reiny

Voici les dV-News 13-2022 et leur sélection d’articles et de liens pour illustrer l’actualité de la dernière quinzaine. Par suite d’un nouvel article mettant en doute le cyber en tant qu’effecteur clé dans la guerre en Ukraine, nous avons consacré une part significative de cette édition à cette thématique. Cette manière de nier l’existence de cyberattaques de niveau systémique, uniquement parce que celles-ci n’auraient pas encore été observées dans cette guerre, est à notre sens un dangereux chemin; en effet, cela encourage la démobilisation face aux défis du cyber qui, d’un coup, … ne seraient pas si dangereux en temps de guerre. 

Les métriques du cyber in war 

Comment donc mesurer le succès des moyens cyber sur la base de l’exemple du conflit en cours en Ukraine? La question est éminemment difficile et nous nous garderons bien d’y apporter une réponse définitive. Nous y avons identifié trois facettes:

• Entre réalité et perception – Ce que nous voyons n’est qu’une fraction de la réalité; tirer des conclusions qui sont donc applicables pour l’avenir nous semble ainsi pour le moins léger. Le renseignement en source ouverte (surtout au travers des médias sociaux) ne montre de loin pas tout et il est susceptible aux manipulations par ajouts, soustractions, dissimulations, etc. ; de plus, il cible des publics dont l’esprit critique est déjà rongé par les vagues d’émotions qui se sont emparées de l’Occident. Les guerres du Golf ont d’ailleurs été déclenchées grâce à de tels mécanismes. Dans les premiers jours de la guerre, alors que le rouble s’effondrait, certains experts prédisaient déjà la mort subite de l’économie russe; mais trois mois plus tard, la monnaie russe est à son niveau record de l’été 2015 et la Russie engrange des bénéfices sans précédents grâce au pétrole et au gaz. Un peu d’humilité chez les commentateurs ne feraient pas de mal.
• Les objectifs réels des Russes – À notre connaissance, aucun de ces experts qui peuplent les plateaux télé ne campe dans le bureau du président russe. Et si c’était le cas, quelle garantie aurions-nous qu’il rapporte la vérité? Si l’on ne connaît pas ces objectifs, ce qui remonte du terrain n’est que de l’information en sources ouvertes dont on ne peut pas tirer grand-chose ; ce ne sont pas des renseignements vérifiés le long d’un processus rigoureux. Comment savoir ainsi avec certitude quelles sont les avancées réelles des uns et des autres? Poutine voulait-il vraiment occuper tout le pays et s’emparer de Kiev? Avec un peu de recul et d’objectivité, il semble pourtant que certaines manœuvres des Russes aient d’abord eu pour objectif de fixer les forces ukrainiennes pour avoir les mains libres ailleurs. Quelle part de cyber les Russes ont ainsi mis dans leurs lignes d’opérations? Bien malin qui peut le dire.
• L’absence de vue systémique et de temps long – Une guerre comme celle qui frappe l’Ukraine et dont les conséquences vont lourdement impacter l’Europe dès cet automne, est par nature VUCA. Les succès tactiques engrangés ici ou là par les différentes parties belligérantes ne suffisent pas à décrire la situation réelle. Ceux qui ont bénéficié d’une formation militaire de haut niveau savent que l’analyse requiert au moins une approche de type PMESII-PT (politics, military, economy, society, information structure, infrastructure, physical environment, time). Et sur le plan temporel, souvenons-nous de la rapidité avec laquelle les forces américaines ont vaincu les talibans et les circonstances de leur piteux retrait 20 ans plus tard. Gagner sur le plan tactique est une chose, mais dans la durée et sur le plan stratégique la réalité est souvent toute autre.

La « cyberguerre » (terme depuis longtemps dépassé et mal traduit de l’anglais) n’a pas eu l’effet escompté?  Nous le disons depuis le début de la guerre: gardons-nous des conclusions hâtives qui ne servent qu’à justifier de vieilles thèses. L’absence de cyberattaques destructrices est-elle due aux succès de la défense, à l’absence d’attaques, ou à d’autres causes?  Tout soldat sait que le succès se construit par une combinaison d’effets dans l’ensemble des sphères d’opérations, terre, mer, air, espace, information, électromagnétique et… cyber. 

Alors même si l’attaque ultime, le Cyberarmageddon, ne s’est pas encore manifestée, cela ne veut pas dire que rien ne se passe. Pendant que les experts se disputent mettons à profit chaque minute pour améliorer notre sécurité et notre résilience dont nous avons déjà si souvent constaté les déficiences.

Ce n’est qu’avec une approche holistique et systémique qu’il est possible de réduire significativement la probabilité d’occurrence et le coût des dommages des cyberattaques ou des pannes. Et dans le cas de Skyguide aussi – semble-t-il par suite de la défaillance d’un composant secondaire – il s’agit de rester humble. D’ailleurs, en première analyse, l’incident a été bien géré. Reste la phase des « leçons apprises ».

Autres événements remarquables : Palantir et Google – Avec leur partenariat, un géant de la donnée et du renseignement est né. Avec quelles conséquences réelles en dehors des promesses sur les prospectus de bien servir leurs clients? Pour le comprendre, nous recommandons d’écouter la Prof. Ghernaouti. Sommes-nous en train d’atteindre les limites de notre société et de ses valeurs humanistes et démocratiques?

En Suisse durant les 15 derniers jours (à part la canicule)

• L’obligation d’annoncer – C’est en 2017 qu’a été déposé un premier postulat réclamant l’obligation faite aux opérateurs d’infrastructures critiques d’annoncer les cyberattaques subies. La base légale n’est toujours pas en vigueur et le Conseil national vient d’approuver, de justesse, un nouveau postulat réclamant l’introduction d’une obligation de déclaration en cas de paiement de rançons et d’une obligation d’impliquer les autorités dans les négociations avec les criminels. À nouveau une bonne initiative, mais encore une demi-mesure, car limitée aux seuls ransomware. Et qui sera mise en place dans 5 ou 6 ans? Le temps de la politique n’est pas celui du cyber. 
• Décollage des Women in cyber – Dommage que les dames soient obligées de créer une association pour enfin s’imposer dans les métiers du cyber, mais voici une initiative importante et à saluer, que digiVolution soutiendra avec conviction et enthousiasme. Une première manifestation de l’association se tiendra en septembre à Zurich.

Et à Berne nous avons relevé quatre développements significatifs. 

• Une communication du NCSC sur les numéros de téléphone détournés et factures falsifiées. 
• Le lancement des travaux pour des bases légales permettant la mise à disposition de géoregistres nationaux pour une Suisse numérique. 
• Un rapport sur les rayonnements non ionisants qui montre que la population est exposée à des niveaux bien en dessous des valeurs limites; de bon augure pour rassurer les « anti-5G ».
• L’annonce d’une opération à laquelle ont participé nos autorités de poursuite pénale avec 11 autres pays pour démanteler l’organisation et l’infrastructure du logiciel malveillant FluBot qui s’attaquait aux téléphones Android.

Chez digiVolution 

À  Lille du 7 au 9 juin nous avons apporté notre soutien à notre ambassade de Paris qui avait mis en place avec le Swiss Business Hub un très beau pavillon au FIC  (Forum International de la Cybersécurité). Et les Suisses se sont fait remarquer, notamment avec Marley, la mascotte de UBCOM. 

Le 14 juin à Bucarest, à la Casa Elvetiei, nous avons été invités au Cyber Espionage Awareness Day for Business et à cette occasion avons publié une réflexion dans le journal Cybersecurity Trends.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver dans 15 jours. 

Voici les dV-News 12-2022 et leur sélection d’articles et de liens pour illustrer l’actualité de la dernière quinzaine. Dans cette édition, une fois n’est pas coutume, nous nous attarderons sur la crise climatique qui affecte le sous-continent indien en montrant comment cette situation affecte in fine l’espace numérique. Et comme à notre habitude, nous commenterons quelques nouveautés pour la Suisse. lire plus

Voici les dV-News 11-2022 et leur sélection d’articles et de liens pour illustrer l’actualité de la dernière quinzaine. Dans cette édition, nous nous arrêterons à nouveau sur l’Ukraine (impossible d’y échapper), l’avenir des mots de passe, la confiance et les récents développements à Berne, notamment la décision de créer un office fédéral dédié à la cybersécurité. Osons un acronyme: le BACYSEC? Bundesamt für CyberSecurity?

Cyber in War (suite et pas fin)

A deux heures de vol de Zürich, la guerre continue à faire rage, même si la baisse de contributions sur ce sujet dans les médias trahit déjà un début de fatigue des commentateurs et du public. Ne nous leurrons pas, la situation en Ukraine reste dramatique et les risques de dérapages de toutes sortes demeurent. Pour ceux qui pensent que cette guerre n’a pas atteint l’envergure attendue dans le cyberespace, le général Nakasone – patron de la NSA et du US Cyber Command – s’est exprimé à son tour clairement sur le sujet il y a quelques jours, estimant que ceux qui raillaient l’absence relative de cyberagressions russes en dehors de l’Ukraine parlent trop tôt. Comme nous ne cessons de le répéter chez digiVolution, ne baissons pas la garde, car cela ne fait que de commencer et prenons les dispositions préventives nécessaires. L’exemple du Costa Rica (lire aussi) devant déclarer l’état d’urgence devrait nous inspirer. Et n’oublions pas que le temps des plateaux télé n’est pas celui du terrain…! Dans notre précédent billet, nous parlions de (N)NEMP? Eh bien le soleil a déjà brûlé la politesse à M. Poutine en nous gratifiant le 10 mai dernier d’une énergique piqûre de rappel. 

La fin des mots de passe?

Apple, Google et Microsoft nous annoncent la fin des mots de passe. Certains se réjouissent, mais pas nous. Ce que ces géants annoncent comme un progrès va conduire à une nouvelle perte de souveraineté et de liberté des individus. Ce sera certes très pratique de ne plus avoir de Sésame à définir (autre que 123456…), à mémoriser, à protéger dans un petit carnet, ou dans un gestionnaire crypté ou avec un Post-it sous son clavier (ceci est une blague) …. mais il y a un gros “mais”. Tout passera désormais principalement par notre smartphone et la captation des consommateurs par les plateformes des géants de la tech – des États dans les États – sera ainsi complète et définitive. Demain sera peut-être moins compliqué pour le consommateur, mais à quel prix? Les bien-pensants européens se moquent de la Chine et de son système de crédit social, pourtant nous empruntons à marche forcée le même chemin qui consiste à vouloir tout régenter par la technologie en s’appuyant sur de  l’IA que l’on nourrit désormais avec des données synthétiques pour apprendre à détecter nos réactions. La démocratie et la liberté peuvent trembler. Au travers de sa lutte – légitime – contre la pédopornographie, l’UE risque fort d’y contribuer et d’ouvrir des portes insoupçonnées que ne pourront plus être refermées.

La confiance dans le cyberespace

Puis-je avoir confiance qu’un produit TIC matériel ou logiciel a été développé de manière à le mettre à l’abri de menaces internes ou externes à l’organisation? Puis-je être certain que les fabricants des composants ne se sont pas octroyé une porte dérobée à leur avantage et au détriment de leurs clients? Quelles protections politiques et légales sont en place pour permettre aux clients de se retourner contre des prestataires indélicats. La NSA jure que cette fois elle ne mettra pas de porte dérobée dans les prochains standards de cryptographie quantique. Nous voilà rassurés…, mais pour bien appréhender le problème nous vous recommandons ce passionnant rapport du Lawfare Institute “Trusted Hardware and Software Working Group“ sur le sujet de la confiance. Une autre démarche que  nous pouvons recommander peut être déduite des nouvelles directives de la Présidence US qui montrent que la cybersécurité tient souvent plus de la simple mise en œuvre des meilleures pratiques connues dans le monde réel que d’hypothétiques murs de protection technique tous azimuts. Toujours les bonnes vielles recettes, bientôt soutenues on l’espère par une convention internationale sur la cybercriminalité sous l’égide de l’ONU.

Mission accomplie

Il y a 10 ans, André Duvillard devenait Délégué du Réseau national de sécurité (RNS) et arrivait à Berne dans un bureau vide et tout à créer. A fin juillet il remettra définitivement à son successeur, Martin von Muralt, les clefs d’un RNS qui a très largement contribué à améliorer la collaboration entre les acteurs de la sécurité en Suisse avec une recette simple: le dialogue et le respect. Merci, M. Duvillard pour vos multiples actions au profit de la sécurité de la Suisse et tous nos vœux à M. von Muralt face aux défis qui se profilent et qui réclameront sans aucun doute de sa part de nouvelles réponses. Bravo aussi pour la 5ème conférence du RNS et merci d’avoir confié à digiVolution la modération du podium consacré au thème “La mobilité génère des données”. Ce fut une enrichissante discussion autour de la difficulté à placer le curseur judicieusement entre la protection des personnes, l’usage de leurs données par les acteurs économiques et la capacité de l’État de droit à faire respecter ses règles.

BACYSEC. Enfin !

Lors de l’élaboration de la première stratégie pour la protection de la Suisse contre les cyberrisques en 2012, l’équipe de projet avait proposé la création d’un centre de compétence. L’idée fut balayée de l’intérieur. En 2015 une idée similaire subissait le même sort. En 2016, le Conseil fédéral s’opposait à la motion de la Conseillère nationale Glanzmann et ce n’est qu’en 2017 que le Conseiller aux États Eder parvenait à imposer l’idée d’un centre fédéral de compétence qui fut finalement créé en 2020, avec cependant des moyens ridicules par rapport à l’ampleur de la tâche. Avec la création d’un office fédéral qu’il conviendra encore de définir, de rattacher au bon endroit et auquel il s’agira d’attribuer des moyens en relation avec ses tâches vitales pour la Suisse, une étape clé est franchie. Que de temps perdu… mais un grand bravo à Florian Schütz, architecte de ce progrès. Un chemin rude et exigeant en perspective pour tous, mais enfin le bon.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver dans 15 jours. 

Voici les dV-News 10-2022 et leur sélection d’articles et de liens pour illustrer l’actualité de la dernière quinzaine. Ce billet est déjà le 50ème. Tempus fugit. Arrêtons-nous cette fois sur les impulsions électromagnétiques, nucléaires (N) et non nucléaires (NN) et sur un clin d’œil à dV-Net.

Avoir raison ou gagner?

L’agression de la Russie contre l’Ukraine est inqualifiable et doit cesser. Nous sommes tous d’accord. Le monde occidental a décidé de faire payer aux Russes le prix fort? Logique. Mais a-t-on vraiment correctement mesuré tous les risques? L’automne dernier, le Conseiller fédéral Parmelin nous a mis en garde quant aux difficultés d’approvisionnement électrique qui nous attendent dès 2025. C’était avant que la confrontation avec la Russie implique aussi l’énergie. Nos pays sont-ils vraiment en mesure de jouer les gros bras? A la lumière des comportements individuels et collectifs constatés durant la crise du COVID (pas terminée…), amplifiés par les médias sociaux qui nous plongent dans des vagues d’émotions dont disparaît toute rationalité, il est légitime de nourrir quelques doutes. Alors que la situation devient chaque jour plus dangereuse, les gentils Suisses (42% en surpoids, 11% d’obèses et 30% âgés de plus de 60 ans en 2030) planifient leurs vacances d’été et rêvent d’un revenu de base inconditionnel et de robots travaillant à leur place. Quelle serait la résilience de cette société privée énergie? 

Depuis quelques semaines et comme jamais depuis 1962, divers camps agitent le spectre de l’emploi de l’arme nucléaire par les Russes. Pour comprendre ce que cela signifie, nous nous sommes replongés dans nos règlements militaires de… 1992. On y apprend qu’une série d’explosions nucléaires à haute altitude détruiraient la majeure partie des composants électroniques de nos infrastructures. Un NEMP ou IEM (Wikipédia, YouTube) signifierait un retour au Moyen-âge, d’innombrables victimes dues à l’arrêt des systèmes dans les hôpitaux, les transports, etc. A part les billets en circulation, que deviendraient nos comptes en banque? Et l’eau, l’alimentation, …? Il faudrait ensuite reconstituer toutes les chaînes de valeurs et les capacités industrielles qui auraient aussi été endommagées ou détruites. Il faudrait remplacer des technologies parfois vieilles de plusieurs dizaines d’années, qui ne se fabriquent plus et dont on n’a pas les topologies et dont les concepteurs sont décédés depuis longtemps. Et qui accéderait en priorité aux nouveaux équipements? En bref, ce serait un très long cauchemar. 

(Image: Asiatimes)

Un des projets de digiVolution traite le scénario des tempêtes solaires (NNEMP : non nuclear electromagnetic pulse), dont la prochaine occurence est prévue pour 2024 – 2025, un danger déjà évoqué dans nos précédents billets. Mais depuis le 24 février, ce scénario est passé de solaire à nucléaire. Faut-il désormais plus craindre les Russes que Rê? Veut-on vraiment pousser Poutine dans ses derniers retranchements? On aurait certes raison, mais le risque de tout perdre est immense. Il serait donc bien – comme l’a proposé aujourd’hui le Président Macron – d’offrir une porte de sortie à tous les belligérants avant qu’il ne soit trop tard. Sinon il faudra être en mesure d’assumer la tempête qui s’annonce. Car les Chinois donnent aussi de la voix et les Nord-coréens multiplient, comme par hasard,  leurs essais de missiles. Un jour un de ces acteurs commettra une erreur fatale.

Dans un exposé le 30 avril dernier au profit de l’assemblée générale de l’Association romande des officiers de protection AC, nous avons abordé ces questions. Si on nous avait dit il y a encore quatre mois que nous tiendrions un tel discours …!

Sont-ce là des élucubrations? Peut-être. Ou pas. Mais dans un monde d’anticipation, face à des risques de cette ampleur peut-on comme avant le 24 février dire “mais non, … cela n’arrivera jamais…”?

dV-Net 

Cette fois ça y est, une étape importante a été franchie le 6 mai avec la présentation au Comité consultatif de digiVolution du premier démonstrateur de dV-Net. Alors que toute notre équipe œuvre chaque jour à enrichir les contenus de cette nouvelle plateforme, les bêta-testeurs sont désormais au travail. Encore beaucoup à faire, mais ce service sera graduellement disponible dès le mois de juillet et atteindra sa maturité à fin octobre.

—————————-

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver dans 15 jours.

Voici les dV-News 09-2022 et leur sélection d’articles et de liens pour illustrer l’actualité de la dernière quinzaine. Ce billet comporte deux volets principaux. Un cri d’indignation relatif à notre indolence face aux cyberrisques et les développements qui ont retenu notre attention en Suisse.

QUE FAUT-IL DE PLUS? 

Le monde semble ne pas croire à un Cyberarmageddon ensuite de la guerre en Ukraine. Soit, mais que faut-il pour que la gravité de la situation et l’énormité des cyberrisques auxquels nous sommes exposés, avec ou sans cette guerre, soient enfin compris? 

La numérisation est sans conteste un progrès indéniable. Mais sans sécurité en son cœur et motivée d’abord par des impératifs de profit et de pouvoir, elle risque fort de s’avérer mortelle pour notre société. La sécurité n’est pas un point parmi d’autres, c’est LA PRIORITÉ puisque toute chose est désormais irrémédiablement dépendante du cyberespace.

Certains prétendent que des cyberattaques ne suffiraient pas à faire tomber le cyberespace? Et sans approvisionnement électrique? Et en cas d’arrachage des câbles sous-marins? Et il y a aussi le risque de tempêtes solaires.  

Existe-t-il un risque plus immédiat et plus massif pour la société que des perturbations majeures voire même l’effondrement du cyberespace? 

Le nier ou toujours remettre à demain les mesures qui s’imposent, c’est accepter que la menace grandisse chaque jour un peu plus et qu’elle mette en péril la santé, l’énergie, l’alimentation, l’eau, l’éducation et même l’action humanitaire.

Il paraît qu’il serait dangereux de réveiller un cybersomnambule? Nous pensons résolument que c’est l’inverse. 

S’agissant du conflit déclenché par la Russie, celui-ci pourrait s’installer dans la durée. Dans les faits, la Russie – qui le dit aussi – est en état de guerre avec l’ensemble des pays occidentaux au travers des multiples sanctions et du flux croissant d’armements qui parviennent aux courageux défenseurs ukrainiens. Qu’est-ce qui retient donc les cyberattaquants russes et leurs alliés de déclencher le grand soir cyber, y compris contre la Suisse? 

Ceux qui, ne voyant pas venir jusqu’ici de cyberattaques massives dans le cadre de cette guerre, ont déjà conclu qu’il n’y en aurait pas pourraient devoir réviser leurs jugements hâtifs. Cette guerre s’inscrit dans le temps long et nous devrons, au-delà des émotions suscitées par les terribles images auxquelles nous assistons depuis le 24 février, être capables de durer face à des agresseurs toujours plus décomplexés et risquant de devenir encore plus désagréables. Et la Russie peut compter sur des alliés et des opportunistes de poids.

Ce constat explique ainsi le titre de ce billet. C’était compliqué avant le 24 février et cela va empirer, et ce dans de nombreux domaines. Nous sortons des festivités de Pâques, le printemps fleurit, les oiseaux chantent, beaucoup procèdent déjà aux réservations pour les vacances d’été … Et si on était dans une situation de drôle de guerre? 

EN SUISSE 

De nombreuses communications sont venues de Berne durant la quinzaine écoulée. Une bonne note quant aux investissements au profit des startup (mais pour quel bénéfice?), des mesures pour assurer l’approvisionnement électrique (à saluer), un engagement de la Suisse pour la réglementation internationale de l’intelligence artificielle et un satisfecit quant au fonctionnement de l’organisation en charge depuis début 2021 de la transformation numérique de l’administration fédérale (avec quel effet pour les cantons?). 

Beaucoup de développements réjouissants donc, mais une image d’ensemble qui, hors des connaisseurs à Berne, peinent encore à s’inscrire dans une stratégie d’ensemble comprise de tous. 

L’événement phare aura été sans conteste la publication du rapport Conception générale cyber de l’armée. Un document très important mais dont le contenu nécessitera encore des améliorations pour être – au-delà des chiffres qui impressionnent – réellement compris, appliqué (si possible rapidement en raison de la situation).

—————————-

Pour digiVolution, le 6 mai prochain sera une date clé, celle du lancement de la première phase pilote de dV-Net. Nous vous tiendrons bien entendu au courant des progrès et sommes impatients de mettre à votre disposition ce service dès début juillet.

D’ici là, nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver dans 15 jours. 

Ce billet comporte deux volets principaux. “Panorama” traite des développements qui ont retenu notre attention avec l’Ukraine, la Chine et la Suisse. La seconde partie est consacrée quant à elle au lancement de dV-Net lors des Swiss Cyber Security Days (SCSD) le 6 avril dernier.

PANORAMA

Ukraine – La guerre et son cortège d’horreurs se poursuivent. De quoi vraiment faire douter de la nature humaine…! En revanche, dans le cyberespace, ce conflit est encore loin du Cyberarmageddon tant craint. Au fur et à mesure des révélations, on voit cependant poindre les premières explications avec notamment la cyberartillerie américaine (1, 2) et les groupes d’hacktivistes qui mènent la vie dure aux Russes, apparemment peu habitués à prendre des coups en retour. Mais, comme nous le répétons dans tous nos billets, soyons patients, car au-delà des cas connus dont on commence seulement à percevoir la portée, il y a tout ce que nous ne savons pas encore et les agressions à venir. Chris Inglis,  le US National Cyber Director, avec lequel digiVolution a pu s’entretenir brièvement, l’a clairement exprimé à Fribourg le 6 avril lors des SCSD. Ne nous laissons donc pas aveugler par notre besoin maladif d’immédiateté.

Chris Inglis, US National Cyber Director / Gérald Vernez, digiVolution

Chine – De son côté, pendant que le monde occidental est occupé par le drame qui se poursuit en Ukraine, la Chine poursuit ses activités d’espionnage et les indices d’un avenir difficile, notamment autour de Taïwan, se multiplient. Cette évolution pose pour nous des questions toujours plus aigues en termes d’autonomie et de chaîne d’approvisionnement. Fort heureusement, les premières leçons du COVID ont déjà pour conséquences un renforcement de l’Office fédéral de l’approvisionnement économique. On en aura bien besoin dans les domaines des TIC et de l’énergie, pour anticiper la tempête qui menace. Mais il s’agira d’y répondre dans la profondeur de notre société et pas uniquement à Berne.

Suisse – Après Rolle et Montreux en 2021, c’est désormais le canton de Neuchâtel qui est touché. Université, cabinets médicaux, … la liste s’allonge. Mais voyons le verre à moitié plein, car tous ces incidents conduisent à de réelles améliorations. Ainsi, c’est désormais de la création probable d’un office fédéral pour la cybersécurité dont il est question et le Conseil fédéral vient également de concrétiser un volet clé de sa stratégie Suisse numérique de 2020 en matière d’autodétermination numérique et d’espace de données fiable. Enfin, saluons la création de l’association Swiss Financial Sector Cyber Security Centre qui vise à renforcer la coopération entre les établissements financiers et les autorités et à accroître la résilience du secteur financier face aux cybermenaces. Les développements de cette quinzaine nous permettent donc d’espérer de prochains progrès majeurs.

Le conseil de fondation de digiVolution
J.-M. Leclerc, G. Vernez & R. Schnyder

DIGIVOLUTION – LANCEMENT DE DV-NET

Lors des Swiss Cyber Security Days à Fribourg, les 6 et 7 avril, notre stand a été assailli par les amateurs de nos désormais fameux Cyber Gummi Bärli. Surtout, ces deux jours nous auront permis de rendre publique la naissance de dV-Net.

dV-Net sera une plateforme innovante avec pour mission de donner aux décideurs des secteurs public et privé un accès global, simple et rapide à des informations clés.  Ainsi ils pourront mieux anticiper et maîtriser les multiples défis sécuritaires de la mutation numérique. Tous les détails se trouvent dans notre brochure.

dV-Net sera en phase pilote 1 jusqu’à fin juin 2022, avec une sélection de cantons, d’entreprises et d’experts invités. La phase pilote 2, de juillet à fin octobre, permettra aux premiers intéressés, avant que le service soit pleinement opérationnel, de contracter un abonnement early bird, pour lequel une remise substantielle sera accordée. Dès le mois de novembre, dV-Net sera disponible pour tout le monde. En cas de question, nous sommes volontiers à votre disposition.

—————————-

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver dans 15 jours.

Ce billet comporte deux volets: le conflit en Ukraine qui ne fait que commencer et l’avenir de digiVolution qui fête une première année d’activités concrètes. Un dur labeur derrière nous et un autre devant, qui donnent son nom à ce déjà 47^ème billet. lire plus

En raison de l’épais brouillard de la guerre qui règne, il nous est difficile de tirer des enseignements valables, aussi avons-nous choisi de couvrir un large panorama de commentaires.

Dire que l’histoire s’est emballée est un faible euphémisme. Pour le continent européen, après plusieurs décennies d’une situation globalement pacifique (hormis les Balkans), les dangers existentiels sont de retour, indubitablement accélérés, intensifiés, favorisés par les technologies de l’information et la circulation des données et de l’information.

Pour la Suisse, pays-neutre-mais-néanmoins-européen-donc-partie-du-bloc-occidental, la situation est devenue inconfortable. Comment, en particulier désormais aussi dans le cyberespace,  respecter nos obligations d’Etat neutre, un statut défini par la communauté internationale en 1907 après qu’il nous ait été imposé en 1815 par les puissances belligérantes européennes, soucieuses d’avoir désormais un tampon neutralisé entre elles?

Certains affirment que la Suisse a abandonné sa neutralité? NON, elle applique le droit international et sa loi de 2002 sur les sanctions internationales. Et NON, la Suisse n’est pas un “passager clandestin” de l’OTAN. Avec sa neutralité armée – certes perfectible – elle a toujours fait sa part au centre du continent. Ce qualificatif “clandestin” est injuste à l’adresse de tous ceux qui ont servi et servent au sein de notre armée ou au profit de la paix dans le monde.

Avec les décisions du 28 février d’associer la Suisse aux sanctions européennes et du 11 mars d’interdire le survol de notre territoire par les parties en conflits ou d’autres États soutenant militairement l’un des parties, les choses sont plus complexes que jamais. Voici une crise inédite pouvant dégénérer à tout moment et où le cyberespace joue un rôle dans des proportions jamais vues et que certains ont jusqu’ici refusé de voir.

Pour la Russie et ses alliés, les décisions du Conseil fédéral nous mettent dans le camp adverse, celui qu’il faudra viser. Pour les autres, la décision sur l’espace aérien fait de nous des cyniques qui se désolidarisent de l’aide qui doit être, par tous les moyens, apportée à l’Ukraine, pays martyr sous le feu d’un dictateur incarnant désormais le mal absolu. Alors la Suisse est-elle l’ennemi de quelqu’un et une cible plus probable qu’avant? CH=enemy? Si le rapportde l’Approvisionnement économique du pays du 9 mars montre une situation pour l’instant stable, il estime également que nos infrastructures vitales pourraient être visée par des mesures de rétorsion.

Les scénarii évoqués dans notre précédent billet conservent donc non seulement leur validité, mais les coups pourraient aussi venir d’ailleurs d’un autre camp que celui de la Russie et s’intensifier. L’ancien monde où les cyberrisques relevaient de la seule criminalité ciblant un pays riche et naïf et où le cyberterrorisme était au mieux une théorie a vécu.

Avec la guerre en Ukraine, il existe de plus, comme dans le cas du COVID, un risque élevé d’effet tunnel qui masque la croissance de l’autoritarisme et du populisme dans le monde (voir le rapport de Freedom House), la volonté de la Chine d’imposer à Taiwan le même sort que celui que subit l’Ukraine ou encore les immenses défis environnementaux, énergétiques et démographiques.

Dans cette édition, nous avons décidé de nous concentrer sur les cybermenaces en lien avec la guerre déclenchée par la Russie contre l’Ukraine et choisi pour titre une date qui restera désormais dans l’histoire.

“Yesterday, December 7, 1941 – a date which will live in infamy – the United States of America was suddenly and deliberately attacked by naval and air forces of the Empire of Japan.” Ainsi commença le discours du Président Roosevelt devant le Congrès le 8 décembre 1941. Comment, le 24 février 2022, en est-on arrivé à cette situation qui risque de nous précipiter dans un nouveau conflit généralisé aux conséquences dévastatrices? Comment en est-on arrivé au point où ce gouvernement russe se met à menacer le monde du feu nucléaire? Nous laisserons ici les commentateurs – tous plus avisés les uns que les autres – déterminer qui porte quelles responsabilités dans le chemin qui a amené l’humanité à ce point de bascule, mais nous voulons, haut et fort, affirmer notre profonde conviction qu’aucune raison ne justifie cette escalade de violence et qu’elle doit être condamnée dans les termes les plus durs.

Quels sont les développements possibles de cette guerre dans les sphères cybernétique et informationnelle pour la Suisse? Toute action dépend de trois critères: savoir, pouvoir, vouloir. Le savoir, soit le “où et comment frapper”, est largement disponible. Le pouvoir, soit les moyens opérationnels, ils sont déjà largement engagés au quotidien. Le vouloir, ou la décision de passer à l’acte; Poutine a balayé lui-même les derniers doutes et ses dernières déclarations sur l’emploi de l’arme nucléaire ne laissent rien augurer de bon.

Nous avons donc décrit ci-après les risques qui, sur la base des faits passés et actuels, pourraient se matérialiser dans un futur proche contre la Suisse et ses intérêts.

Dans l’immédiat

• Cyberharcèlement – Les soutiens criminels habituels du Kremlin peuvent, à l’instar des actions des Anonymous qui ont annoncé vouloir cibler la Russie, arroser la société de multiples cyberattaques peu sophistiquées, mais suffisantes pour provoquer d’importantes perturbations qui ne manqueraient pas de toucher directement la vie quotidienne de la population et impacteraient les activités de nos entreprises. Nos moyens de lutte atteindront ici déjà rapidement leurs limites.
• Propagande et désinformation – Ces actions sont déjà largement en cours. Les réseaux sociaux sont inondés de fake news et la rhétorique utilisée est extrêmement agressive avec des allusions hallucinantes au nazisme et à un génocide en cours. À part la diffusion de consignes au moyen de ses services de communication, notre gouvernement n’a pas de moyens. Elle ne peut que se réfugier derrière la liberté de l’information et espérer que cette situation n’aille pas plus diviser une population déjà éprouvée par deux ans de dégâts informationnels infligés par le COVID.
• Cybercriminalité – Le vacarme de la guerre est une aubaine pour ceux qui veulent profiter d’un “effet tunnel”. Il faut donc s’attendre à une recrudescence de cyberattaques opportunistes des “petits voleurs”, comme ce fut le cas dès le début de la crise du COVID.

Ensuite, si le conflit dure et s’étend à d’autres théâtres (les poudrières ne manquent pas).

• Cybersabotages – La préparation de cyberattaques sophistiquées prendra quelques semaines ou mois, sauf si les préparatifs ont déjà été réalisés. Des actions à des fins stratégiques visant des infrastructures et services vitaux dans le but de paralyser la société sont ainsi probables avec pour cibles primaires l’électricité et les câbles sous-marins pour le transport des données dont nous sommes totalement dépendants. Dans ce cas, des attaques contre l’UE impacteront aussi la Suisse en raison de l’interconnexion des réseaux. Ces dernières années, la Russie s’est déjà “exercée” contre l’Ukraine, les USA et le réseau de distribution européen et divers alliés de la Russie pourraient intensifier les efforts de celle-ci et compliquer l’attribution de ces cyberattaques, entravant ainsi notre propre défense. Car sans identification claire de l’auteur, pas de contre-mesure possible.
• Chaînes d’approvisionnement – La perturbation croissante des flux complexes de l’économie mondiale conduira à un manque de ressources de base (métaux, pétrole, etc.) et de composants, entraînant une perturbation croissante de notre économie. Seront notamment impactés le remplacement ou la réparation de systèmes en panne ou ayant subi divers types d’attaques, dont celles cyber. Le fragile équilibre de notre économie “en flux tendu” sera fortement perturbé pendant une durée inconnue à ce stade.
• Atteinte contre la société et la démocratie – Rappelons-nous les élections aux USA avec des mouvements de type Q-Anon, aussi présents en Suisse. Rappelons-nous aussi la votation sur la loi COVID à fin 2021. Nous l’avons déjà écrit, la Suisse n’est pas à l’abri et personne ne sait ce que le cocktail “hausse des prix / privations + peur + désinformation” pourrait entraîner chez nous aussi. Dans ce contexte, il faut aussi craindre un possible effet boule de neige qui pourrait affecter d’autres régions du monde.

Que l’on ne vienne pas nous dire que ces développements ne sont pas réalistes! Depuis 1991, ceux qui ont désarmé notre Pays ont eu tort: la guerre et ses conséquences n’ont pas disparu du paysage de la politique européenne et mondiale et doivent demeurer partie intégrante de notre vocabulaire. La culture suisse en matière de politique de sécurité doit revenir à la réalité: le monde n’est pas une grande colonie de gentils Bisounours! Il y aura toujours des intérêts de puissance utilisés abusivement par des criminels prêts à presser sur le bouton…

Nous non plus ne savions pas ce qui allait se passer le 24 février 2022, mais chez digiVolution nous cultivons un sens profond de précaution et les recommandations de notre billet du 14 février étaient ainsi en phase avec la situation devenue entre-temps réelle. S’il n’est pas honteux de subir une attaque, quelle qu’elle soit, il est en revanche inacceptable de subir des dégâts qui auraient pu être évités par des mesures préconisées et répétées depuis longtemps par de nombreux professionnels. Rappelons que la négligence est un acte criminel puni pénalement par notre code pénal.

La Suisse est-elle prête aux développements probables exposés ci-dessus? La réponse est clairement non! Alors, en fonction de l’évolution de la situation, voici une mise à jour de nos recommandations:

• Les mesures préconisées dans notre billet du 14 février doivent être mises en œuvre sans plus attendre:  vérifier la liste des cyberrisques susceptibles d’impacter la marche des affaires et adapter les mesures decybersécurité en conséquence;  former le personnel à détecter et à réagir face à des actes cybermalveillants et aux perturbations qui pourraient s’ensuivre;  vérifier et entraîner le dispositif de gestion de crise. Au besoin digiVolution peut prêter main forte.
• Dans le cyberespace, un suivi permanent de l’évolution de la situation doit être réalisé et le renseignement ainsi gagné doit être distribué sans attendre à tous les décideurs. digiVolution construit en ce moment une solution qui sera annoncée lors des prochains SCSD.
• Les enseignements de cette première guerre de haute intensité au temps de l’hyperconnectivité doivent être tirés et concrétisés en continu. Se donner des années pour mettre en place un projet? C’est terminé. L’agilité doit être un fait et non plus un slogan vide. Chez digiVolution nous assurons une veille stratégique et partagerons volontiers nos observations pour aider les organisations à prendre les bonnes décisions.
• La milice est un moyen unique pour créer sans délai un successeur à feu le Régiment d’information 1 disparu à fin 2003. La Suisse doit enfin se donner les moyens d’analyser et de combattre en continu la propagande et la désinformation. Là aussi, digiVolution dispose dans ses cartons d’une solution qui devrait pouvoir être prochainement communiquée.
• Il faut d’urgence prendre acte des transformations profondes qu’entraînent la digitalisation et l’hyperconnexion. Quand on lit “Ueli Maurer will eine starke Armee“, de laquelle s’agit-il? Nous doutons que dans l’immédiat plus de blindés et d’artillerie soient la bonne réponse. Il est par ailleurs urgent d’adapter les mécanismes politiques qui, année après année, empêchent l’armée de se développer. L’initiative contre le F35 en étant le dernier avatar. On peut réduire les droits abusifs de recours contre le déploiement d’éoliennes et pas en matière de défense nationale? Et quid de notre base industrielle de défense?

Chers Lectrices et Lecteurs, nous aspirons tous à la paix et à un bonheur légitime, mais l’actualité nous a brutalement réveillés et montré un visage que beaucoup avaient voulu oublier. Il n’est plus l’heure de tergiverser et de remettre à demain ce que nous aurions dû faire depuis longtemps pour notre cybersécurité. Si nous avons pu mettre des milliards pour défendre les salaires durant le COVID, pourquoi ne pourrions pas mettre des moyens enfin à la hauteur des défis pour défendre nos entreprises et infrastructures menacées par d’autres virus…! Cela est urgent.

Nous nous permettons, une fois encore, de revenir sur nos remarques sur le Rapport de politique de sécurité du Conseil fédéral. Nous en sommes convaincus, les enjeux de la mutation digitale n’ont pas été compris.

Dans les années ’80, on disait de la Suisse qu’elle n’avait pas d’armée, mais quelle était une armée. Et si nous adaptions cette image aux nouveaux défis? Dans le cyberespace seule une société solide en profondeur, où toutes les mains, petites et grandes, font leur part, sera en mesure d’assurer sa protection et sa résilience, de maintenir la confiance et l’unité de ses citoyens et d’assumer sa souveraineté. Une “défense générale” – bien sûr revisitée – est l’affaire de tous.

Chez digiVolution nous militons, comme d’autres pour penser et construire une cybersécurité globale qui ne soit pas un simple accessoire de notre temps, mais la clé d’une mutation digitale réussie de notre société et pour passer d’une logique de réaction à celle de l’anticipation.

—————————-

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés, nous réjouissons de vous retrouver dans 15 jours.