Newsletter

Chers Lectrices et Lecteurs,

Nous avons le plaisir de vous adresser la 107^ème dVNews (01-2025) et sa sélection d’articles et liens avec un coup de rétroviseur sur 2024 et une tentative d’éclairage sur 2025 après une première quinzaine.

FROM 2024 …

L’année 2024 a vu la poursuite du bouleversement technologique dans un environnement géopolitique qui ne cesse de se dégrader. Passons en revue nos principales observations en cinq volets.

Une mutation numérique hors de contrôle

2024 n’aura pas apporté d’embellie en matière de souveraineté. La Suisse a certes enregistré quelques succès, mais elle continue d’être submergée par la mutation numérique, car elle ne maîtrise pas ses accents majeurs. Le rythme est donné par quelques acteurs dominants, principalement américains et chinois, qui empiètent largement dans la souveraineté des individus, des entreprises, de la Confédération et des cantons, tous systémiquement dépendants des « big tech ». La politique discute beaucoup, mais légifère mal, trop, et trop tard et sans compréhension globale.

La dernière Stratégie Suisse Numérique 2025, pourtant essentielle pour le pays, tient en 2½ pages et s’inspire d’une UE où se succèdent les crises politiques. Où est le génie helvétique ? Quid de la situation de départ, des objectifs à atteindre, des mesures et moyens à cet effet ? Quid de l’informatique quantique et de la conquête de l’espace par le numérique qui façonnent au quotidien notre futur ? Qu’attendre d’un plan d’action qui, en plus d’être une sorte de fourre-tout sans boussole, fait l’impasse sur les cantons et sur le plus gros projet d’infrastructure TIC à venir, le remplacement de Polycom ?   En matière de stratégies la Suisse pourrait s’inspirer de la Chine dont le plan «  Made in China 2025 » (MIC2025) a atteint la plupart de ses objectifs. Depuis 14 ans, la Suisse est le champion mondial de l’innovation – en bonne partie grâce aux entreprises étrangères – et c’est formidable. Mais alors que tout le monde parle de souveraineté, combien de développements stratégiques financés par nos institutions ont-ils été transformés en entreprises en mains suisses?

Des inégalités numériques croissantes

Comment exister dans une société numérique sans connaissances idoines ? Une culture numérique et de données est impérative et la Suisse dispose désormais de sa Charte suisse de littératie des données, un heureux début après que nos autorités, « visionnaires », aient enterré une motion réclamant une stratégie sur le sujet. Il faudra pourtant y revenir, car n’en déplaise aux optimistes, nous constatons au quotidien sur le terrain combien les Suisses surestiment leurs compétences en la matière. L’écart entre les véritables sachants et les simples consommateurs se creuse et à terme, des inégalités vont apparaître au sein de la société. Il est plus que temps de concevoir une éducation adaptée à la dynamique continue de la mutation numérique et qui offre aux individus de tous niveaux et de tous âges les moyens de vivre et de se développer dans cet environnement qui leur échappe toujours plus.

Les défis de la cybersécurité

Les informations trouvées en 2024, notamment en Allemagne,  indiquent que la facture des dégâts provoqués par les cybermenaces ne cesse de progresser. Ce sont désormais 4 à 6% de notre PIB qui sont happés par la cybersécurité, soit 5 à 8 fois le budget consacré à notre armée sans que personne ne réclame. Pourquoi ? Le rapport de fedpol montre que notre connaissance de la situation est fragmentaire, puisque seuls 15% des incidents seraient annoncés à la chaîne de poursuite pénale qui, selon d’autres sources, ne parviendrait à traiter que 15% de ceux-ci. Donc au total, on ne traiterait que 2.5% du total? Ces chiffres indiquent que notre société a perdu le contrôle et qu’une approche disruptive est impérative. Tout en renforçant bien entendu sans concessions les mesures existantes, nous devons agir avant que la facture ne devienne insupportable.

Se basant sur divers conflits, certains commentateurs persistent à promouvoir l’idée que la guerre dans le cyberespace est une illusion. Faux et irresponsable ! Il est évident qu’aucun type d’arme seul ne gagnera une guerre, mais il nous paraît urgent de réviser / étendre ce que l’on comprend par « guerre ». Dans les faits, des actions assimilables à la guerre ont lieu au quotidien, sans fusils ni canons, mais favorisées et encouragées par des États qui à la fin réussissent à nous conquérir sans boots on the ground. Et en matière d’attaques contre les infrastructures TIC, pas besoin de hacks sophistiqués ; il suffit de laisser traîner une ancre de bateau pour arracher quelques câbles ou interrompre l’approvisionnement en énergie.

IA : entre promesses et inquiétudes

Beaucoup d’énergie a été consacrée en 2024 aux deux faces de l’IA: celle qui fascine et celle qui effraye. Comment en effet garantir que l’IA ne serve que le progrès et ne provoque pas la fin de la vie sur Terre ? Le Secrétaire général de l’ONU lui-même le craint si on donnait à l’IA le contrôle d’armes nucléaires.

Après l’arrivée fracassante de ChatGPT, 2024 a semblé marquer un début de normalisation pour l’IA, un sujet qui dépasse totalement la quasi-totalité de nos concitoyens, décideurs et élus.

L’approche de l’UE qui distingue les domaines d’emploi de l’IA par leur criticité est pragmatique. Mais qu’attendre de la rhétorique de la politique européenne dont les principaux pays sont en quasi-faillite et restent totalement muets et impuissants devant les provocations et intentions du camp du Président élu Trump. Ils n’ont ni la puissance financière ni l’agilité pour concurrencer les géants de la tech qui accaparent toutes les idées et les entreprises pouvant servir leurs dessins sans égard pour la souveraineté des États.

La pénurie de personnel

En matière de personnel dans les métiers de l’IT, certains interprètent le récent petit recul des postes vacants comme une embellie. Mais une hirondelle ne fait pas le printemps et nos observations ne corroborent pas cet optimisme ! La conjoncture provoque-t-elle un ralentissement de l’embauche ? Quel est l’effet de l’attractivité de la Suisse et des récentes annonces d’OpenAI et d’Apple qui arrivent en Suisse ou de la dégradation de la situation au sein de l’UE ? Au vu de la casse qui croît d’année en année, le domaine du personnel au service de la protection cyber et informationnelle de la Suisse devrait revêtir une importance au moins aussi grande que dans le domaine militaire. Voici encore un domaine traité à la légère, laissé aux bons vouloirs du marché. Et c’est sans compter la place ridiculement faible des femmes dans ce domaine.

————-

Un bilan 2024 pessimiste ? Oui, car le fossé entre ce qui est fait et ce qui devrait l’être ne cesse de croître. Seule une minorité d’acteurs semble avoir compris les enjeux. Alors un grand MERCI à celles et ceux qui tout au long de l’année ont œuvré au profit de la cybersécurité. On sait combien vos métiers sont ingrats.

BOOKS & REPORTS

Ci-après nous, vous présentons la liste des publications d’intérêt découvertes lors de nos recherches. 

… TO 2025

2024 aura été mouvementée et il s’agira de tirer avantage d’incidents tels que la panne de CrowdStrike du 19 juillet et les « Blue Screens of Death ». Alors, reformulons la citation de George Orwell pour définir notre engagement en 2025: « Celui qui ne maîtrise pas ses données ne maîtrise pas son destin et d’autres s’en chargent à sa place ».

Nous avons essayé de décrire cinq développements susceptibles de caractériser 2025.

► Avec notamment Google et IBM, l’informatique quantique devient réalité avec de belles promesses pour la science grâce aux capacités potentielles de calcul. Mais cette puissance pourra  aussi être détournée pour briser la cryptographie actuellement utilisée. Il est donc plus urgent que jamais, avant que cette technologie arrive à maturité,  de suivre l’exemple des USA et d’investir dans la   crypto-graphie post-quantique. Et en Suisse nous avons la solution.

► La Suisse sera terre d’accueil en 2025 pour d’importants  événements sportifs, poli-tiques et culturels, dont le European Song Contest au mois de mai à Bâle et l’Eurooot féminin en juillet. Notre pays sera ainsi une cible pour ceux qui voudront profiter de cette vitrine mondiale pour faire passer leurs messages. La sécurité sera mise à rude épreuve.

► La situation  géopoliti-que restera tendue et impactera toujours plus les ressources et chaînes d’approvisionne-ment. L’énergie reviendra à l’agenda, notamment à cause de la fringale de l’IA, selon toute vraisemblance oubliée dans les calculs.

► La multiplication d’actes cybercrimi-nels poussera toujours plus d’entreprises et d’institutions à (enfin) investir dans la sécurité, avec espé-rond-le une approche à 360°.

► 2025 verra le lancement des CyberPatrouilleurs, un projet novateur qui sera soutiendra les efforts de la Suisse en matière de littératie numérique et des données. digiVolution en sera le porte-drapeau.

Voilà pour cette 107^ème édition. Nous espérons qu’elle vous a, encore une fois inspirés. Bonne découverte des articles et liens sélectionnés et surtout encore tous nos vœux pour 2025.

Merci de penser à soutenir notre travail.

Chers Lectrices et Lecteurs,

Nous avons le plaisir de vous adresser la 106^ème dVNews (15-2024) et sa sélection d’articles et liens avec désormais un rythme plus modéré, la masse de travail pour élaborer cette vue unique en Suisse sur les défis de la mutation numérique étant immense.

Sur quelle pente cyber et informationnelle se trouve le monde ? Que va-t-il se passer aux USA quand le président Trump sera aux commandes ? Une glissade vers une techno-oligarchie comme le redoutent certains ? Ou pas du tout ? L’IA est-elle le crépuscule de l’humanité ? Le nouveau gouvernement américain va-t-il abroger les quelques garde-fous péniblement arrachés à la big tech par l’administration Biden et laisser libre cours à l’IA ? Et à quand un ordinateur quantique qui menacera la protection des données ? La liste des incertitudes a rarement été aussi longue et les réponses sont contradictoires. Ami ou ennemi ? Positif ou négatif ? Vrai ou faux ?

Comment lever ces incertitudes alors que nous sommes au milieu d’un conflit informationnel permanent amplifié par deux phénomènes. Le premier est celui du mégaphone : chaque individu (dès le plus jeune âge), organisation ou groupe d’intérêt dispose de la capacité d’atteindre et d’influencer des millions de personnes. Le second est l’éducation : il est bien plus facile d’influencer une personne ignorante des faits et de jouer sur ses émotions, surtout dans une société qui perd ses racines et sa culture. Et le peu de temps restant est accaparé par une addiction désormais quasi irréversible aux contenus digitaux façonnés par des armées d’experts en captologie au service des big tech.

L’UE a créé en 2017 à Helsinki le Centre d’excellence européen pour la lutte contre les menaces hybrides. La guerre hybride y est définie en tant que concept complexe et multidimensionnel combinant une variété d’approches militaires et non militaires pour atteindre des objectifs stratégiques et incluant l’utilisation combinée de méthodes conventionnelles et non conventionnelles, ainsi que d’outils politiques, économiques, informationnels et juridiques. Son rapport de 2021, The Landscape of Hybrid Threats, montre que ces actions sont difficiles à détecter, à attribuer et à combattre, qu’elles évoluent dans une zone grise où se brouillent les dichotomies habituelles ami / ennemi, légal / illégal, guerre / paix, bon / méchant,  etc. fruits de la combinaison de moyens tels que la désinformation, l’influence ou les cyberattaques.

Menace hybride, une expression fourre-tout qui n’est pas si différente des pratiques qui régnaient lors des guerres napoléoniennes. Depuis, ce sont surtout les outils qui ont changé et avec le cyberespace et l’accélération induite par l’IA, l’influence, le mensonge, la manipulation deviennent une norme. Une grande partie de tout cela, ce ne sont que des opérations d’information qui se déroulent au quotidien déjà, à l’insu de la quasi-totalité de la population. En 1999 déjà, les Chinois disaient la même chose avec leur concept de « Unrestricted Warfare », mais la Suisse n’a pas écouté. Trop révolutionnaire, pas assez militaire et pas assez d’acier ! Aujourd’hui encore notre pays a de la peine à comprendre et à admettre que nous sommes au milieu d’un conflit informationnel et que les batailles qui se passent à l’échelle mondiale ne l’épargnent pas.

À l’heure où la situation générale ne cesse de se compliquer et de se dégrader, qui soutient nos entreprises face à ce défi ? Qui veille et les aide à lever ces incertitudes et à établir des analyses de risque dignes de ce nom ?

Chez digiVolution nous avons les réponses.

Rire c’est bon pour la santé

Un développeur meurt et arrive au paradis. Saint-Pierre l’accueille et lui dit : « Bienvenue ! Ici, on te laisse choisir entre le paradis et l’enfer. » Le développeur répond « Hum… y’aurait pas une démo pour que je me fasse une idée ? ».

Saint-Pierre hoche la tête, appuie sur un bouton, et hop le développeur est téléporté en enfer pour un petit tour. Là-bas, il voit des plages, des cocktails, des ordinateurs super performants, bref, tout le matos de rêve pour coder en paix. Ensuite, il est renvoyé au paradis pour visiter : des nuages, des harpes… mais pas un seul clavier en vue. Le développeur revient et dit :
« Bon, je choisis l’enfer. Clairement, ça avait l’air plus cool ! ».

Saint-Pierre appuie sur un autre bouton et bam, le développeur se retrouve dans un enfer brûlant, entouré de flammes, avec des bugs qui surgissent de partout.

Choqué, il crie à Saint-Pierre : « Mais… où sont les plages et les ordinateurs ? » Saint-Pierre sourit et répond : « Ah, ça ? C’était la démo. En prod, c’est autre chose ».

BOOKS & REPORTS

Ci-après nous, vous présentons la liste des publications d’intérêt découvertes lors de nos recherches. 

Merci de penser à soutenir notre travail.

ACTUALITES

► Nouvelle présidente à la tête de l’asut – L’association suisse des télécommunications a élu sa nouvelle présidente, la conseillère nationale Judith Bellaiche. Bravo à elle pour cette nomination et un gros coup de chapeau à Peter Grütter pour ses 12 ans de conduite énergique et éclairée.

► Cyberspace Solarium Commission – Qui connaît cette commission et ses travaux? Certains argumenteront que le rapport (et son résumé) datent déjà de 2020, mais compte tenu de ce qu’il propose, ce travail est de première actualité. Il montre une fois encore pourquoi les Américains sont en pole position et met douloureusement en évidence le retard inexcusable de la Suisse. Depuis sa création, digiVolution montre le coût de la cybermalveillance pour la Suisse : plus de 5% de son PIB. Et que faisons-nous ? On attend. La commission Solarium préconise une approche de la cybersécurité basée sur la cyberdissuasion multicouches. L’état final recherché est une réduction de la probabilité et de l’impact des cyberattaques ayant des conséquences significatives. La stratégie présente trois moyens: 1. Promouvoir à tous les niveaux un comportement responsable dans le cyberespace.  2. Refuser aux adversaires qu’ils puissent exploiter le cyberespace à leur avantage et donc sécuriser le cyberécosystème et accroître sa résilience. 3. Imposer aux cyberattaquants des coûts significatifs. Et si on se laissait inspirer par ces travaux ?

► Bye bye X – Depuis le rachat de Twitter par Elon Musk, tout a changé. Nom, logo, stratégie, règles… 80% du personnel a été mis à la porte, dont une partie substantielle des équipes en charge de la modération des contenus. Le petit oiseau bleu a disparu et il ne se passe plus un jour sans l’annonce d’un départ d’utilisateurs mécontents (Xodus ou Xit), un phénomène que Musk qualifie d’insignifiant. Acheté 44 milliards $, X n’en vaudrait plus que 9. Pour Musk dont la fortune est au moins 10 fois plus grande, cela ne semble pas le faire suer. Des pertes certes, mais un instrument qui aura été stratégique lors de la récente élection présidentielle. Donc un bon investissement ? Était-ce l’intention lors du rachat en avril 2022 ? La question du jour est « quel sera l’impact de la libération de la parole » que promeuvent MM. Trump et Musk ? La liberté d’expression au-dessus de tout ? Le panorama ci-dessous (intéressant malgré les erreurs qu’il comporte) va-t-il significativement changer ? Et avec quel effet sur le quotidien des gens ? Pendant ce temps en Suisse… le DETEC réfléchi à la manière de réguler ces plateformes en s’inspirant d’une UE accusée de trop réguler et de tuer le business. Mission impossible ? Dans tous les cas un exemple supplémentaire ou la Confédération montre une absence stupéfiante de vision stratégique, car cela fait 20 ans que Facebook pose des problèmes et qu’a-t-on fait jusqu’ici qui ait un impact positif pour la population et les entreprises Suisse ?

► Toolkit de ICT4Peace – Des « Boots on the Ground » aux « Bytes in Cyberspace » selon le slogan de ICT4Peace qui présente une importante boîte à outils sur l’utilisation des technologies par les entreprises de sécurité privées pour naviguer dans le paysage complexe des TIC et leur impact sur les droits de l’homme. Le Toolkit se compose de 12 outils interconnectés, mais indépendants, chacun traitant d’un aspect spécifique de l’utilisation des TIC dans le secteur de la sécurité privée.

► XPLAIN – Après le hack mémorable de 2023 où de nombreuses données des pouvoirs publics (police et armée y compris) ont été dérobées, l’entreprise bernoise XPlain passe en mains allemandes. Vous avez dit « sensible » ?

►Livre blanc de l’OSINT – Non, en matière de renseignement en source ouverte on ne peut pas faire n’importe quoi. Un livre blanc du cadre légal de l’OSINT le rappelle. Pour les Suisses, il faut adapter à notre contexte pas différent de celui de l’UE en matière de protection des données.

Voilà pour cette 106^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré et vous souhaitons une enrichissante découverte des articles et liens sélectionnés.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs,

Nous avons le plaisir de vous adresser la 105^ème dVNews (14-2024) et sa sélection d’articles et liens. Tous nos regrets pour n’avoir pas pu vous revenir plus vite, mais comme vous le découvrirez, cette édition compense par sa richesse.

En 2010, le monde découvrait que l’Iran était la cible d’une opération baptisée ensuite OLYMPIC GAMES et que divers auteurs attribuent aux services israéliens et américains. STUXNET, un ver qualifié alors de première cyberarme, en fut l’instrument. Les preuves publiques formelles manquent encore, mais les articles sur le sujet admettent que l’objectif de l’opération était de saboter les centrifugeuses servant à l’enrichissement de l’uranium pour retarder le programme d’armement nucléaire iranien. STUXNET venait ainsi d’illustrer les liens directs entre le monde physique et le monde virtuel.

Les attaques contre le Hezbollah au moyen des pagers et des talkie walkies les 17 et 18 septembre 2024 s’inscrivent dans une logique similaire. Comme en 2010, Israël laisse également planer le doute quant aux auteurs et à leurs méthodes.

De fait il s’agit là d’une opération d’information dont le but est de briser le commandement de l’ennemi. Cette ligne d’opération offre un avantage clé : le temps. Elle peut en effet commencer en période de paix, par exemple en matière de dissuasion et d’influence, rester sous le seuil de la guerre, par exemple avec des cyberattaques dont l’intensité ne justifie pas une réaction militaire, puis se prolonger durant la guerre.

Nombreux sont les pays qui ont compris l’importance de la dimension informationnelle (au sens large) et disposent d’une doctrine pour les opérations d’information. De manière très résumée, cette doctrine repose sur trois piliers : des effets dans le cyberespace, dans la sphère informationnelle (guerre d’influence / guerre cognitive) et dans la sphère électromagnétique. Plus rares sont les pays qui possèdent de vrais moyens dans ces trois dimensions et de la capacité à les synchroniser avec les autres lignes d’opération, air, terre, mer, espace.

Il ne nous appartient pas de qualifier les opérations israéliennes contre le Hamas et le Hezbollah depuis le confort de notre pays qui vit en paix depuis 177 ans et dont la dernière guerre du Sonderbund a duré 23 jours et aurait fait 93 morts et 510 blessés. Force est cependant de constater que dans le conflit qui déchire le Proche-Orient, les opérations israéliennes « cochent » toutes les cases des opérations d’information.

OUI, le cyberespace tue !

Ne nous laissons pas gagner par la tentation des spéculations et concentrons-nous sur notre niveau. Comme avec STUXNET, les attaques contre le Hezbollah ont emprunté les chemins complexes,  souvent non considérés et/ou non maîtrisés des chaînes d’approvisionnement. Quelles en sont les conséquences ? Quelles possibilités ces opérations ouvrent-elles et suggèrent-elles à l’ensemble des acteurs de la menace en recherche permanente d’idées alors que nos défenseurs peinent déjà à suivre ? Les IoT / OT représentent-ils un vecteur d’attaque possible? Si oui, qui doit s’en prémunir et comment ? Nous entendons trop de dénégations et d’avis isolés fondés sur aucune analyse sérieuse des risques. Ces événements vont-ils, comme l’affaire CrowdStrike du 19 juillet 2024 et les millions d’écrans bleus, disparaître dans l’oubli ? D’ailleurs, qui se souvient des BSoD ? Qui en a tiré des leçons et pris des mesures concrètes ? En Suisse, sommes-nous équipés pour nous défendre dans la sphère informationnelle ? Nos moyens en matière de cybersécurité et de cyberdéfense sont-ils à la hauteur des enjeux ? Nous parlons ici du pays dans son ensemble dont personne ne semble connaître le réel degré de maturité face à ces phénomènes.

Voici encore un domaine où une cartographie digne de ce nom serait essentielle pour savoir où notre pays doit vraiment investir dans sa défense.

Merci de penser à soutenir notre travail.

BOOKS & REPORTS

Ci-après nous, vous présentons la liste des publications d’intérêt découvertes lors de nos recherches. Un résumé et leurs coordonnées sont disponibles sur dVPedia.

ACTUALITES

► La désinformation sous un angle historique – Les guerres de religion qui ont ravagé l’Europe dans le sillage de la révolution de l’imprimerie suggèrent que la révolution numérique pourrait alimenter la violence à une échelle similaire dans les années et les décennies à venir. La vitesse et l’échelle inédites de la diffusion et de la manipulation de l’information peuvent cependant provoquer des désordres globaux beaucoup plus rapidement que par le passé. L’attaque du Capitole en janvier 2021, attisée par de fausses histoires dans les médias sociaux au sujet des élections américaines de 2020, ou encore les récentes émeutes en Grande-Bretagne n’en sont que les signes précurseurs. Il ne se passe pas une semaine sans un nouveau rapport alarmiste et des exemples en matière de manipulation et d’influence. La guerre cognitive a largement débuté et la myopie historique de l’industrie technologique pourrait s’avérer être son plus grand crime. C’est en tout cas la réflexion que suggère un article qui a le mérite de poser la question tout en rappelant aussi une célèbre phrase d’Abraham Lincoln : « Vous pouvez tromper une partie du peuple tout le temps, et tout le peuple une partie du temps, mais vous ne pouvez pas tromper tout le peuple tout le temps ».

► Subsidiarité – En matière de lutte contre les cyberincidents, le Conseil fédéral souhaite un appui subsidiaire facilité des moyens de l’armée au profit de l’Office fédéral de la cybersécurité OFCS. Est-ce une bonne chose ? Sans aucun doute, à la condition que cela ne soit pas une excuse pour ne pas donner à l’OFCS les moyens dont il a un urgent besoin. Il s’agit aussi de rester réaliste quant aux tâches qui peuvent être réellement confiées aux spécialistes de l’armée. Ce qui interpelle, c’est le délai de 2026 pour proposer une solution. Faudra-t-il encore 2 ans pour la concrétiser ? À part cette contradiction, nous encourageons vivement la lecture de ce document que l’on peut qualifier d’unique pour deux raisons. Tout d’abord il représente un travail important et très bienvenu d’explication de ce qu’est la subsidiarité. Ensuite, il est une lecture impérative pour comprendre de quelles instances dispose la Confédération en matière de cybersécurité.

Dans ce sens il est intéressant de revenir sur le discours de la Présidente de la Confédération lors de la Conférence nationale sur la cybersécurité le 26 septembre dernier à Berne. À l’évidence, l’importance de la cybersécurité est comprise dans les plus hautes sphères. Nos incessantes observations et questions montrent cependant l’espace d’amélioration considérable qui subsiste entre les discours et les actes concrets…

► JO de Paris – dVCyberGroup, société opérationnelle de la fondation digiVolution a eu la chance d’être mandatée pour contribuer à cette immense manifestation qui a déjoué quasiment tous les pronostics cataclysmiques. Certains estimeront peut-être que les rapports officiels ont embelli la situation ? Notre expérience confirme cependant le bilan sécuritaire positif des Jeux. Ce résultat est explicable.

► Les précautions d’usage ont été prises. Gestion des risques, mesures de sécurité prises et contrôlées, gestion de crise en place et entraînée, monitoring et appréciation permanents de la situation (en clair : renseignement à 360°). Il n’en fallait pas plus pour que les cyberassaillants se cassent les dents sur un noyau trop solide et qu’ils reportent leurs attaques sur des cibles plus accessibles, c’est-à-dire la chaîne d’approvisionnement. Mais ces actions, par ailleurs non rentables pour les agresseurs, ont eu un faible impact et n’ont pas porté un préjudice significatif aux Jeux. Seules les statistiques nationales pourront cependant dire si les criminels ont profité que les services de l’État soient absorbés par les JO pour pousser leurs pions ailleurs.

► Les assaillants avec des objectifs politiques étaient occupés ailleurs. Les acteurs de la menace russes certainement fâchés par l’exclusion de leur pays des JO sont en effet aux prises avec une guerre dont les enjeux sont tout autre. Avec la guerre au Moyen-Orient, les acteurs de la menace qui auraient pu profiter de l’événement pour répéter le coup de Munich de 1972 avaient aussi d’autres priorités.

Un mélange de compétences, de mesures réellement prises et d’opportunisme a donc permis à la grande fête du sport de bien se dérouler. Il serait cependant erroné d’en déduire une règle absolue, car les prochains jeux en Italie en 2026, aux USA en 2028 et en France en 2030 auront tous des conditions différentes. Paris a montré la voie à prendre en matière de cybersécurité et il faut espérer que la Suisse sera à la hauteur pour l’Eurovision en mai 2025. Car ne nous méprenons pas, l’European Song Contest est aussi une manifestation géante qui sera aussi dans le collimateur de différents acteurs malveillants.

À l’avenir il s’agira cependant aussi de cesser d’annoncer des chiffres fantastiques de milliards d’attaques. Car un ping n’est pas une cyberattaque. Et quand un voleur observe la page web d’une banque, ce n’est pas encore un braquage…

► Telegram – Comment interpréter l’arrestation de Pavel Durov et les charges qui pèsent sur lui. Coup d’arrêt bienvenu aux comportements de cowboy de certains patrons de société de la tech qui donnent aux criminels des armes qu’ils ne devraient pas avoir tout en ne collaborant pas (assez) avec les autorités légitimes des États ? Mais si on arrête Durov, que fait-on alors des Musk, Pichai et Zuckerberg dont les sociétés ne cessent d’être accusées et condamnées pour ne pas respecter les règles ? Cette arrestation est-elle au contraire une gigantesque erreur et une attaque inadmissible contre la liberté d’expression et la sphère privée ? Comme toujours, la vérité est au centre et dans tous les cas, la souveraineté de l’État ne saurait être remise en cause. En Suisse aussi une clarification serait la bienvenue, car nous avons aussi des champions tels que Proton, Sharekey ou Threema, dont les services sont essentiels et doivent être promus et protégés.

► Politique énergétique – Le graphique qui suit (STATISTA) présente la quantité de données créées, capturées, copiées et consommées dans le monde de 2010 à 2020 et les prévisions jusqu’en 2025, le tout exprimé en zettabyte qu’une animation peut rendre accessible, mais attention, le graphique parle lui de 181 ZB ! Certains milieux aiment fustiger le transport aérien, mais qu’en est-il vraiment du numérique en termes de consommation de ressources naturelles et d’énergie ? La stratégie suisse votée en 2015 tient-elle compte de cette évolution, notamment depuis l’explosion de l’usage grand public de l’IA à fin 2022 ? Quel impact sur l’économie suisse dès lors que certaines pénuries vont immanquablement être exacerbées par notre frénésie technologique ? L’absence (visible) de vision politique, d’anticipation et de prospective sur ces thèmes en Suisse interpelle. Pourtant toutes les données sont disponibles, même le fait que Microsoft envisage de relancer un réacteur nucléaire à Three Mile Island et que la tempête Helene de fin septembre envoie encore des ondes de choc dans l’industrie des semi-conducteurs après avoir provoqué une rupture de l’approvisionnement de sable de quartz. Car pour faire des composants électroniques, il faut du silicium… Un exemple de l’indispensable vue systémique qui manque à une majorité de décideurs.

► Divers aux USA – On pourrait écrire un roman sur les multiples attaques dont souffrent les USA en lien avec l’élection présidentielle, notamment au travers des médias sociaux. Pour l’instant, contentons-nous d’observer, les techniques, tactiques et procédures (TTP’s) des attaquants qui trouveront tôt ou tard le chemin de l’Europe et de la Suisse. Dans ce cadre, Russes et Iraniens jouent un rôle considérable. Les premiers sont déjà connus en Suisse et nous serions bien inspirés de ne pas sous-estimer les seconds. On ne le dit pas assez – surtout on n’agit pas assez – les menaces pour la démocratie et la culture occidentale sont immenses.

Le FBI a annoncé avoir déjoué d’importantes attaques chinoises visant les infrastructures critiques alors que les grues d’origine chinoise équipant les ports maritimes sont accusées de disposer de portes dérobées et que les universités commencent à s’inquiéter quant à certains étudiants qui aident la Chine à contourner par la voie académique, les restrictions imposées pour des raisons de sécurité nationale. Nouveau ? Absolument pas, mais la même question revient de façon insistante: que fait-on chez nous de ces observations ? Doit-on, pour enfin agir, répéter les mêmes erreurs ?

La Maison Blanche vient par ailleurs de publier un projet pour interdire les logiciels chinois dans les voitures. Lubie protectionniste américaine ? Non, si on se base sur les nombreux cas que nous avons aussi rapportés dans de précédentes éditions de cette newsletter.

Voilà pour cette 105^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré et vous souhaitons une enrichissante découverte des articles et liens sélectionnés

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs,

Nous avons le plaisir de vous adresser la 104^ème dVNews (13-2024) et sa sélection d’articles et liens. Vous nous avez manqué… mais nous avions aussi besoin de vacances et les JO de Paris nous ont beaucoup occupés.

La tech sera un des enjeux majeurs de l’élection américaine, avec des intérêts divergents, entre une tendance régulatrice du côté des Démocrates et libérale chez les Républicains. Trop réguler ou peu réguler, telle est la question ! Depuis sa création, digiVolution ne cesse d’attirer l’attention sur les conséquences des cyberpannes potentiellement systémiques. Qu’elles soient intentionnelles ou pas n’est pas le plus important.  Le BSoD (Blue Screen of Death) provoqué par la mise à jour ratée de CrowdStrike le 19 juillet et la panne du 30 juillet lorsque Microsoft s’est loupé dans la défense contre une attaque DDoS doivent nous interpeller.

Comment peut-on tolérer une situation où, à l’échelle mondiale, un petit bout de code et un processus de développement mal gérés interrompent des services bancaires, cloue au sol près de 6’000 vols, met hors ligne un nombre incalculable de services d’information, rende inopérants des centres d’appels d’urgences pour ne nommer que quelques conséquences. Les 8.5 millions de systèmes considérés comme touchés ne sont que ceux qui ont annoncé une panne à Microsoft. Combien ne l’ont pas fait et ainsi quel est le véritable impact de cette crise ? Un producteur de software peut-il se cacher derrière un article dans des conditions générales (ont-elles été lues ?) disant « ne doit pas être engagé dans des processus critiques » ? Une entreprise / infrastructure critique peut-elle être tenue responsable d’avoir mis des personnes / des intérêts / provoqué des pertes et des dégâts divers pour n’avoir pas tenu compte de cette condition ? Peut-on accepter que des services essentiels intègrent en leur cœur des processus automatisés qui, en cas de panne, peuvent les mettre à terre ? Pourquoi tout ça ? Parce que l’on continue à économiser sur le dos de la sécurité. Quelle catastrophe faudra-t-il pour qu’enfin les standards de sécurité soient effectivement et intelligemment mis en œuvre ? Il y a un moment où le libéralisme doit s’effacer et où l’irresponsabilité et la négligence doivent être sanctionnées, comme l’exigence le code pénal (art. 12 al. 3 CP).

Au-delà de l’indisponibilité des services et de l’opportunité pour certains criminels de profiter de l’aubaine, il faut maintenant aussi considérer cette situation comme le révélateur d’une violation ou d’un abandon grave de la souveraineté des acteurs touchés. Ont-ils connaissance de leur dépendance réelle par rapport à leurs fournisseurs IT ? À l’évidence, non. Conséquences ?

Le coup de semonce doit être entendu et une analyse de cette situation est IMPERATIVE en fonction de la criticité du service délivré. Espérons que le Parlement passera dès que possible une motion pour imposer une analyse nationale de ce risque et qu’il en découle des responsabilités et obligations claires à l’adresse de l’ensemble des acteurs de la chaîne de valeur / d’approvisionnement.

Merci de penser à soutenir notre travail.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

ACTUALITES

► PQC ou Post Quantum Cryptography – Depuis la création de digiVolution, nous ne cessons d’alarmer sur l’avènement des ordinateurs quantiques qui disposeront prochainement (2, 4, 10 ans ? les experts ne sont pas d’accord) d’une telle capacité de calcul, qu’ils pourront casser tous les algorithmes de chiffrage actuellement utilisés. Sont menacés non seulement les contenus / fichiers (y.c. ceux volés hier et aujourd’hui), mais également les réseaux, notamment le petit « s » du « https ». Quiconque disposera d’un ordinateur quantique pourra se balader librement et faire des dégâts dans toute infrastructure IT non protégée avec un PQC (ou plutôt une QRC – quantum resistant cryptography). Aux USA, le National Institute of Standards and Technology (NIST) vient de publier trois normes de chiffrement post-quantique. Le 21 décembre 2022, le Président Biden a promulgué la Loi sur la préparation à la cybersécurité de l’informatique quantique. Aux USA la migration démarre. Et en Suisse ? Avons-nous au moins une analyse des risques ? Et qui sait que nous avons une entreprise à la pointe et dont les solutions opérationnelles vont au-delà des exigences du NIST sans impacter les performances ?

► Désinformation – Dans notre société de la data et de la communication, la tentative d’assassinat contre Donald Trump a produit cette image désormais iconique, déjà comparée à celle d’Ivo Jima lors de la Guerre du Pacifique.

Quasiment annoncé comme facile vainqueur en novembre prochain, un mois plus tard, le candidat Trump mesure certainement déjà amèrement les effets de la campagne des Démocrates sur le thème « weird ». Quelles leçons tirer ? La volatilité des opinions qui reposent sur des bases toujours plus émotionnelles et simplistes et plus élevée que jamais. La course à l’élection risque fort d’être tumultueuse et marquée par de nombreux dérapages qu’attisent déjà certains acteurs étrangers. Et comme on vient de le voir avec les émeutes en Grande-Bretagne, manipuler les foules déjà chauffées à blanc par des années de frustration est facile.

► Budget 2025 de l’OFCS – Avec son budget de 16.1 Mio CHF (1.5 Mio de plus qu’en 2024), l’Office fédéral de la cybersécurité pèsera… 18 fois moins que le sport et ses 303 mio CHF. On parle pourtant ici de la sécurité du pays et de toutes nos activités totalement dépendantes du numérique ! Comment sont établies les priorités ?

► NIS2 – Network and Information Security – Le 25 juin, nous avons eu le privilège de participer à Vienne chez Die Presse, l’équivalent autrichien de notre NZZ, à un débat autour de la nouvelle loi européenne sur la sécurité des systèmes d’information. En résumé : maintenant on ne rigole plus et il est plus que l’heure pour les entreprises suisses, que cela plaise ou non, de prendre connaissance de ces nouvelles règles qui les concernent aussi dès lors qu’elles interagissent avec des partenaires et clients européens.

La prochaine fois, nous vous parlerons des JO de Paris auxquels nous avons contribué. Sans trahir de secrets d’affaires, il s’agira de tirer les enseignements de cette méga-manifestation. Nous aurions pu le faire à chaud, mais voulons rester au niveau stratégique sans nous laisser influencer par les manchettes de la presse. Prenons le recul nécessaire.

Voilà pour cette 104^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré et vous souhaitons aussi une enrichissante découverte des articles et liens sélectionnés.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs,

Nous avons le plaisir de vous adresser notre 103^ème dV-News (12-2024) et leur sélection d’articles et liens.

Depuis sa création, digiVolution ne cesse d’attirer l’attention sur la problématique du personnel dans des métiers désormais vitaux pour le fonctionnement de notre société numérique.

L’institution qui possède les chiffres les plus à jour dans ce domaine est ICT Formation professionnelle Suisse, l’organisation nationale du monde du travail dans les technologies de l’information et de la communication.

Cette association nous dit depuis 2022 que d’ici 2030, notre pays aura besoin de 120’000 nouveaux professionnels, autant pour combler les départs naturels tels que les retraites et réorientations professionnelles, que pour répondre à l’augmentation des besoins provoqués par la numérisation.

Mais pendant que notre système de formation formera 40’000 personnes, on espère en attirer autant de l’étranger grâce aux avantages (durables?) de notre marché du travail et il en manquera encore autant. Comme le montre un nombre croissant de documents sur le sujet, la Suisse n’est pas seule dans cette situation. Les USA sont même à la recherche de 500’000 personnes en matière de cybersécurité et l’UE vit une situation comparable avec une estimation en 2022 de 260’000 à 500’000 professionnels manquants. Pour la Suisse, recruter du personnel à l’étranger risque donc de se compliquer. En 2030, le déficit risque même fort d’être plus important qu’imaginé. Et pour les PME, il faut encore compter avec la concurrence de la main publique.

Les chiffres disponibles tiennent-ils par ailleurs compte des nombreux postes « non IT » qui sont néanmoins au centre des produits, des services et de l’innovation des entreprises? Quid des métiers transversaux de l’information qui se développent à un rythme soutenu et des effets du vieillissement de la société pour ne nommer que deux sujets clés? La vision systémique manque dans ce domaine de compétence pourtant vital pour la société, au même titre que pour notre approvisionnement électrique.

La pénurie de personnel dans ce domaine entraînera des conséquences toujours plus lourdes pour les entreprises et l’État en matière de leur capacité de travail et d’innovation. La dépendance aux prestataires technologiques va en outre considérablement affaiblir leur souveraineté. Et en bout de chaîne, qui assurera la sécurité de notre société numérique?

Dans la discussion, il est souvent question de « talents ». De notre point de vue, il est erroné d’utiliser ce terme et c’est pourquoi nous avons mis un point d’interrogation dans le titre de ce billet.

Nous estimons en effet que ce terme nous oriente dans la mauvaise direction. Nous aurons certes toujours besoin de quelques petits génies, mais ce ne sont pas d’individualistes dont nous avons besoin, mais d’équipes et d’un système sociétal fonctionnel. C’est toute la Suisse qui doit être talentueuse. Conformément à la vision de digiVolution d’une cyberdéfense du pays dans la profondeur.

Ce ne sont en effet pas quelques talents individuels qui réduiront durablement notre déficit croissant et ce n’est pas non plus à la branche ICT de supporter la responsabilité de tout le fardeau. Tout comme pour les métiers de la santé, la Suisse a besoin d’une stratégie vécue pour maîtriser sa pénurie de compétences numériques et l’équation comprend de nombreuses variables comme illustrer simplement ci-dessous.

Les quelques initiatives en cours sont toutes louables, mais même leur somme ne fait que d’égratigner le sujet. Faire écrire quelques lignes de code aux écoliers ne réglera pas le problème. Nous devons bâtir une culture et une littératie numériques et sortir de la logique d’attrition où nous ne faisons que répondre aux problèmes par des solutions linéaires. Le problème a été identifié il y a 25 ans et aucune des mesures prises n’a réussi à l’enrayer. Donc il est temps de changer de méthode. Et ne pas oublier que tout notre potentiel économique est dépendant de notre infrastructure numérique…

► dVPedia se présente – Le 25 juin, nous avons eu l’immense plaisir d’être reçus par Delphine Seitiée – Secrétaire générale de alp ict, la plateforme de mise en réseau et de promotion du numérique en Suisse occidentale, pour y présenter dVPedia. Nous avons renforcé et simplifié notre cybersuite qui ne compte désormais qu’une seule version et un unique type d’abonnement mensuel ou annuel modeste.

Merci de penser à soutenir notre travail.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

ACTUALITES

► La plaie de la désinformation – Aujourd’hui, où que porte le regard, on risque de rencontrer des informations manipulées et l‘ONU appelle à des actions contre la désinformation et les discours de haine. Aux USA, le nombre de sites internet propageant de la désinformation a dépassé celui des sites considérés comme étant de confiance. La tentative d’assassinat de Donald Trump risque désormais de contribuer à augmenter une température électorale déjà élevée alors que toutes sortes de théories complotistes et d’appel à la violence risquent de fleurir. En Europe, les élections, l’Euro 2024 de football et les Jeux Olympiques sont des occasions rêvées pour les adversaires et concurrents stratégiques de l’UE pour tenter d’affaiblir son unité et profiter des audiences planétaires de ces événements. De nombreux cas ont déjà été relevés et les USA ont offert leur aide à la France pour les JO. En France, le Ministère des Armées a publié un guide contre la désinformation. Pour conclure ce sujet, nous recommandons la boussole de vérification des faits de l’UE qui permet de poser les bonnes questions et de vérifier la fiabilité d’une information.

Version française

► Politique suisse – Durant le mois écoulé, l’activité au niveau de la Confédération aura été dense et nous avons retenu en particulier trois publications. • Le rapport 2023 sur la cybersécurité au sein de l’administration fédérale : ce document met en évidence une longue litanie d’améliorations à réaliser et de failles importantes notamment en matière de conformité, dans la gouvernance des données et dans les relations commerciales avec les partenaires externes. La Confédération parviendra-t-elle une fois à une situation satisfaisante? • Le rapport sur la lutte contre la cybercriminalité en Suisse : là également, la situation rapportée présente une situation alarmante dans la chaîne de poursuite pénale en raison de ressources insuffisantes, de dysfonctionnements ou de lacunes en matière de bases légales notamment. • Le rapport sur les activités d’influence et de désinformation : nous estimons ce rapport décevant et ses conclusions naïves. En effet, les phénomènes observés (voir le point précédent de ce billet) depuis plus de 20 ans montrent que l’information est plus que jamais une arme stratégique et que ce n’est pas en faisant un peu d’analyse et de coordination qu’on parviendra à s’y opposer.

Enfin, pour tous ceux qui s’y intéressent, relevons la mise en consultation de deux textes importants. • L’ordonnance sur la cybersécurité (jusqu’au 13 septembre). • Le rapport explicatif sur le projet de communication mobile sécurisée (jusqu’au 24 octobre) avec la modification de la Loi fédérale sur la protection de la population et sur la protection civile pour ancrer le principe général de gouvernance du projet et la répartition des coûts entre la Confédération et les cantons.

► Régulation de l’IA – Durant le mois écoulé la discussion n’a pas faibli. Loin de là.   Pour le législateur, réguler un domaine qu’il ne comprend pas et/ou ne maîtrise pas est d’une grande complexité. Le 13 juin, l’UE a publié ses règles sur l’IA, fruit de nombreux compromis et qui semble plutôt bien reçu alors que le projet de loi en Californie, calqué sur les intentions de Washington, que le candidat Trump a déjà promis d’annuler, a provoqué l’ire de la Silicon Valley. En Suisse, un texte est attendu pour la fin de l’année, mais la SWICO, l’association des entreprises du numérique a déjà signalé s’opposer fermement à toute forme de régulation technique. Ces différentes positions permettent d’illustrer les principaux fronts avec lesquels il faudra composer : • le front du libéralisme et d’une confiance sans limites dans la technologie et les capacités de l’industrie à agir de manière responsable ; les expériences négatives sans cesse répétées avec les géants de la tech devraient pourtant inciter à la prudence ; • le front de la peur conduisant à vouloir tout contrôler étroitement. À l’évidence il faudra trouver un chemin intermédiaire entre ange et diable…!  

Voilà pour cette 103^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré et vous souhaitons aussi une enrichissante découverte des articles et liens sélectionnés.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs,

Nous avons le plaisir de vous adresser notre 102^ème dV-News (11-2024) et leur sélection d’articles et liens.

«Mind the gap between the train and the platform» est une phrase bien connue des familiers du métro londonien. «Mind your co-pilot» est la mise en garde que tous devraient désormais maîtriser par rapport à notre infrastructure IT. Un avertissement né d’un incident vécu. Certains diront « on le savait» alors que d’autres se moqueront. Après on est toujours plus intelligent, c’est bien connu. Expérimenter personnellement un tel incident prend cependant une tout autre dimension. Croyez-nous !

Le 29 mai dernier, de retour d’un rendez-vous, une équipe de digiVolution fut dépassée sur l’autoroute par un automobiliste disons… indélicat. Dans notre véhicule, la réaction du conducteur (romand) fut une série de qualificatifs fleuris dont l’élégance n’était pas le souci premier. Notre voiture dit alors «que puis-je faire pour vous?». La réponse à fusé «toi, je ne t’ai rien demandé». Et la voiture de répondre, «très bien, je me tais».

Après un fou rire généralisé, nous avons pris la mesure de l’incident et sommes passés rapidement en mode «pas content du tout». Bien sûr que nous savions, notamment grâce aux travaux de la fondation Mozilla, que la voiture n’est plus un lieu privé. Mais tout de même. Les geeks nous diront «il suffit de désactiver la fonction». Admettons, après de fastidieuses recherches (car la solution n’est pas en page 1 du manuel), que l’on trouve l’option magique… quelle garantie a-t-on que le petit bouton va vraiment désactiver la fonction? Aucune! Souvenons-vous de la tempête Irma en Floride, lorsque Tesla a pu à distance augmenter l’autonomie des voitures pour que leurs propriétaires puissent fuir plus loin. Louable de la part de Tesla,  MAIS…! Cela signifiait pour la plupart qu’à leur insu il y avait quelqu’un sur le siège passager. Nos véhicules ne sont désormais plus que des ordinateurs roulants. Et cela a des conséquences.

Avec son service recall qui prendrait une image de notre écran chaque 5 secondes et permettrait ainsi à ceux qui se seraient égarés dans leurs activités de reconstituer leur parcours durant les 3 mois précédents, Microsoft a été contrainte au rétropédalage par une levée de boucliers. Le système n’est alors plus activé par défaut. Mais encore une fois, quelle garantie a l’utilisateur que le service est bel et bien inopérant? Un autre de ces œufs de Pâques ou fonctions cachées qui ne servent à rien. Sinon à créer des vulnérabilités supplémentaires?

À l’évidence, l’espace privé se réduit de manière dramatique. En tant qu’utilisateurs, nous sommes des spectateurs impuissants. Les plus documentés, malins ou paranoïaques tenteront de prendre des mesures de protection, mais du fait de l’ubiquité des TIC, qu’elle est leur réelle chance de garder le contrôle sur leur données? Londres: 80 caméras au km2. Et chez nous?

«Move fast and break things» disait en 2014 Mark Zuckerberg. Les géants de la tech nous ont complètement largués. Certes, ils nous offrent des services fascinants, mais à quel prix? Celui de notre liberté.

Alors reposons la question 100 fois adressée dans nos billets: voulons-nous nous donner les moyens de maîtriser nos données? Si oui, il va falloir une décision à haut niveau et des moyens. L’enjeu en vaut-il la chandelle? Est-ce rattrapable? Ce sont les premières réponses à apporter en tant que société.

Et si mon IA estime que je suis en train d’écrire ou de consulter des choses qui pourraient être de nature pénale, va-t-elle me dénoncer? Et si j’écris des billets critiques à son égard, va-t-elle refuser de me servir ou dire à ma voiture de m’envoyer dans un arbre? Souvenons-nous de «2001: odyssée de l’espace».

Merci de penser à soutenir notre travail.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

ACTUALITES

► Stalking – Ce délit sera enfin inscrit au code pénal. Le stalking, c’est cette pratique de harcèlement obsessionnel qui a poussé Morane à s’enlever la vie. Merci au Parlement d’avoir enfin pris cette décision… sauf qu’il aura fallu attendre 17 ans pour y arriver, la première motion datant de 2007. Et malgré les évidences, certains parlementaires estiment encore qu’il s’agit d’un phénomène négligeable? Deux évidences supplémentaires que la démocratie est dépassée par la mutation numérique. Ou coupablement paresseuse? Alors, comment protéger nos enfants? La France s’essaie à une approche avec un rapport intitulé «Enfants et écrans: À la recherche du Temps perdu». Ce texte oscille entre interdiction totale des écrans et nécessité de mieux former au numérique et suscite des réactions contrastées. Le remède portera-t-il ses fruits?

► Peur de la tech? – Ce sentiment nous accompagnera encore longtemps. Savoir si l’IA est un bienfait pour l’humanité ou son dernier requiem agitera encore longtemps les discussions de salons. Mais écoutons aussi les professionnels du secteur. Faisons abstraction des Musk, Altman ou Zuckerberg qui le font à des fins de tactique politique et de motifs financiers et écoutons ceux qui développent ces technologies. Eux aussi ont des craintes légitimes, mais leur problème est de ne pas pouvoir librement les exprimer sans risquer de perdre leur emploi. Qui pour les écouter alors que les États ne cessent de démontrer qu’ils ne disposent pas des compétences requises pour comprendre les enjeux et que manifestement il est hasardeux de laisser l’industrie faire ce qu’elle veut? Notre sécurité, notre espace privé semble être le dernier des soucis de ces gens et chez Open AI, Altman a récemment congédié son team de sécurité pour le remplacer par un autre qu’il conduit personnellement. Le conflit d’intérêts est choquant. Osons alors une solution qu’un état neutre comme la Suisse peut proposer: devenir le High Tech Ombudsman du monde, un endroit où tout lanceur d’alerte sera écouté, compris et protégé. Aussi une manière pour  gagner des talents?

► Mémoire de l’humanité – Voici un thème que nous avons abordé plusieurs fois et qu’un nouvel article vient éclairer sous un autre jour: en Chine, Internet est en train de disparaître. Un CD-Rom, en plastique, est vivant. Après quelques années il se dégrade, comme les fibres optiques dont la durée de vie est également beaucoup plus courte que ce qui est écrit sur l’emballage. Tout Internet et les TIC sont soumis aux aléas du temps. Alors que domine toujours l’illusion qu’Internet fera pénétrer la démocratie partout et imposera un modèle de développement durable, un nombre croissant d’évidences montre que la situation est moins poétique et qu’il y règne les mêmes règles que partout ailleurs, physiques, politiques, ou encore économiques. Nous recommandons vivement cet article sur l’Internet chinois qui devrait inspirer d’utiles réflexions quant à la pérennité du savoir et de la culture au travers des âges.

Voilà pour cette 102^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré et vous souhaitons aussi une enrichissante découverte des articles et liens sélectionnés.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Nous avons le plaisir de vous adresser notre 101^ème dV-News (10-2024) et leur sélection d’articles et liens après une pause bienvenue.

Les enseignements de l’histoire de la ligne Maginot

La réflexion de cette 101^ème édition a été inspirée par la lecture d’un article sur la ligne Maginot. Construite dans les années 1930 par la France, cette ligne de fortifications était destinée à protéger le pays d’une invasion allemande. S’étendant sur environ 700 km de la frontière suisse à la frontière belge, elle comprenait toute une série de forts et d’obstacles destinés à dissuader tout agresseur et reflétait les leçons de la Première Guerre mondiale.

En 1940, la Wehrmacht a contourné cette ligne de défense en envahissant la Belgique et en traversant les Ardennes, une région que les stratèges français considéraient comme impraticable pour les blindés. Alors que la France pensait posséder la meilleure armée, elle capitula en 6 semaines. La ligne Maginot, symbole d’une stratégie statique, s’est avérée inutile.

Le chevalier en armure dans l’image ci-dessous reflète cette croyance persistante dans la solidité d’une forteresse protégée par un « Gardien de Fer ». Le livre de Cohen & Gooch, «Military Misfortunes – The Anatomy of Failure in War» rappelle quelques-uns des échecs les plus retentissants des stratégies de défense basées sur des concepts inadaptés et/ou dépassés. La ligne Maginot fut un désastre, amplifié par un Haut commandement français qui n’a pas voulu écouter les avertissements de ses services de renseignements qui avaient pourtant vu juste.

A chacun de nos billets nous rapportons des faits qui, mis bout à bout, montrent que nous allons dans le mur en matière de cybersécurité. C’est aussi le message que donnent de nombreux les experts de renom. Notre défense dans le cyberespace s’apparente à celle de la France en 1940: une ligne statique et un management qui persiste à ne pas écouter les avertissements alors que l’accélération des développements technologiques dus à l’IA va être encore exacerbée par l’informatique quantique. Et oui, cela va coûter.

Notre recommandation est simple: il faut sortir du «syndrome Maginot» et REPENSER LA SÉCURITÉ DE LA SOCIÉTÉ A L’ÈRE DE LA MUTATION NUMÉRIQUE.

Eu égard au nombre de variables entrant dans l’équation, cette réflexion doit s’établir prioritairement au niveau de la politique de sécurité de l’État et des entreprises, non de la technique qui est un moyen, non une fin en soi. Quand on parle de cyber, il ne faut plus penser «informatique», mais «business et systémique». Dans ce contexte, un concept comme le Cyber Dome israélien, est-il une réponse valable ou une tentative désespérée dans une logique d’attrition sans issue?

On peut apprécier ou pas Elon Musk, mais il est certainement l’une des personnes les plus informées sur ces sujets. Et quand il nous dit que l’IA pourrait devenir rapidement plus smart que les êtres humains, ne serait-il pas utile d’en étudier la portée?

Restons cependant justes avec la Suisse, car elle travaille à ces questions. Mais par rapport aux défis de la mutation numérique (voir la rubrique FOCUS), nous sommes trop lents et les ressources attribuées insuffisantes.

Musk dit par ailleurs que si les progrès de l’IA étaient auparavant limités par la disponibilité des puces, la principale limite sera celle de l’électricité. La stratégie énergétique suisse 2050 a-t-elle anticipé la voracité de l’IA?

Tout cela suggéré par des murs de béton érigés il y a bientôt 100 ans !

Merci de penser à soutenir notre travail.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

ACTUALITES

► XPLAIN – Voilà… les rapports ont été publiés. Passons à autre chose. Vraiment? Le plus grand risque est désormais de classer l’affaire alors que les faits sont graves et inquiétants et concernent potentiellement toutes les organisations et les entreprises: les manquements ont trait aux processus, à la technique et à aux personnes. Le rapport met en évidence combien la notion de «sécurité de la chaîne d’approvisionnement» est incomprise, combien les menaces ont été sous-estimées, ainsi que l’insuffisance généralisée des moyens de sécurité. Et la confiance aveugle n’est pas une stratégie de cybersécurité.

► OFCS (Office fédéral de la cybersécurité) – Chers Lectrices et lecteurs, merci de lire le chapitre introductif de la nouvelle stratégie de l’OFCS. Le constat est sans appel: la cybersécurité dans le pays est CATASTROPHIQUE. Merci à l’OFCS de sa franchise. Comme le montrent ses chiffres semestriels, la situation se détériore même continuellement. • Notre (État, entreprises, individus) capacité d’adaptation à l’évolution technologique est inférieure à celle des cybermalfaisants. • Comme démontré dans le cas XPLAIN la Suisse balance entre «insouciance» et «incompétence». • Alors que le cyberespace représente avec l’approvisionnement électrique les deux éléments vitaux de notre société numérique, les ressources pour les protéger restent totalement insuffisantes (à l’OFCS aussi ; voir notre billet 94). Quel niveau de dégât faut-il attendre pour que la Suisse prenne la mesure des enjeux?

► Morane – Comme l’écrivait Sébastien Fanti «Être bouleversé. Hurler. Écumer. Contre les auteurs. Contre ceux qui ne font rien. Ou si peu».  Comment a-t-on pu en arriver là, avec une jeune femme qui s’enlève la vie à cause du harcèlement subit? Simplement par négligence, car notre société ne veut pas intervenir avec assez de force pour faire cesser de tels actes. Oui le harcèlement tue et Romane n’est pas la seule! Un exemple de plus qui démontre le décalage entre les pratiques criminelles et les réponses de la société. Protégeons nos enfants et soutenons l’association Morane!

► O sole mio ! – Dans l’approche holistique et systémique suivie par digiVolution, les risques liés aux tempêtes solaires sont régulièrement thématisés. Après s’être émerveillés face au spectacle des aurores boréales, il est plus que temps de parler des risques liés à ce phénomène. Heureusement, les médias ont commencé. Mais après ? Car les conséquences pourraient être dévastatrices pour notre civilisation dépendante de ses infrastructures IT et de l’électricité. On prend des mesures?  Lesquelles ? Où ?

Aurora borealis, Mont Vully, 11.05.2024 – Courtesy Isabel Streit – https://isasastroatelier.ch/

C’est tout pour cette 101^ème édition. Nous espérons qu’elle vous a, une fois encore, inspiré. Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés (une longue liste pour tout un mois écoulé) et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs

La fondation digiVolution est née le 4 décembre 2020. Le 4 janvier 2021 était publié le billet nr. 0 pour annoncer sa naissance et le 8 janvier le billet nr. 1, dans un monde sidéré par l’assaut du Capitole à Washington. Le 1^er avril 2021 commençait l’activité concrète. A partir du billet nr. 27, le rythme fou du début est devenu bihebdomadaire. Et ce 26 avril 2024, nous fêtons déjà les 100^ème dV-News (09-2024) et leur sélection d’articles et liens.

Chaque édition nécessite près de 4 jours de travail, y compris la publication sur le site web, LinkedIn et dVPedia. Environ 900 messages sont régulièrement analysés, chacun donnant lieu à plusieurs dizaines d’informations, d’articles, de rapports et de livres. Depuis l’automne 2022, la rubrique dVTopics de notre cybersuite dVPedia – qui scanne en temps réel toutes les sources ouvertes sélectionnées – est également mise à contribution en tant que source.

L’ensemble des médias regorge d’informations de qualité sur des cyberattaques, des vulnérabilités, etc. Notre ambition n’est pas de les concurrencer, mais de contribuer à ce que les décideurs qui nous suivent deviennent des acteurs (plus) éclairés en matière de mutation numérique et à cet effet d’élargir le périmètre d’observation et d’analyse [link]. Une approche holistique est en effet impérative et notre niveau d’ambition est – comme représenté dans la pyramide de l’information ci-dessous – de contribuer à la connaissance avec une compréhension systémique des défis de la mutation numérique.

Notre newsletter est le fruit d’un processus rigoureux, inscrit dans la durée et dont le but est de comprendre, d’interroger et d’attirer l’attention sur des développements significatifs, de produire une image stratégique, non de se limiter aux incidents techniques / tactiques du quotidien.

Avons-nous réussi notre pari? Oui si l’on en juge les nombreux commentaires positifs reçus. Non si l’on considère que malgré tout ce travail suivi désormais par plusieurs milliers de personnes, nous devons toujours et encore répéter les mêmes choses. Oui à la lumière de la qualité de notre apport qui ne cesse de progresser et jouit désormais d’un lectorat international (raison de sa traduction en anglais). Non car les défis sont loin d’être maîtrisés.

Parmi les centaines de messages que nous traitons, un bon nombre est reçu de personnes qui se sentent solidaires de notre travail et nous font part de leur trouvailles et de leurs réflexions. En particulier notre Beirat. Sans son réseau d’amis et d’experts, digiVolution serait bien seule…! Un grand MERCI à eux et à nos quatre donateurs historiques – qui souhaitent rester dans l’ombre – sans lesquels rien de tout cela n’aurait été possible.

Pour digiVolution la phase 1.0 est derrière. Désormais il s’agir de passer à la 2.0, alors permettez-nous d’en appeler à votre généreux soutien.

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt décou-verts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

► Mémoire de l’humanité – Les technologies de stockage – disquettes, disques ZIP, clés USB, CD-Rom, etc. – vivent entre 5 et 10 ans. Et après ? Ils s’altèrent, se démagnétisent et surtout sont rapidement remplacés par d’autres standards, d’autres technologies En clair : ils sont juste bons à jeter et leur contenus avec, car la compatibilité avec les versions précédentes est souvent aléatoire. Pour les cas désespérés, il y a bien le musée Bolo de l’EPFL, mais lui-même combien de temps survivra-t-il ? Le métier d’archéologue risque de devenir frustrant quand il n’y aura plus d’écrits…! En devenant pour la première fois le dépositaire officiel de l’histoire d’une nation entière, Aruba, une île des Caraïbes, l’Internet Archive étend son rôle déjà immense dans la préservation du monde numérique pour la postérité. L’UNESCO demande depuis longtemps une solution à la préservation de la mémoire de l’humanité. Cet exemple d’Aruba est ainsi une bonne piqûre de rappel.

► Réseaux européens de distribution de l’énergie – Depuis les débuts de digiVolution, un thème revient régulièrement : l’équation «NO POWER – NO CYBER». Toutefois, quand on parle de besoin en puissance électrique un élément clé est souvent oublié, son transport. En matière d’électricité, le réseau de transport à haute tension (entre 110 et 400 kV) est un élément clé qui nécessitera des renforcements très substantiels, car selon le dernier rapport de EMBER, un think tank dédié à l’accélération de la transition énergétique, le réseau européen à haute tension pourrait bien être sous-dimensionné pour incorporer la puissance supplémentaire produite par le vent et le solaire. Comme tout le réseau européen est relié et qu’il ne comprend pas que de bons élèves, les risques de panne sont loin d’être négligeables.

► AI Index Report de l’université de Stanford – L’édition 2024, septième opus, arrive à un moment charnière alors que l’influence de l’IA sur la société n’a jamais été aussi prononcée. Nous avons résumé ses 10 conclusions clés.

1. L’IA surpasse l’homme pour certaines tâches, mais elle est à la traîne pour les plus complexes, notamment dès qu’il faut raisonner et planifier.
2. L’industrie domine la recherche avec 51 modèles d’apprentissage automatique produits en 2023, alors que le monde académique n’en a produit que 15.
3. Les modèles pionniers deviennent beaucoup plus coûteux. L’entraînement de GPT-4 seul a coûté 78 millions de dollars et Gemini Ultra de Google 191 millions.
4. Les États-Unis devancent la Chine, l’UE et le Royaume-Uni. En 2023, 61 modèles avancés d’IA proviennent des USA, 21 de l’UE et 15 de Chine.
5. Les évaluations robustes et normalisées pour la responsabilité des LLM font défaut, ce qui complique la comparaison des risques et des limites entre les modèles d’IA.
6. L’investissement dans l’IA générative explose (25.2 milliards de dollars, soit 8 fois les chiffres de 2022) malgré une baisse de l’ensemble des investissements dans l’IA.
7. Selon plusieurs études, l’IA rend les travailleurs plus productifs. Ces études ont montré que l’IA permet de combler le fossé entre les travailleurs peu et très qualifiés, mais d’autres études relèvent un fort besoin de supervision.
8. Les progrès scientifiques s’accélèrent encore, grâce à l’IA et 2023 a vu le lancement d’applications d’IA liées à la science encore plus importantes, par exemple dans les sciences des matériaux.
9. Le nombre de réglementations liées à l’IA aux USA augmente rapidement. En 2023, il y en avait 25 contre une seule en 2016.
10. Partout dans le monde, les gens sont plus conscients de l’impact potentiel de l’IA. Aux USA, 52 % des Américains se disent plus inquiets qu’enthousiastes à l’égard de l’IA, contre 37 % en 2022.

C’est tout pour cette 100^ème édition. Nous espérons qu’elle vous a à nouveau inspiré. Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs

Voici les dV-News 08-2024 et leur sélection d’articles et liens. Dans cette édition nous voulons sonner une fois encore l’alarme. Deux faits récents motivent notre cri: les statistiques de la cybercriminalité en Suisse et le cas xz Utils. Ces deux sujets structurent ce 99ème billet et illustrent l’urgence pour la Suisse de disposer d’une «vision pour une société sûre, résiliente et souveraine au temps de la mutation numérique». Cette proposition, chaque jour plus impérative, était déjà au cœur de notre commentaire sur le RAPOLSEC 21. Il n’a pas été entendu.

La Suisse doit élever le débat du numérique et se doter d’un solide et durable avantage stratégique. Cessons de n’être que des suiveurs !

Notre travail vous est utile? Il vous inspire? Merci de le soutenir par un DON.

Depuis 2020 seulement, la Suisse dispose d’une statistique policière sur les cyberdélits. Lors de la première publication, l’Office fédéral de la statistique faisait état de 24’400 cas annoncés. En 2023, ce sont désormais 43’839 cas qui ont été rapportés par les forces de l’ordre, soit une augmentation de 80% en 4 ans. Entre 2022 et 2023, la progression a été de 31%. La plupart des délits sont de nature économique, avec 40’496 cas recensés, en hausse de 36,5% pour 2023. En cause, principalement l’escalade du phishing (+70%), l’utilisation frauduleuse de systèmes de paiement ou d’identités pour des escroqueries (+66%) et les arnaques liées aux petites annonces, où les objets payés ne sont pas livrés (+23,1%).

Prenons le risque de projeter une augmentation annuelle des cyberdélits de +5%. En 2030, la progression annuelle sera alors de +65% avec un total de près de 740’000 cyberdélits. Si cette progression se confirme, alors les chiffres qui seront publiés dans un an pour 2024 seront de 59’000 cas et de 83’000 pour 2025.

Exagéré? Alarmiste? Peut-être. En France, la progression depuis 2020 est de 400%. Selon Statista, la facture mondiale de la cybercriminalité atteindra 13’820 milliards $ en 2028, soit plus de 10% du PIB mondial. Et ce sont les pays riches qui seront le plus touchés. Selon le Bitkom, en 2022 ce sont 3.8% du PIB de l’Allemagne qui sont partis en fumée, soit 206 milliards €.  Rapporté à la Suisse, c’est comme si nous avions en 2022 jeté par la fenêtre 5 fois le budget de l’armée. Quelle est la part due uniquement à la criminalité et celle due aux frictions géopolitiques et au cyber in war? Difficile à dire, mais les tensions mondiales croissantes ne vont pas réduire les risques.

Que traduisent ces chiffres? Une augmentation du nombre de cyberdélits ou du nombre d’annonces? Le reporting aux autorités pénales s’améliore, mais ces chiffres montrent sans aucun doute une augmentation des cyberdélits. Et ce n’est là que la pointe de l’iceberg, car la zone grise est importante. Il y a les cas non détectés et surtout les cas non annoncés. Selon le Département US de justice, seul un cas sur sept est annoncé aux autorités de poursuite pénale. Au moins 85% de la cybercriminalité reste ainsi cachée.

Ceux que ces chiffres dérangent trouveront toujours des excuses pour les relativiser et repousser les mesures qui s’imposent à plus tard, mais la conclusion qui s’impose est que les cyberdéfenseurs sont en passe de perdre la bataille. Facture salée en vue! Surtout avec l’accélération due à l’IA et à l’informatique quantique.

Depuis la création de digiVolution nous ne cessons d’alerter sur cette réalité, en insistant sur le besoin d’une approche holistique et systémique. En effet, les problèmes de sécurité de la société numérique ne sont pas que d’ordre technologique. Ils sont tout aussi largement provoqués par des problèmes politiques, de ressources humaines, matérielles ou énergétiques notamment.

Qu’est-ce qui est vraiment entrepris pour maîtriser cette situation qui porte tous les symptômes d’une catastrophe annoncée? Que faut-il faire pour que la Suisse se mette enfin à investir massivement dans de véritables solutions pour sa sécurité à l’ère numérique? Nous avons besoin de beaucoup plus de nouvelles idées.

La confiance, la résilience et la souveraineté numériques ne se construiront pas à coup de slogans, mais d’actions concrètes. digiVolution répète depuis sa création que ce sont là des sujets STRATÉGIQUES, VITAUX et URGENTS. Et de nombreuses propositions ont été formulées. L’Occident craint le déferlement de hordes de blindés russes. Dans quelques années peut-être, mais c’est maintenant que notre société est attaquée et de manière croissante là où elle est la plus faible, dans ses dépendances et vulnérabilités informationnelles et numériques. Il serait temps de se réveiller, de regarder les problèmes en face et de mettre de véritables priorités.

To prevent global catastrophe, governments must first admit there’s a problem [link]

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les dernières semaines. Vous les retrouverez sur dVPedia à la rubrique dVLibrary.

Open Source – Who is responsible?

Nous avons souvent évoqué le thème de la souveraineté, c’est-à-dire la capacité d’une entité (individu, organisation, entreprise, État) à décider et à agir en toute autonomie, donc aussi à assumer la pleine responsabilité de ses actes. Le quasi-incident récent xz Utils nous a incité à nous intéresser à la question des logiciels open source.

Vous pensiez que derrière chaque ligne de code se trouve une entité juridiquement responsable? Oubliez! Diverses communautés mettent certes du temps et des compétences à disposition pour élaborer du code mis ensuite gracieusement à disposition du public… MAIS!

Lorsque des bénévoles vont nettoyer des ruisseaux envahis de déchets, s’ils oublient quelques emballages ou bouteilles en plastique, ce n’est certes pas propre, mais c’est sans conséquence systémique. Lorsqu’en revanche des bénévoles développent du code que personne ne contrôle vraiment et que ces briques technologiques se retrouvent partout, jusqu’au cœur de notre vie et à notre insu durant des décennies, qui endosse quelle responsabilité en cas de dysfonctionnement?Pourtant les conséquences peuvent être énormes.

Les passionnés de l’open Source argumentent volontiers que la communauté veille au grain et s’autocontrôle. Mais qui se cache derrière ce terme. Un chevalier blanc? Un génie-zéro-défaut? Il peut aussi s’agir de loups déguisés en brebis nourrissant l’ambition de glisser quelques lignes malveillantes dans des briques logicielles essentielles à Internet et que seuls connaissent quelques individus. C’est ce qui est arrivé dans le cas xz Utils.

Les géants de la tech emploient des centaines de milliers de personnes pour développer leurs produits. Ils consacrent des efforts croissants pour produire du code exempt de failles. Malgré cela leurs produits sont perclus de fautes et la situation ne semble pas s’améliorer dès lors que l’IA s’en mêle. Surtout si les géants de la tech eux-mêmes sont négligents en matière de sécurité. Mais au moins sont-ils juridiquement responsables pour leurs produits.

Les vulnérabilités sont (en principe) corrigées par les éditeurs au fur et à mesure des trouvailles. Beaucoup découvertes par nous, les utilisateurs (payants) / bêta-testeurs. Lorsqu’un patch est publié, il est impératif de le déployer au plus vite dans sa propre infrastructure, car les malveillants lisent aussi les publications sur les vulnérabilités et leurs correctifs ; ils savent donc en même temps que nous quand notre sécurité est compromise. Malheureusement il est courant qu’entreprises comme particuliers mettent des jours, des mois, parfois même des années avant de réagir. Et pendant ce temps, les vilains se baladent !

Et dans le monde de l’open source, cela se passe comment? Quels sont les processus? Qui est responsable? Il est fort probable qu’il n’y ait personne au bout du fil. Et est-ce que la communauté produit moins de bugs que l’industrie? Comme le démontre le cas xz Utils, une collection de librairies sous Linux et de nombreux systèmes Unix pour compresser les données, l’open source n’est pas immunisé contre les bugs et ceux-ci peuvent être fortuits, mais aussi intentionnels.

Le hasard a voulu qu’un programmeur découvre une porte dérobée installée par une main probablement étatique dans une de ces briques logicielles ignorées du grand public, mais déployées à l’échelle mondiale pour la maintenance des serveurs. Ce logiciel produit par quelques bénévoles a été manipulé et s’est trouvé à un cheveu d’être distribué avec des fonctions malveillantes. Les concepteurs de cette faille auraient pu ensuite, sans opposition, accéder à un nombre incalculable de systèmes, dans le monde entier.

Qui est responsable de la qualité de ces logiciels libres? Savez-vous qu’en surfant sur le net avec vos processus les plus vitaux, ceux-ci dépendent d’un socle dont vous ne savez rien, pour lequel personne n’est officiellement en charge, contrôlé et comptable en cas d’incident ?

S’exprimant sur ce cas xz Utils le «pape» de la cybersécurité, Bruce Schneier, parle de chance que cette porte dérobée ait pu être découverte à temps. Mais il écrit également qu’il ne s’agit certainement pas d’un cas isolé. Mais peut-on subordonner la sécurité de nos processus vitaux à des amateurs, à la chance ou à la roulette?

Finissons sur un peu d’humour: en informatique on connaissait les Easter eggs. Maintenant il y a les cyberpoissons d’avril.

C’est tout pour cette édition. Nous espérons qu’elle vous a plu. Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Chers Lectrices et Lecteurs

Voici les dV-News 07-2024 et leur sélection d’articles et liens. La réflexion de cette édition est inspirée par la commémoration du 22 mars 2024 – superbement organisée par le Divisionnaire Tüscher, commandant de la division territoriale 1 – pour le 150ème anniversaire de la naissance du général Guisan, notre Commandant en chef durant la Seconde Guerre mondiale.

Qu’aurait dit Guisan?

De tous les discours – tous remarquables – de cette commémoration à Verte Rive, l’ancienne propriété du Général à Pully, nous avons choisi de retenir deux éléments principaux: l’importance pour Guisan de l’humain et ses efforts acharnés pour préparer la Suisse à affronter la catastrophe qu’il entrevoyait en 1934 déjà. Guisan n’a eu qu’une boussole pour guider son action: le bien supérieur de la Patrie.

Ce qui devrait cependant ce 22 mars 2024 avoir logiquement marqué l’assistance, c’est la modernité des propos qu’a tenus le Général, jusque dans son rapport final. Il suffit en effet, près de 80 plus tard, de ne changer que quelques dates et mots pour constater combien ses principes et lignes directrices n’ont quasiment pas pris une ride.

La question qui se pose à nous est quel serait le message du Général aujourd’hui face aux menaces pesant sur la Suisse de 2024 en raison des développements et dépendances technologiques. Ce jeu d’esprit sera peut-être qualifié d’arrogant ou au moins d’audacieux, mais il nous est paru opportun, alors que la guerre est de retour en Europe et menace chaque jour de s’aggraver, de tenter d’adapter aux contingences du moment ce que le Général, fort de son expérience de commandant en chef, aurait pu nous recommander.

Voilà ce que le Général 2.0 nous dirait:

« Dans notre monde globalisé par les données et les technologies, j’attends de chacun(e), selon ses compétences et ses responsabilités qu’il/elle mette tout en œuvre pour…

…comprendre la situation – Le savoir est clé et il importe que chaque acteur dispose, sans aucune concession, des faits (également historiques) précis, libérés de tout filtre (technique aussi) dogme ou manipulation, car il/elle en a besoin pour analyser les risques et les opportunités et ainsi prendre de bonnes décisions.

…être prêt en toute circonstance – Toutes les mesures techniques, organisationnelles et opérationnelles requises doivent être priorisées et réalisées et le personnel doit y être instruit et entraîné, et à toute question doit correspondre une réponse ou au moins une planification prévisionnelle.

…être en mesure de durer – C’est certainement la chose la plus difficile, car toute période prolongée de facilité ramollit les esprits les plus déterminés et tend à réduire les efforts et les réserves, alors que – l’histoire le prouve – ce sont les périodes d’adversité et de compétition qui sont le cas normal et que c’est là que se mesure la performance et se forge le succès.

…rester innovant – La technologie avance rapidement et les pratiques et tactiques avec elles, imposant de donner à chacun de la liberté d’action (Auftragstaktik) et de promouvoir l‘esprit d’innovation à tous les niveaux, tout en maintenant un cadre qui garantit la cohérence de l’ensemble.

…agir en profondeur – L’État est responsable d’organiser la société, mais il ne peut pas tout pour elle. Il incombe à chaque maillon – entreprise, organisation et individu – de comprendre et d’assumer sa position et ses responsabilités au sein de l’ensemble. »

Ce qui est intéressant dans ces cinq points, c’est leur capacité à s’appliquer non seulement au niveau du pays, mais aussi à celui de toute organisation privée.

Pourquoi est-il pertinent de tenter de transposer l’enseignement du Général à l’instant présent? Parce que la situation géopolitique prend un tour inquiétant et que sur le plan du cyber et de tous les facteurs dont celui-ci dépend, la situation n’est pas meilleure, comme nous le rappelons souvent.

La sécurité, ce n’est pas si compliqué, mais elle a un prix et celui de l’insécurité est plus grand encore. La Suisse l’a-t-elle oublié?

BOOKS & REPORTS

Voici la liste des livres et publications d’intérêt découverts lors de nos recherches durant les deux dernières semaines. Et sur dVPedia, la rubrique dVLibrary  avec son tout nouveau look and feel comprend déjà une centaine de titres avec leurs références et un résumé.

News significatives de la quinzaine

► TORNADO – Sous la direction de l’excellent Maxime Girod a eu lieu le 14 mars à Morges la 4^ème édition du Forum Venoge sur les conséquences des catastrophes naturelles. Un thème d’actualité alors que l’UE elle-même commence à douter de son état de préparation en la matière et que l’Agence européenne de l’Environnement exhorte l’Europe à faire davantage contre la crise climatique pour éviter des conséquences «catastrophiques». Significatif pour le cyber? Sans aucun doute, car les infrastructures techniques ont notamment besoin de refroidissement, d’énergie ou encore de sols stables. Trois sujets déjà problématiques, en Suisse aussi. Pour 2025, la date du prochain forum est fixée au 20 mars et le thème sera celui de l’IA. À vos agendas!

Merci de soutenir notre travail au profit de la sécurité, de la résilience et de la souveraineté de la Suisse par un DON.

► Les petits hommes verts ne sont pas parmi nous? – C’est ce qu’affirme un rapport du Pentagone. Ses auteurs n’ont en effet trouvé aucune preuve de visites d’extraterrestres ou de vaisseaux spatiaux cachés. Les enquêteurs estiment que les affirmations relatives à des programmes gouvernementaux secrets de rétro-ingénierie de la technologie extraterrestre sont basées sur des «rapports circulaires» et des ouï-dire. Les conclusions de l’étude sont sans équivoque: il n’y a aucune preuve de l’existence d’une technologie extraterrestre représentée. N’en déplaise aux rêveurs, cela signifie qu’il n’existe pas de technologie magique capable de jouer les game changers. Vrai? Le mythe de la zone 51 est menacé 😊.

► Utilisation militaire responsable de l’intelligence artificielle – Encore une initiative où la Suisse brille par son absence? Si cela devait être le cas,  serait-ce en raison d’une interprétation restrictive de la neutralité? Pourtant la liste des participants indique que l’initiative est très ouverte. Et sur le fond, il semblerait judicieux de participer à la maîtrise des technologies disposant d’un potentiel élevé de dérapage. La Suisse participe bien depuis 2019 au Centre d’excellence de Tallinn sur la cyberdéfense. N’attendons pas que se matérialisent des scénarii à la «Terminator» avant de réfléchir. Certains militaires n’attendront pas 

► L’ère des données – Le dernier bulletin de l’asut – l’association suisse des entreprises de télécommunications – vaut le détour, en particulier son édito. Le président de l’asut Peter Grütter expose la société de la donnée et les immenses opportunités qu’offre un usage bien ordonné de ce carburant. La donnée recèle certes une grande valeur intrinsèque, mais à la condition d’être valorisée. Regardant l’autre face de la médaille, Peter Grütter rappelle cependant l’existence d’une face sombre qu’il convient de ne pas laisser nous dépasser. Et Peter Grütter de conclure : «Nous vivons à l’ère des données : Tirons-en le meilleur parti». D’ailleurs le père du Web, Tim Berners-Lee, après le constat des multiples dérives de son invention qui fête ses 35 ans, mais qui n’en est selon lui qu’à ses débuts, délivre aussi un message empreint d’optimisme.

► eCyAd – Le projet lancé par la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP) et le Réseau national de sécurité (RNS) a franchi un cap important. Ce programme de formation, auquel contribue également digiVolution et qui sera complété et régulièrement mis à jour, est disponible pour tout le monde. Toute organisation peut ainsi créer un groupe et ensuite obtenir pour chaque participant un certificat démontrant que le programme a été accompli.

C’est tout pour cette édition. Nous espérons qu’elle vous a plu. Nous vous souhaitons également une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.

Merci de souscrire à dVPedia et ainsi de soutenir son développement au profit de tous.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et vous retrouverons dans 15 jours.