Newsletter

Voici les dV-News 14-2023 et leur sélection d’articles et liens.

Maîtriser notre numérisation, un parcours plein d’obstacles et de dilemmes

La réflexion qui suit est issue d’une rêverie d’été, d’un de ces moments où on laisse divaguer les pensées. Au fil des lectures de rattrapage d’ouvrages restés sur une table en attendant de meilleurs moments et de l’avalanche de contributions que nous passons en revue chaque quinzaine, le sentiment que quelque chose cloche en Helvétie s’est insinué dans nos esprits.

Selon l’approche holistique et systémique qui caractérise les travaux au sein de digiVolution, nous sommes encore une fois arrivés à la conclusion que la Suisse ne peut pas espérer maîtriser sa mutation numérique et sa cybersécurité si elle continue son approche en silo et, comme un chien crevé au fil de l’eau, attend de voir ce que font les autres pour s’aligner sans ambition ni vision sur leurs politiques.

Le tableau suivant, qui n’est pas (encore) le fruit d’une recherche rigoureuse et dont la structure et l’exhaustivité sont bien entendu largement perfectibles, ambitionne de s‘interroger globalement, même si la réflexion est limitée aux variables représentées. Nous nous sommes ainsi demandé où nous en sommes (points bleus), vers où nous allons (points orange) et vers où il faudrait aller (points verts).

Il ressort de cette représentation trois constats principaux:

• Les écarts entre les états représentés sont importants. La raison tient notamment aux réalités suivantes: la maturité de la société suisse en matière de numérisation est mal connue ; le niveau que nous souhaitons atteindre, notre ambition et les politiques publiques sont souvent indéterminées, non communiqués, quasi sans moyens pour leur réalisation ou encore laissés à l’appréciation (bien commode) de notre doctrine libérale; enfin, face à une mutation numérique dynamique et une situation géopolitique instable, les prévisions, même raisonnables, sont difficiles et il serait impératif d’investir beaucoup plus dans l’anticipation et la prospective.
• Le spectre est large, trop large diront certains. Certes, mais il représente la réalité et si nous voulons résoudre cette équation, c’est d’abord en établissant, aussi précisément et à jour que possible une cartographie de tous les faits. Cela fait plus de 2 ans que digiVolution y travaille et nous serions heureux que nos édiles s’en inspirent. Car il est plus que temps! En ce sens, l’énoncé de la Conseillère nationale Bellaiche, patronne de SWICO interpelle: «La numérisation a longtemps été considérée comme un sujet de niche au Parlement. Peu de gens avaient prévu son importance révolutionnaire pour notre société»! Nos élus évoluent-ils dans une dimension parallèle et seul le hype autour de ChatGPT a été capable de les réveiller?
• Ces constats exigent que soit revu le mode de gouvernance de la Confédération. En effet, le numérique ne peut plus être traité comme une priorité secondaire dispersée entre de multiples acteurs. Un ministre fédéral du numérique, comme le font déjà certains cantons, est une évidence qui doit s’imposer, au même titre que d’avoir des ministres de la santé, des transports ou encore des finances. Le numérique, nous l’avons déjà écrit à maintes reprises, n’est plus une simple commodité, mais un domaine vital de la société qui doit avoir un(e) patron(ne) disposant de moyens substantiels. Et les yeux ouverts!

Illustration: Greg Perry, Toronto Star

Petit cyber-digest

Les sujets qui ont retenu notre attention durant les deux semaines écoulées.

• XPLAIN – Les révélations sur cette affaire sont chaque semaine pires. Tout y passe désormais: les adresses de nos Conseillers fédéraux, des données du Service de renseignement de la Confédération, un extrait substantiel de 2015 de la base de données sur les hooligans… Et quoi encore? À la fin on apprend que cette société pourtant expérimentée qui détient (mème si ce n’est que momentanément) des informations aussi sensibles, est loin d’être exemplaire en matière de sécurité.
• IA – La vague déclenchée par ChatGPT ne retombe pas et on observe toujours cette opposition entre les techno-optimistes qui estiment que l’humanité prendra le dessus, comme avec d’autres technologies par le passé, et les techno-critiques pour lesquels les risques sont bien trop grands pour prendre le tout à la légère. C’est également notre avis, la naïveté n’étant pas une politique responsable.
• Cette Chine qui fait (encore) peur – Point besoin d’être devin pour prédire que la Chine sera le prochain point d’attention d’un Occident toujours plus concurrencé dans ses bases et ses valeurs. Les Chinois sont régulièrement montrés du doigt par nos services de renseignement et poursuivent, en Suisse aussi, leur politique agressive d’espionnage. Récemment ils s‘en sont par ailleurs pris à Microsoft  et à nouveau au gouvernement américain et mettent une pression croissante sur la chaîne d’approvisionnement en métaux stratégiques. Le conflit commercial qui les oppose aux USA – avec toujours plus de conséquences pour l’Europe – n’est pas près de se réduire.

BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches des dernières deux semaines.

En bref

▶︎ USA – La nouvelle stratégie de cybersécurité possède désormais son plan de mise en œuvre.

▶︎ UE – Le difficile chemin des européens en matière de souveraineté(s), avec (s) car il n’y a bien entendu pas que la question cyber qui occupe Bruxelles.

▶︎ OPSEC – À nouveau, un militaire a payé de sa vie de n’avoir pas su protéger ses informations en laissant l’app STRAVA divulguer ses parcours de jogging ; tout le monde s’était moqué des Américains en 2018 en Irak… mais rien appris.

▶︎ Japon – Cette fois c’est Nagoya, le plus grand port du pays,  qui a subi une attaque paralysante avec demande de rançon; nos infrastructures critiques, sont-elles plus solides

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Voici les dV-News 12-2023 et leur sélection d’articles et liens.

Point de bascule, tournant, seuil critique, moment charnière, point de rupture…

À la suite de la vague de cyberattaques récemment subies par la Suisse (et ce n’est certainement pas terminé), des menaces proférées par M. Medvedev de s’attaquer aux câbles sous-marins en représailles aux sabotages de Nord Stream, des nombreuses pénuries qui menacent la chaîne d’approvisionnement, à commencer par l’énergie électrique pour l’hiver prochain, de la facture toujours plus insupportable de la cybercriminalité, l’image globale de l’espace numérique est pour le moins inquiétante.

Nombreuses sont les situations qui pourraient devenir critiques et, en se combinant entre elles, simplement dégénérer. Si l’on considère l’amoncellement de nuages numériques noirs pesant sur la société, il est difficile de déborder d’optimisme. Pourtant la plupart des individus et des organisations se comportent encore comme s’ils ne voyaient pas cette situation. Étrange quand on sait le coût moyen d’un cyberincident et leurs conséquences visibles et invisibles. D’ailleurs quel sera le coût total réel de la cyberattaque contre Xplain?

Ce cas permet une fois encore de mettre en évidence une réalité incontournable en cybersécurité: l’anticipation est reine, mais sans cartographie précise du présent et du passé avec leurs vulnérabilités et héritages, aucune analyse de risques ni stratégie crédible et durable ne peut être élaborée. Non seulement l’échec est programmé, mais en cas d’incident un cauchemar attend aussi les responsables qui ne savent pas où commencer. Et c’est du vécu, croyez-nous !

Bien entendu que l’écosystème numérique suisse dispose de nombreux atouts, mais il nous paraît toujours plus impératif et urgent de répondre au risque de tipping point pouvant naître de la conjonction de tous ces défis. Quelles réponses la société, et notre pays en particulier, veut-elle apporter à cette situation? Dans ce billet nous n’en avons mentionné que quelques-uns, mais la liste est longue et l’attentisme actuel, ce manque de volonté collective de vraiment les prendre à bras le corps, nous paraît particulièrement irresponsable. Nous sommes assis sur une bombe à retardement dont nous avons par ailleurs une connaissance très imparfaite, une sorte de «faille de San Andreas numérique», mais nous continuons à faire comme si cela n’avait pas d’importance. En fait il manque une réflexion de fond sur la société numérisée. Voulons-nous corriger cela avant d’atteindre le point de rupture? Actuellement ce que faisons s’appelle une fuite numérique en avant.

Petit cyber-digest

Les sujets qui ont retenu notre attention durant les deux semaines écoulées.

• XPLAIN – De nombreux détails sur la cyberattaque qui a affecté cette firme d’Interlaken sont désormais connus. Et plus on creuse, pire semble être la situation avec désormais des données sensibles sur des affaires judiciaires et sur des personnes, dont nos conseillers fédéraux. Ce n’est pas reluisant et nécessite désormais un état-major de crise politico-stratégique « fuite de données ». Espérons que cette débâcle sera pour la Suisse le même électrochoc que celui vécu en 2007 par l’Estonie devenue depuis premier de classe cyber. Et soyons clairs, cette fois un petit peu de cybercosmétique ne suffira pas. C’est un chantier national qu’il faut entreprendre à tous les étages. Fini de se croire encore épargné et de ricaner quand d’autres se font avoir? La Suisse doit passer au minimum la vitesse supérieure.
• Droits fondamentaux – Le 19 juin dernier, le canton de Genève a approuvé à 94% l’inscription dans sa constitution d’un droit à l’intégrité numérique. Un pas historique qui, on l’espère, trouvera rapidement son pendant dans la Constitution fédérale.
• Dossier électronique du patient (DEP) – Sur le principe, il est bien entendu louable que le Conseil fédéral mette la pression. Il reste toutefois de nombreuses questions sans réponse dans ce secteur «atomisé» en une multitude d’intervenants et 26 cantons. Les cas récemment portés à l’attention du public montrent que la cybersécurité dans ce secteur est faible alors qu’il est une cible privilégiée de criminels que la souffrance de leurs victimes laisse insensible. Exiger les meilleurs standards et les fixer dans la loi est bien évidemment impératif (what else?), mais cela ne constitue aucunement une garantie. Et quid de la synchronisation avec l’identité électronique? Qui aura (dans le détail et pas simplement « les professionnels de santé » et «pour les besoins de la recherche») et comment accès à ces données? Et seront-elles centralisées? Car en cas de grosse attaque, le secteur entier de la santé risque la panne systémique…

BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches des dernières deux semaines.

En bref

▶︎ La Chine est confirmée comme principale source des attaques Advanced Persistant Threats APT. Lors du premier trimestre 2023, elle aurait été responsable de 79% des attaques d’origine étatique. Le rapport de juin du Trellix Advanced Research met notamment en évidence une augmentation des attaques contre les secteurs de la finance, des télécommunications et de l’énergie.

▶︎ Le U.S. Government Accountability Office GAO constate quant à lui que la numérisation est présente dans tous les processus et opérations de fabrication et de contrôle industriel des armements nucléaires, mais que la National Nuclear Security Administration NNSA et ses sous-traitants n’en sont qu’aux premiers stades des efforts nécessaires, même après plusieurs années. Intéressante perspective pour un pays traditionnellement attaqué de toutes parts et détenteur de 5’500 armes nucléaires…

Après les attaques contre Colonial Pipeline et SolarWinds, voici de quoi relativiser (un petit peu) certaines attaques virulentes contre la cybersécurité en Suisse!

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Voici les dV-News 12-2023 et leur sélection d’articles et liens.

La Suisse assiégée – Place enfin au réveil et au réalisme

Il y a quelque chose que nous détestons faire chez digiVolution, c’est de dire: «nous avions prévenu» ! Dans le cadre de l’attaque contre la société XPLAIN, nous écrivions il y a 15 jours, en réaction aux affirmations qu’aucune donnée opérationnelle n’avait été exposée, «on mesurera l’ampleur réelle plus tard». Et quelle surprise… de telles données se retrouvent dans la nature ! Il incombe maintenant au NCSC de défaire l’imbroglio, de réparer et de faire oublier la communication précipitée et peu professionnelle de certains offices. lire plus

Voici les dV-News 11-2023 et leur sélection d’articles et liens. Avant d’entrer dans le vif du sujet de la dernière quinzaine, l’équipe de digiVolution adresse à Florian Schütz ses vives félicitations pour sa nomination par le Conseil fédéral en tant que premier directeur de l’Office fédéral de la cybersécurité dès le 1^erjanvier 2024. Nous lui adressons tous nos vœux et ferons tout ce qui est en notre modeste pouvoir pour l’appuyer dans sa mission. Un choix qui nous réjouit, car, comme nous l’avons écrit sur LinkedIn, l’homme est compétent, humble et engagé et il aurait été désastreux de changer de champion au milieu du gué!
lire plus

Voici les dV-News 10-2023 et leur sélection d’articles et liens et une réflexion sur la manière de se protéger contre le fléau toujours plus incontrôlable des défis sécuritaires de la mutation numérique.

Sortir de la logique de cyber attrition

Osons une discussion provocatrice… Y a-t-il une autre voie possible que le combat de coqs sur leur tas de fumier? L’image est certes osée, mais force est de constater que nous sommes dans une situation insoluble qui va inexorablement à l’échec.

Tout d’abord nous sommes dans une situation de dissymétrie par rapport à nos concurrents et adversaires. Nos forces sont qualitativement comparables, mais quantitativement très inférieures et à la fin c’est toujours le plus gros qui gagne. Ce n’est qu’une question de temps. On peut prendre toutes les mesures imaginables, l’expérience montre que les cyberagresseurs s’adaptent rapidement et savent souvent mieux faire usage des nouvelles technologies que les défenseurs. Nous sommes aussi dans une situation d’asymétrie, car nous ne nous battons pas sur le même plan. Les défenseurs sont les seuls à s’en tenir aux règles et les agresseurs savent ce que la défense peut ou ne peut pas faire. Ils savent aussi que les mieux-sachants vont les désavouer dès qu’ils franchiront les lignes que seule notre infinie naïveté a créé.

Les chiffres publiés en début d’année par STATISTA montrent que les dégâts de la cybercriminalité à l’échelle mondiale passeront de 8’440 milliards de dollars US en 2022 à 23’820 milliards de dollars US en 2027 (soit près d’un quart de la richesse mondialement produite…). Ce sont probablement des chiffres très pessimistes, mais ils sont l’expression d’une réalité, en Suisse aussi et malgré les investissements continus consacrés à la cybersécurité. C’est comme tenter d’écoper un bateau qui prend toujours plus d’eau avec un seau trop petit. À la fin il y a quand même naufrage. Le NCSC et l’industrie suisse de la cybersécurité font un boulot remarquable, ils sont souvent à la pointe de l’innovation technique et les forces de l’ordre internationales démantèlent régulièrement des gangs criminels, rien n’y fait, la casse augmente inexorablement. Parfois même les malwares sont encore implantés déjà lors de la fabrication des produits… ! À ce train-là, les dégâts vont devenir insupportables. Peut-on espérer un changement de tendance? Les neuf thèses sectorielles ci-dessous (chez digiVolution nous suivons 25 domaines) tendent à dire le contraire.

Comme l’a exposé le chef d’état-major français des armées, le contexte géostratégique est sorti du continuum classique de paix -crise – guerre pour entrer dans une boucle de compétition – contestation – affrontement. Le monde se trouve ainsi bien plus souvent dans une situation conflictuelle qui ne dit pas son nom, mais qui est bien réelle à tous les niveaux en termes de pertes de pouvoir, de souveraineté, de marchés, etc. avec de nouveaux modes opératoires, où se mélangent intimidation stratégique,  ambiguïté, violence, etc.

Dans ce contexte, les thèses exposées ci-dessus – et on ne parle même pas de la question énergétique qui va revenir – montrent que l’eau monte inexorablement dans la cale du navire. Bien entendu il faut continuer à écoper pour ralentir le naufrage, mais cela ne suffira pas, nous le savons déjà. Alors que faire face à son inexorable occurrence?

La réponse n’est de loin pas simplement plus de technologie, plus de cybersécurité ou plus de régulation.  C’est à trouver des réponses que nous travaillons chez digiVolution et nous invitons toutes les bonnes volontés et ceux qui ont compris les enjeux à soutenir notre action.
CONTACTEZ-NOUS !

Image générée par DALLE-E d’un « groupe réfléchissant à des solutions pour affronter les cybermenaces »

Cyberactualité

Les sujets clés qui ont retenu notre attention durant les deux semaines écoulées.

• Souveraineté numérique – La discussion en Suisse se poursuit malgré la passivité de Berne et cela est réjouissant. L’initiative des cantons latins fait particulièrement plaisir avec une définition du terme «souveraineté» de bon niveau : «la capacité des autorités à maintenir leur autonomie stratégique, soit à pouvoir utiliser et contrôler de manière autonome les biens matériels et immatériels et les services numériques qui impactent l’économie, la société et la démocratie». Nous aurions souhaité que le mot «autorités» cède sa place à «entité», car tout le monde est concerné, de l’individu à l’État, mais c’est là déjà un pas très positif. Une initiative de l’association Innovate Switzerland traite du même sujet, mais là notre enthousiasme est beaucoup plus mesuré, car le but annoncé est «promouvoir une utilisation responsable des données et de la technologie de cloud public en Suisse et renforcer la capacité d’innovation du pays». En fait, ce texte est vide de toute idée de souveraineté et la composition du comité qui en est l’auteur laisse penser que les enseignements du fiasco de Gaia-X, le projet de cloud européen qui a commencé à capoter avec l’arrivée des GAFAM, n’ont pas été tirés.
• Nouvelle loi sur la protection des données nLPD – Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié une explication générale sur la nouvelle loi. Mais à 3.5 mois de son entrée en vigueur, il n’y a toujours aucune réponse quant à l’équivalence de la nLPD avec le RGPD européen (l’UE n’est-elle pas notre principal partenaire économique ?) ni aucune aide concrète quant à des marches à suivre, recommandations concrètes, formulaires d’aide, etc. C’est léger ! Mais les émoluments sont définis! Pourtant face à l’explosion d’applications d’IA qui compliquent chaque jour la gestion des données, les entreprises et institutions auraient bien besoin de quelques outils.
• L’Europe en bref – Le cloud souverain, pourrait devenir l’Arlésienne 4.0. Le Data Act fait face à des vents contraires, les entreprises craignant pour leur compétitivité. Il nous faudra apprendre un nouvel acronyme : ECCC pour l’European Cybersecurity Competence Centre and Network qui vient d’être inauguré à Bucarest. Espérons que l’activité de ce centre se distinguera bien des entités nationales, de l’ENISA, du CCDCOE ou encore du Hybrid CoE et apportera une véritable plus-value.Prenons enfin connaissance du manifeste de la JEDI – Joint European Disruptive Initiative qui veut fédérer les États européens autour d’une initiative de type DARPA pour ramener le continent parmi les puissances technologiques, notamment au moyen d’une gouvernance agile, loin des standards européens inefficaces et autour d’un nombre limité de thèmes stratégiques.

BOOKS & REPORTS

Voici les livres et publications d’intérêts découverts durant nos recherches des dernières trois semaines.

En bref

Pour TikTok, la discussion a porté jusqu’ici sur la confidentialité des données et la manipulation individuelle des contenus, mais le problème clé se trouve au niveau de l’algorithme de recommandation qui permet à la Chine d’établir un profil de masse des utilisateurs et de conduire des opérations d’influence à grande échelle. Avec le COVID, la Suisse s’est retrouvée avec 9 millions d’experts en virologie et avec ChatGPT nous sommes tous devenus des experts en IA. Pour mériter ce titre, prenons le temps de nous documenter sur son identité (1, 2, 3). Et qui se souvient de la cyberattaque contre SolarWinds, à ce jour la plus grande attaque connue contre la chaîne d’approvisionnement  cyber? Un rapport détaillé expose désormais le mode opératoire des Russes.

Et notre fascination pour l’immensité de l’espace ne faiblit pas. On vous invite à admirer la première ceinture d’astéroïdes jamais découverte en dehors du système solaire par le James Webb Space Telescope (JWST).

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Voici les dV-News 09-2023 et leur sélection d’articles et liens et une nouvelle réflexion sur la confiance inspirée par la vague déclenchée par ChatGPT, mais sans son appui. lire plus

Voici les dV-News 08-2023 et leur sélection d’articles et de liens. Cette édition comprend un commentaire sur la nouvelle cyberstratégie nationale CSN (on utilisera ci-après l’acronyme allemand NCS bien établi), des nouvelles du Swiss CyberHub et nos habituels commentaires et invitations à la lecture.

lire plus

Voici les dV-News 07-2023 et leur sélection d’articles et de liens, publiées pour la première fois avec :Padlet, paper.litirant sa révérence le 20 avril. Nous vous souhaitons une agréable découverte (à explorer verticalement et horizontalement 😊).

lire plus

Voici les dV-News 06-2023 et leur sélection d’articles et de liens. Désolé de vous avoir fait attendre pour ce 72^èmeopus…!

Swiss CyberHub 2023 | CHub23

Hourra ! Le programme général du Swiss CyberHub à Fribourg les 12 et 13 octobre prochain est sous toit. Un grand MERCI aux membres de la commission de programme pour cette première étape conceptuelle (disponible en ligne / communiqué de presse). Et en avant pour la planification de détail ! lire plus

Voici les dV-News 05-2023 et leur sélection d’articles et de liens. Désolé de vous avoir fait attendre une semaine de plus pour vous livrer ce 71^ème opus…! lire plus