Newsletter

Voici les dV-News 16-2023 et leur sélection d’articles et liens. Lorsque vous découvrirez ce billet, la plupart d’entre vous serez de retour au travail. Permettez-nous une dernière rêverie d’été et un appel à tous les dirigeants afin qu’ils mettent les conséquences de la mutation numérique et l’antifragilité au sommet de leurs préoccupations.

La société doit apprendre à gérer un système instable

Quelques acronymes anglosaxons sont devenus populaires pour décrire notre monde contemporain: VUCA pour volatile, incertain, complexe et ambigu et BANI pour fragile, anxieux, non-linéaire et incompréhensible. Le monde logique, simple, binaire et qui évolue au rythme darwinien… a disparu.

Si on confronte nos organisations, nos lois ou encore notre éducation à cette réalité, force est de constater que le fossé ne cesse de se creuser. Que fait-on pour vraiment maîtriser les conséquences de la mutation numérique? Une minorité en est capable, mais la majorité consomme passivement la technologie. En termes de risques, un grand nombre d’acteurs sont insuffisamment préparés et rares sont ceux qui disposent de planifications prévisionnelles (si A se passe alors je fais B ou C); beaucoup pensent également naïvement que les événements se conformeront même à leurs règles… L’ordre mondial d’après-guerre n’a pas explosé que le 24 février 2022 en Ukraine. Cela fait 40 ans qu’il plie sous la pression constante de la mutation numérique.

Cette mutation a apporté des progrès qui étaient inimaginables il y a 10 ans encore, mais comme nous l’écrivions dans notre précédent billet, il est plus que temps que la Suisse dispose pour elle d’une analyse mise à jour en continu des risques et des opportunités et qui serve de base à nos décisions pour nous adapter au monde, tirer notre épingle du Grand Jeu et en être un acteur positif qui anticipe. Le monde ne s’adaptera pas à nous et au contraire nous surprendra toujours. Ne soyons pas cette grenouille qui comprend trop tard qu’elle est cuite! Cessons de traiter le monde comme un problème de procédure alors qu’il est en réalité profondément dynamique, chaotique et inégalitaire.

Le général Stanley McChrystal a fait de l’adaptabilité un pilier central de son leadership, déclarant que «l’adaptabilité, et non l’efficacité, doit être la compétence centrale du soldat». Chez les militaires, la planification adaptative devient cardinale afin de gérer des situations s’avérant toujours plus complexes et aléatoires qu’attendu. Comment optimiser notre monde par rapport à des disruptions non ou au moins peu prédictibles frappant des systèmes fragiles car surspécialisés? En disposant d’une parfaite connaissance de notre cartographie de nos organisations et de nos risques, en établissant des planifications prévisionnelles, en restant simples, en entraînant régulièrement le personnel et en disposant en permanence d’un renseignement de qualité, chacun à son niveau. Face à un choc, quel qu’il soit, celui qui n’est pas préparé n’a aucune chance de succès.

La Suisse doit être plus que résistante, plus que résiliente. Elle doit aller un pas plus loin, développer et soigner son antifragilité. Elle en a les moyens. Il ne lui manque que la volonté.

Et que l’image et les réflexions de Bilgin Ibryam, un passionné de la théorie de l’antifragilité de Nassim Nicolas Taleb, nous inspirent

Source: Bilgin Ibryam 

Petit cyber-digest

Les sujets qui ont retenu notre attention durant les deux semaines écoulées.

• Copilot – Nous recommandons à toutes les entreprises et organisations de consacrer tout le temps nécessaire à la prochaine (r)évolution de leur outil de travail, car Microsoft arrive avec Copilot, une application de l’intelligence artificielle et des modèles développés par OpenAI aux logiciels de la suite Office utilisés par une grande majorité des personnes travaillant en Suisse. Microsoft a eu le nez creux en investissant près de 13 milliards $ dans ce développement, son avance sur la concurrence – déjà largement laminée – étant désormais écrasante. Même la bourse de New York commence à s’émouvoir du poids des big tech. Les observateurs attentifs auront aussi pris connaissance du fait que ces géants ne s’intéressent pas qu’au champ numérique. Microsoft s’intéresse aussi de très près à la fusion nucléaire qui vient de faire un pas important en avant.
• Investir en Chine – Qui a dit que les USA étaient le pays des paradoxes ? En tout cas on constate un gouffre entre le discours du gouvernement américain qui semble prêt à en découdre militairement et l’économie privée qui investi des sommes très substantielles dans la haute technologie chinoise. Notons au passage que le Pentagone est considéré comme inadapté pour être le chef de file sur ce dossier, car pour que la dissuasion intégréeréussisse, le marteau ne doit pas non plus être l’outil de premier recours.
• Rapports de situation – Cette quinzaine nous avons découvert des rapports intéressants:  le rapport au Congrès américain sur les progrès dans l’IA, le plan du CIO du Département US de la défense pour la réalisation de la Cyber Workforce, la mise en place du cadre de protection des données entre l’UE et les USA, le rapport du RUSI sur le défis de l’assurance face au ransomwares, les rapports sur la cybermenace de Qualys et  de BlackBerry et enfin la vue d’ensemble de McKinsey sur l’IA.

BOOKS & REPORTS

En bref

▶︎ Cybersécurité en Suisse – L’affaire Xplain continue discrètement à faire des vagues, mais les médias restent attentifs sur ce dossier qui réserve encore des surprises et dont toute la gravité réelle n’a pas encore été divulguée. Les notes distribuées sont, à raison,  tout sauf positives.

▶︎ Brésil – La cybersécurité est aussi un thème pour le Président Lula. A découvrir.

▶︎ Protection de la sphère privée – Montrer ou ne pas montrer ses enfants ? Tous les influenceurs n’ont pas la même éthique.

▶︎ North Star – Un projet chargé de développer et d’étudier un cadre pour la formulation de la Grand Strategy des USA, qui intègre des approches de prospective stratégique pour améliorer la planification à long terme de la nation. Un domaine très insuffisamment développé en Suisse. A part auprès de l’association futurs.ch.

Et comme souvent, un petit tour dans l’espace… Cette fois pour un ouf de soulagement, car la NASA a failli perdre Voyager 2 après lui avoir envoyé une mauvaise mise à jour logicielle décalant le faisceau de données de 2° et donc perdant la communication avec la sonde. A 20 milliards de km et 37 heures pour que le signal atteigne la sonde et que sa réponse revienne sur Terre. Les conséquences d’un petit bout de code mal fagoté…

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Vous souhaitez soutenir l’action de digiVolution? Écrivez-nous à info@digivolution.swiss

Voici les dV-News 15-2023 et leur sélection d’articles et liens.

«Père, pardonne-leur, car ils ne savent ce qu’ils font» (Luc 23:34)

Qui aurait pensé qu’un billet de digiVolution commencerait un jour par un passage de la Bible, celui où Jésus s’adresse à Dieu en faveur des soldats romains qui viennent de le crucifier? 1945 ans plus tard, le 16 juillet à 5h 29min 45s explosait à Los Alamos la première bombe atomique de l’histoire: Trinity. Son inventeur, Robert Oppenheimer, fait aujourd’hui l’objet d’un film soutenu par la critique. Trinity a certainement précipité la reddition des forces japonaises le 15 août 1945, mais la tragédie des bombardements d’Hiroshima le 6 août et de Nagasaki le 9 août ont convaincu Oppenheimer du potentiel ravageur de ce type d’arme. Il a été ainsi une des premières voix à s’opposer à la course aux armements nucléaires durant la guerre froide.

La bombe a provoqué une véritable disruption géopolitique. L’équilibre de la terreur qui s’en est ensuivi, dès lors que les Russes l’avaient acquise peu après, a empêché les blocs occidental et soviétique d’en découdre directement. L’excellent dossier spécial Oppenheimer du Bulletin of the Atomic Scientists illustre parfaitement les enjeux de cette période et ce domaine qui, rien qu’aux USA, absorbe toujours des sommes astronomiques.

Quel rapport avec la mutation numérique?

Et si cette mutation représentait, certes dans des conditions très différentes, un risque similaire aux armes nucléaires? Une question indéniablement provocatrice, mais nécessaire. Est-ce que la somme des risques associés à la mutation numérique pourrait constituer pour l’humanité une menace (rampante) de même ordre que les armes nucléaires? Rampante, car au contraire de ces armes de destruction massive qui pourraient ravager la Terre en quelques minutes, les dangers et menaces liés au numérique devraient se concrétiser différemment. Pour le Secrétaire général de l’ONU l’ordre de magnitude des risques est cependant comparable et il craint en particulier une interaction incontrôlée entre les deux. Comme l’a fait le Forecasting Research Institute une réflexion approfondie ne serait pas de trop, car en l’état on oscille entre toutes sortes d’hypothèses et de peurs souvent irrationnelles.   

Comme évoqué dans de précédents billets, trois catégories de personnes se distinguent par rapport à la mutation numérique: les technobéats qui croient que la technologie résoudra tous les problèmes (oubliant aussi son rôle dans la situation actuelle…), lestechnoneutres qui consomment les produits et services IT sans trop se poser de questions et les technosceptiques qui considèrent la technologie avant tout comme un risque, les plus fanatiques voulant tout réglementer, voir revenir à l’âge de la pierre. Et il y a bien sûr entre ces trois catégories toute une série de variations que nous laissons à l’imagination de nos lecteurs. Ce qui est intéressant, c’est la constante entre ces catégories: le manque complet de connaissances pour valider ou invalider les croyances, peurs et approximation des uns et des autres. En bref, la société ne dispose d’aucune analyse dynamique et partagée des risques pour les qualifier de manière objective. En conséquence, les États agissent ponctuellement et sans répondre aux inquiétudes des entreprises et des travailleurs. La résultante est une fuite en avant. Face aux risques systémiques potentiels attachés à la mutation numérique, cette passivité de la société et des politiques est irresponsable. Une analyse globale et sérieuse des risques de la mutation numérique est impérative.

Et est-ce trop demander que notre Conseil fédéral établisse et conduise une politique générale en phase avec la mutation numérique? Peut-être comprendrions-nous par exemple pourquoi la Suisse ne prend pas part à la déclaration sur l’avenir de l’Internet…!

Petit cyber-digest

Les sujets qui ont retenu notre attention durant les deux semaines écoulées.

• X – Décidément, le petit oiseau bleu aura été méchamment malmené par son imprévisible propriétaire. Celui-ci va-t-il en faire un nouveau succès comme SpaceX ou précipiter dans le caniveau son jouet à 44 milliards? Twitter était une source reconnue d’information, désormais les trolls peuvent, pour une somme modique, y diffuser, sans règles et sans contrôle, n’importe quels contenus. On verra si Musk arrive, avant que tout le monde se lasse de ses frasques, à en faire l’instrument qu’il a esquissé. Quelle que soit l’issue, nous suggérons déjà deux leçons: 1) que nos législateurs établissent un cadre légal afin que les conditions générales des fournisseurs de services soient simplifiées et 2) un mécanisme obligeant les utilisateurs à les lire et à les comprendre avant de se rendre dépendants en totale ignorance, de responsabilités qui les dépassent. Et vous, chers Lectrices et lecteurs, quand avez-vous lu complétement ces clauses?
• Cybermenace – Avec l’attaque contre Microsoft, comme celle qui a touché Xplain, on constate que minimiser (ou l’envie de les cacher?) les conséquences en cas de cyberincident reste une tendance dominante. À la fin toutefois, les soucis s’avèrent toujours bien plus sérieux qu’annoncé. Un peu d’honnêteté et d’humilité dans la communication de crise seraient les bienvenus. Autre constat de la quinzaine, les acteurs malveillants deviennent paresseux ; ils préfèrent s’épargner la gestion complexe d’une instance de chiffrage et appliquent de plus en plus la méthode encryptionless extortion attacks. Certes, un souci de moins pour les victimes, mais cela permet aux agresseurs de multiplier une forme d’attaque plus simple à gérer.
• QUANTUM – Si les annonces des Coréensse confirment (il y a encore des doutes) au sujet d’une possible supraconductivité à température et pression ambiantes, alors une formidable accélération vers un ordinateur quantique commercial va avoir lieu. Un dernier avertissement pour passer à une cryptographie post-quantique, car une donnée chiffrée volée aujourd’hui sera décryptée demain.

BOOKS & REPORTS

En bref

▶︎ Maison Blanche – Les initiatives  cyber se bousculent avec un programme d’étiquetage cybersécurité pour les appareils intelligents et des entretiens avec l’industrie de l’IA pour l’engager sur un chemin vertueux (à notre avis naïf)  afin de protéger les consommateurs américains…

▶︎ OPSEC – Et encore des soldats tués pour n’avoir pas compris les multiples pièges qu’on peut leur tendre avec un smartphone. Cette fois via Tinder.

▶︎ ChatGPT deviendrait bête – On croyait que le temps profiterait à sa qualité, mais des chercheurs  ont montré que le comportement de ChatGPT se dégrade au lieu de s’améliorer.

▶︎ Habitant typique de la Suisse – Voilà comment une IA nous voit: peu de femmes et une population tout sauf jeune.

Le télescope James Webb fête son premier anniversaire, continue de fasciner les scientifiques et de rapporter des vues étonnantes de l’univers. À quand des discussions enfin sérieuses sur ses autres habitants?  En tout cas les observations de phénomènes inexpliqués sont nombreuses et le débat s’enflamme aux USA avec un témoignage devant le Congrès (voir la cartographie de la RAND Corporation) alors que ce même Congrès entend promouvoir l’espace – qui trône au centre de la mutation numérique – en tant que partie des infrastructures critiques.

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Vous souhaitez soutenir l’action de digiVolution? Écrivez-nous à info@digivolution.swiss

Voici les dV-News 14-2023 et leur sélection d’articles et liens.

Maîtriser notre numérisation, un parcours plein d’obstacles et de dilemmes

La réflexion qui suit est issue d’une rêverie d’été, d’un de ces moments où on laisse divaguer les pensées. Au fil des lectures de rattrapage d’ouvrages restés sur une table en attendant de meilleurs moments et de l’avalanche de contributions que nous passons en revue chaque quinzaine, le sentiment que quelque chose cloche en Helvétie s’est insinué dans nos esprits.

Selon l’approche holistique et systémique qui caractérise les travaux au sein de digiVolution, nous sommes encore une fois arrivés à la conclusion que la Suisse ne peut pas espérer maîtriser sa mutation numérique et sa cybersécurité si elle continue son approche en silo et, comme un chien crevé au fil de l’eau, attend de voir ce que font les autres pour s’aligner sans ambition ni vision sur leurs politiques.

Le tableau suivant, qui n’est pas (encore) le fruit d’une recherche rigoureuse et dont la structure et l’exhaustivité sont bien entendu largement perfectibles, ambitionne de s‘interroger globalement, même si la réflexion est limitée aux variables représentées. Nous nous sommes ainsi demandé où nous en sommes (points bleus), vers où nous allons (points orange) et vers où il faudrait aller (points verts).

Il ressort de cette représentation trois constats principaux:

• Les écarts entre les états représentés sont importants. La raison tient notamment aux réalités suivantes: la maturité de la société suisse en matière de numérisation est mal connue ; le niveau que nous souhaitons atteindre, notre ambition et les politiques publiques sont souvent indéterminées, non communiqués, quasi sans moyens pour leur réalisation ou encore laissés à l’appréciation (bien commode) de notre doctrine libérale; enfin, face à une mutation numérique dynamique et une situation géopolitique instable, les prévisions, même raisonnables, sont difficiles et il serait impératif d’investir beaucoup plus dans l’anticipation et la prospective.
• Le spectre est large, trop large diront certains. Certes, mais il représente la réalité et si nous voulons résoudre cette équation, c’est d’abord en établissant, aussi précisément et à jour que possible une cartographie de tous les faits. Cela fait plus de 2 ans que digiVolution y travaille et nous serions heureux que nos édiles s’en inspirent. Car il est plus que temps! En ce sens, l’énoncé de la Conseillère nationale Bellaiche, patronne de SWICO interpelle: «La numérisation a longtemps été considérée comme un sujet de niche au Parlement. Peu de gens avaient prévu son importance révolutionnaire pour notre société»! Nos élus évoluent-ils dans une dimension parallèle et seul le hype autour de ChatGPT a été capable de les réveiller?
• Ces constats exigent que soit revu le mode de gouvernance de la Confédération. En effet, le numérique ne peut plus être traité comme une priorité secondaire dispersée entre de multiples acteurs. Un ministre fédéral du numérique, comme le font déjà certains cantons, est une évidence qui doit s’imposer, au même titre que d’avoir des ministres de la santé, des transports ou encore des finances. Le numérique, nous l’avons déjà écrit à maintes reprises, n’est plus une simple commodité, mais un domaine vital de la société qui doit avoir un(e) patron(ne) disposant de moyens substantiels. Et les yeux ouverts!

Illustration: Greg Perry, Toronto Star

Petit cyber-digest

Les sujets qui ont retenu notre attention durant les deux semaines écoulées.

• XPLAIN – Les révélations sur cette affaire sont chaque semaine pires. Tout y passe désormais: les adresses de nos Conseillers fédéraux, des données du Service de renseignement de la Confédération, un extrait substantiel de 2015 de la base de données sur les hooligans… Et quoi encore? À la fin on apprend que cette société pourtant expérimentée qui détient (mème si ce n’est que momentanément) des informations aussi sensibles, est loin d’être exemplaire en matière de sécurité.
• IA – La vague déclenchée par ChatGPT ne retombe pas et on observe toujours cette opposition entre les techno-optimistes qui estiment que l’humanité prendra le dessus, comme avec d’autres technologies par le passé, et les techno-critiques pour lesquels les risques sont bien trop grands pour prendre le tout à la légère. C’est également notre avis, la naïveté n’étant pas une politique responsable.
• Cette Chine qui fait (encore) peur – Point besoin d’être devin pour prédire que la Chine sera le prochain point d’attention d’un Occident toujours plus concurrencé dans ses bases et ses valeurs. Les Chinois sont régulièrement montrés du doigt par nos services de renseignement et poursuivent, en Suisse aussi, leur politique agressive d’espionnage. Récemment ils s‘en sont par ailleurs pris à Microsoft  et à nouveau au gouvernement américain et mettent une pression croissante sur la chaîne d’approvisionnement en métaux stratégiques. Le conflit commercial qui les oppose aux USA – avec toujours plus de conséquences pour l’Europe – n’est pas près de se réduire.

BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches des dernières deux semaines.

En bref

▶︎ USA – La nouvelle stratégie de cybersécurité possède désormais son plan de mise en œuvre.

▶︎ UE – Le difficile chemin des européens en matière de souveraineté(s), avec (s) car il n’y a bien entendu pas que la question cyber qui occupe Bruxelles.

▶︎ OPSEC – À nouveau, un militaire a payé de sa vie de n’avoir pas su protéger ses informations en laissant l’app STRAVA divulguer ses parcours de jogging ; tout le monde s’était moqué des Américains en 2018 en Irak… mais rien appris.

▶︎ Japon – Cette fois c’est Nagoya, le plus grand port du pays,  qui a subi une attaque paralysante avec demande de rançon; nos infrastructures critiques, sont-elles plus solides

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Voici les dV-News 12-2023 et leur sélection d’articles et liens.

Point de bascule, tournant, seuil critique, moment charnière, point de rupture…

À la suite de la vague de cyberattaques récemment subies par la Suisse (et ce n’est certainement pas terminé), des menaces proférées par M. Medvedev de s’attaquer aux câbles sous-marins en représailles aux sabotages de Nord Stream, des nombreuses pénuries qui menacent la chaîne d’approvisionnement, à commencer par l’énergie électrique pour l’hiver prochain, de la facture toujours plus insupportable de la cybercriminalité, l’image globale de l’espace numérique est pour le moins inquiétante.

Nombreuses sont les situations qui pourraient devenir critiques et, en se combinant entre elles, simplement dégénérer. Si l’on considère l’amoncellement de nuages numériques noirs pesant sur la société, il est difficile de déborder d’optimisme. Pourtant la plupart des individus et des organisations se comportent encore comme s’ils ne voyaient pas cette situation. Étrange quand on sait le coût moyen d’un cyberincident et leurs conséquences visibles et invisibles. D’ailleurs quel sera le coût total réel de la cyberattaque contre Xplain?

Ce cas permet une fois encore de mettre en évidence une réalité incontournable en cybersécurité: l’anticipation est reine, mais sans cartographie précise du présent et du passé avec leurs vulnérabilités et héritages, aucune analyse de risques ni stratégie crédible et durable ne peut être élaborée. Non seulement l’échec est programmé, mais en cas d’incident un cauchemar attend aussi les responsables qui ne savent pas où commencer. Et c’est du vécu, croyez-nous !

Bien entendu que l’écosystème numérique suisse dispose de nombreux atouts, mais il nous paraît toujours plus impératif et urgent de répondre au risque de tipping point pouvant naître de la conjonction de tous ces défis. Quelles réponses la société, et notre pays en particulier, veut-elle apporter à cette situation? Dans ce billet nous n’en avons mentionné que quelques-uns, mais la liste est longue et l’attentisme actuel, ce manque de volonté collective de vraiment les prendre à bras le corps, nous paraît particulièrement irresponsable. Nous sommes assis sur une bombe à retardement dont nous avons par ailleurs une connaissance très imparfaite, une sorte de «faille de San Andreas numérique», mais nous continuons à faire comme si cela n’avait pas d’importance. En fait il manque une réflexion de fond sur la société numérisée. Voulons-nous corriger cela avant d’atteindre le point de rupture? Actuellement ce que faisons s’appelle une fuite numérique en avant.

Petit cyber-digest

Les sujets qui ont retenu notre attention durant les deux semaines écoulées.

• XPLAIN – De nombreux détails sur la cyberattaque qui a affecté cette firme d’Interlaken sont désormais connus. Et plus on creuse, pire semble être la situation avec désormais des données sensibles sur des affaires judiciaires et sur des personnes, dont nos conseillers fédéraux. Ce n’est pas reluisant et nécessite désormais un état-major de crise politico-stratégique « fuite de données ». Espérons que cette débâcle sera pour la Suisse le même électrochoc que celui vécu en 2007 par l’Estonie devenue depuis premier de classe cyber. Et soyons clairs, cette fois un petit peu de cybercosmétique ne suffira pas. C’est un chantier national qu’il faut entreprendre à tous les étages. Fini de se croire encore épargné et de ricaner quand d’autres se font avoir? La Suisse doit passer au minimum la vitesse supérieure.
• Droits fondamentaux – Le 19 juin dernier, le canton de Genève a approuvé à 94% l’inscription dans sa constitution d’un droit à l’intégrité numérique. Un pas historique qui, on l’espère, trouvera rapidement son pendant dans la Constitution fédérale.
• Dossier électronique du patient (DEP) – Sur le principe, il est bien entendu louable que le Conseil fédéral mette la pression. Il reste toutefois de nombreuses questions sans réponse dans ce secteur «atomisé» en une multitude d’intervenants et 26 cantons. Les cas récemment portés à l’attention du public montrent que la cybersécurité dans ce secteur est faible alors qu’il est une cible privilégiée de criminels que la souffrance de leurs victimes laisse insensible. Exiger les meilleurs standards et les fixer dans la loi est bien évidemment impératif (what else?), mais cela ne constitue aucunement une garantie. Et quid de la synchronisation avec l’identité électronique? Qui aura (dans le détail et pas simplement « les professionnels de santé » et «pour les besoins de la recherche») et comment accès à ces données? Et seront-elles centralisées? Car en cas de grosse attaque, le secteur entier de la santé risque la panne systémique…

BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches des dernières deux semaines.

En bref

▶︎ La Chine est confirmée comme principale source des attaques Advanced Persistant Threats APT. Lors du premier trimestre 2023, elle aurait été responsable de 79% des attaques d’origine étatique. Le rapport de juin du Trellix Advanced Research met notamment en évidence une augmentation des attaques contre les secteurs de la finance, des télécommunications et de l’énergie.

▶︎ Le U.S. Government Accountability Office GAO constate quant à lui que la numérisation est présente dans tous les processus et opérations de fabrication et de contrôle industriel des armements nucléaires, mais que la National Nuclear Security Administration NNSA et ses sous-traitants n’en sont qu’aux premiers stades des efforts nécessaires, même après plusieurs années. Intéressante perspective pour un pays traditionnellement attaqué de toutes parts et détenteur de 5’500 armes nucléaires…

Après les attaques contre Colonial Pipeline et SolarWinds, voici de quoi relativiser (un petit peu) certaines attaques virulentes contre la cybersécurité en Suisse!

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Voici les dV-News 12-2023 et leur sélection d’articles et liens.

La Suisse assiégée – Place enfin au réveil et au réalisme

Il y a quelque chose que nous détestons faire chez digiVolution, c’est de dire: «nous avions prévenu» ! Dans le cadre de l’attaque contre la société XPLAIN, nous écrivions il y a 15 jours, en réaction aux affirmations qu’aucune donnée opérationnelle n’avait été exposée, «on mesurera l’ampleur réelle plus tard». Et quelle surprise… de telles données se retrouvent dans la nature ! Il incombe maintenant au NCSC de défaire l’imbroglio, de réparer et de faire oublier la communication précipitée et peu professionnelle de certains offices. lire plus

Voici les dV-News 11-2023 et leur sélection d’articles et liens. Avant d’entrer dans le vif du sujet de la dernière quinzaine, l’équipe de digiVolution adresse à Florian Schütz ses vives félicitations pour sa nomination par le Conseil fédéral en tant que premier directeur de l’Office fédéral de la cybersécurité dès le 1^erjanvier 2024. Nous lui adressons tous nos vœux et ferons tout ce qui est en notre modeste pouvoir pour l’appuyer dans sa mission. Un choix qui nous réjouit, car, comme nous l’avons écrit sur LinkedIn, l’homme est compétent, humble et engagé et il aurait été désastreux de changer de champion au milieu du gué!
lire plus

Voici les dV-News 10-2023 et leur sélection d’articles et liens et une réflexion sur la manière de se protéger contre le fléau toujours plus incontrôlable des défis sécuritaires de la mutation numérique.

Sortir de la logique de cyber attrition

Osons une discussion provocatrice… Y a-t-il une autre voie possible que le combat de coqs sur leur tas de fumier? L’image est certes osée, mais force est de constater que nous sommes dans une situation insoluble qui va inexorablement à l’échec.

Tout d’abord nous sommes dans une situation de dissymétrie par rapport à nos concurrents et adversaires. Nos forces sont qualitativement comparables, mais quantitativement très inférieures et à la fin c’est toujours le plus gros qui gagne. Ce n’est qu’une question de temps. On peut prendre toutes les mesures imaginables, l’expérience montre que les cyberagresseurs s’adaptent rapidement et savent souvent mieux faire usage des nouvelles technologies que les défenseurs. Nous sommes aussi dans une situation d’asymétrie, car nous ne nous battons pas sur le même plan. Les défenseurs sont les seuls à s’en tenir aux règles et les agresseurs savent ce que la défense peut ou ne peut pas faire. Ils savent aussi que les mieux-sachants vont les désavouer dès qu’ils franchiront les lignes que seule notre infinie naïveté a créé.

Les chiffres publiés en début d’année par STATISTA montrent que les dégâts de la cybercriminalité à l’échelle mondiale passeront de 8’440 milliards de dollars US en 2022 à 23’820 milliards de dollars US en 2027 (soit près d’un quart de la richesse mondialement produite…). Ce sont probablement des chiffres très pessimistes, mais ils sont l’expression d’une réalité, en Suisse aussi et malgré les investissements continus consacrés à la cybersécurité. C’est comme tenter d’écoper un bateau qui prend toujours plus d’eau avec un seau trop petit. À la fin il y a quand même naufrage. Le NCSC et l’industrie suisse de la cybersécurité font un boulot remarquable, ils sont souvent à la pointe de l’innovation technique et les forces de l’ordre internationales démantèlent régulièrement des gangs criminels, rien n’y fait, la casse augmente inexorablement. Parfois même les malwares sont encore implantés déjà lors de la fabrication des produits… ! À ce train-là, les dégâts vont devenir insupportables. Peut-on espérer un changement de tendance? Les neuf thèses sectorielles ci-dessous (chez digiVolution nous suivons 25 domaines) tendent à dire le contraire.

Comme l’a exposé le chef d’état-major français des armées, le contexte géostratégique est sorti du continuum classique de paix -crise – guerre pour entrer dans une boucle de compétition – contestation – affrontement. Le monde se trouve ainsi bien plus souvent dans une situation conflictuelle qui ne dit pas son nom, mais qui est bien réelle à tous les niveaux en termes de pertes de pouvoir, de souveraineté, de marchés, etc. avec de nouveaux modes opératoires, où se mélangent intimidation stratégique,  ambiguïté, violence, etc.

Dans ce contexte, les thèses exposées ci-dessus – et on ne parle même pas de la question énergétique qui va revenir – montrent que l’eau monte inexorablement dans la cale du navire. Bien entendu il faut continuer à écoper pour ralentir le naufrage, mais cela ne suffira pas, nous le savons déjà. Alors que faire face à son inexorable occurrence?

La réponse n’est de loin pas simplement plus de technologie, plus de cybersécurité ou plus de régulation.  C’est à trouver des réponses que nous travaillons chez digiVolution et nous invitons toutes les bonnes volontés et ceux qui ont compris les enjeux à soutenir notre action.
CONTACTEZ-NOUS !

Image générée par DALLE-E d’un « groupe réfléchissant à des solutions pour affronter les cybermenaces »

Cyberactualité

Les sujets clés qui ont retenu notre attention durant les deux semaines écoulées.

• Souveraineté numérique – La discussion en Suisse se poursuit malgré la passivité de Berne et cela est réjouissant. L’initiative des cantons latins fait particulièrement plaisir avec une définition du terme «souveraineté» de bon niveau : «la capacité des autorités à maintenir leur autonomie stratégique, soit à pouvoir utiliser et contrôler de manière autonome les biens matériels et immatériels et les services numériques qui impactent l’économie, la société et la démocratie». Nous aurions souhaité que le mot «autorités» cède sa place à «entité», car tout le monde est concerné, de l’individu à l’État, mais c’est là déjà un pas très positif. Une initiative de l’association Innovate Switzerland traite du même sujet, mais là notre enthousiasme est beaucoup plus mesuré, car le but annoncé est «promouvoir une utilisation responsable des données et de la technologie de cloud public en Suisse et renforcer la capacité d’innovation du pays». En fait, ce texte est vide de toute idée de souveraineté et la composition du comité qui en est l’auteur laisse penser que les enseignements du fiasco de Gaia-X, le projet de cloud européen qui a commencé à capoter avec l’arrivée des GAFAM, n’ont pas été tirés.
• Nouvelle loi sur la protection des données nLPD – Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié une explication générale sur la nouvelle loi. Mais à 3.5 mois de son entrée en vigueur, il n’y a toujours aucune réponse quant à l’équivalence de la nLPD avec le RGPD européen (l’UE n’est-elle pas notre principal partenaire économique ?) ni aucune aide concrète quant à des marches à suivre, recommandations concrètes, formulaires d’aide, etc. C’est léger ! Mais les émoluments sont définis! Pourtant face à l’explosion d’applications d’IA qui compliquent chaque jour la gestion des données, les entreprises et institutions auraient bien besoin de quelques outils.
• L’Europe en bref – Le cloud souverain, pourrait devenir l’Arlésienne 4.0. Le Data Act fait face à des vents contraires, les entreprises craignant pour leur compétitivité. Il nous faudra apprendre un nouvel acronyme : ECCC pour l’European Cybersecurity Competence Centre and Network qui vient d’être inauguré à Bucarest. Espérons que l’activité de ce centre se distinguera bien des entités nationales, de l’ENISA, du CCDCOE ou encore du Hybrid CoE et apportera une véritable plus-value.Prenons enfin connaissance du manifeste de la JEDI – Joint European Disruptive Initiative qui veut fédérer les États européens autour d’une initiative de type DARPA pour ramener le continent parmi les puissances technologiques, notamment au moyen d’une gouvernance agile, loin des standards européens inefficaces et autour d’un nombre limité de thèmes stratégiques.

BOOKS & REPORTS

Voici les livres et publications d’intérêts découverts durant nos recherches des dernières trois semaines.

En bref

Pour TikTok, la discussion a porté jusqu’ici sur la confidentialité des données et la manipulation individuelle des contenus, mais le problème clé se trouve au niveau de l’algorithme de recommandation qui permet à la Chine d’établir un profil de masse des utilisateurs et de conduire des opérations d’influence à grande échelle. Avec le COVID, la Suisse s’est retrouvée avec 9 millions d’experts en virologie et avec ChatGPT nous sommes tous devenus des experts en IA. Pour mériter ce titre, prenons le temps de nous documenter sur son identité (1, 2, 3). Et qui se souvient de la cyberattaque contre SolarWinds, à ce jour la plus grande attaque connue contre la chaîne d’approvisionnement  cyber? Un rapport détaillé expose désormais le mode opératoire des Russes.

Et notre fascination pour l’immensité de l’espace ne faiblit pas. On vous invite à admirer la première ceinture d’astéroïdes jamais découverte en dehors du système solaire par le James Webb Space Telescope (JWST).

Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.

Voici les dV-News 09-2023 et leur sélection d’articles et liens et une nouvelle réflexion sur la confiance inspirée par la vague déclenchée par ChatGPT, mais sans son appui. lire plus

Voici les dV-News 08-2023 et leur sélection d’articles et de liens. Cette édition comprend un commentaire sur la nouvelle cyberstratégie nationale CSN (on utilisera ci-après l’acronyme allemand NCS bien établi), des nouvelles du Swiss CyberHub et nos habituels commentaires et invitations à la lecture.

lire plus

Voici les dV-News 07-2023 et leur sélection d’articles et de liens, publiées pour la première fois avec :Padlet, paper.litirant sa révérence le 20 avril. Nous vous souhaitons une agréable découverte (à explorer verticalement et horizontalement 😊).

lire plus