la haute direction», à maintenir à jour leurs systèmes ou à implémenter des solutions de détection efficaces.

L’Etat a un rôle essentiel à jouer, en proposant aux entreprises des nouvelles normes en matière de

sécurité informatique. Ces normes pourraient être sectorielles, flexibles et basées sur des principes généraux. Elles devraient également prévoir des mécanismes de rapport d’incidents aux autorités pour améliorer la prévention et la réaction.

Le respect des normes serait assuré par des mécanismes d’autorégulation basés sur des certifications amenant de la valeur aux entreprises. «Aujourd’hui, il n’y a personne sous la coupole pour défendre les enjeux numériques et la sécurité de l’information pourtant fondamentaux pour notre économie et dans lequel il faut investir massivement, sous peine de se retrouver largué» déplore une personne sondée.

Pierre Maudet voudrait-il incarner ce rôle essentiel pour l’économie?

Article paru dans l’AGEFI du vendredi 8 juin 2018