Voici les dV-News 08-2023 et leur sélection d’articles et de liens. Cette édition comprend un commentaire sur la nouvelle cyberstratégie nationale CSN (on utilisera ci-après l’acronyme allemand NCS bien établi), des nouvelles du Swiss CyberHub et nos habituels commentaires et invitations à la lecture.
NCS
Nous saluons l’arrivée du troisième opus de la cyberstratégie nationale. Cela aurait pu être un thème de la précédente newsletter, mais nous voulions partager avec nos lectrices et lecteurs nos premières impressions en mettant le doigt sur quelques éléments clés.
Les points qui font plaisir
Un élément central de cette NCS3 et sans aucun doute son approche exhaustive basée sur les risques et non sur l’illusion du risque zéro, tout en misant sur la continuité avec les précédentes stratégies. Le classique CIA pour Confidentiality, Integrity, Availability est désormais flanqué du « T » pour Traceability, car il est en effet plus important que jamais de s’assurer également de la source d’un contenu et de l’intention de son émetteur; une information peut être juste et intègre, mais provenir d’un acteur mal intentionné. Un « T » donc central au temps de la désinformation de masse. Saluons aussi le réaffirmation du rôle subsidiaire et partenarial de l’État, donc de l’approche décentralisée, seule solution réaliste face à des défis hautement transversaux, tant verticalement qu’horizontalement. Nous saluons enfin l’honnêteté du texte qui met en garde contre la faiblesse des moyens en cas de multiplication d’incidents majeurs, ce qui nécessitera dans ce cas des arbitrages douloureux quant à savoir qui sera aidé ou non par Berne.
L’adage dit qu’une image vaut mille mots. Dommage que la NCS3 ne comprenne aucune représentation graphique et que le lecteur doive faire sa propre image de la structure. La proposition ci-dessous, qui a vu le jour en 2012 et a été graduellement affinée depuis, conserve toute sa pertinence et permettra à nos lecteurs de disposer d’une vue synthétique du dispositif helvétique.
Les points qui interpellent
Le NCSC, créé en 2020, deviendra office fédéral en 2024. Une solution similaire était déjà débattue en 2011, mais certaines forces n’en voulaient pas. Près de 13 ans sont donc passés et les moyens de la Suisse restent d’une modestie qui interpelle face à l’immensité des risques de la mutation numérique. Que la NCS3 parle désormais bien d’anticipation est encourageant, mais sans moyens dignes de ce nom (quels sont les moyens financiers et humains supplémentaires prévus ?), elle risque fort de rester essentiellement de nature réactive. Son niveau d’ambition permet-il vraiment de faire durablement de la Suisse une nation à la pointe?
Quid de la notion de souveraineté numérique? Tourner un peu autour de la question du cloud computing ne suffira pas pour apporter une réponse à ce sujet clé en lien étroit avec les questions de sécurité.
Quant aux technologies quantiques, leur prise en compte est positive, mais il s’agit là d’un défi au moins aussi important que l’intelligence artificielle et surtout qui réclame déjà une action de grande échelle avant que les ordinateurs quantiques ne soient largement installés. Des données chiffrées avec des technologies qui seront cassées par le quantique sont dérobées maintenant. Et la Suisse dispose déjà de solutions grâce à l’EPFL et à QRCrypto, donc point besoin de les développer ou d’aller les chercher à l’étranger et ainsi d’affaiblir encore plus notre souveraineté.
Il aurait également été utile que la NCS3 comprenne une représentation graphique pour expliciter les menaces. La figure ci-dessous devrait contribuer à combler cette lacune. Elle ajoute surtout un élément clé à la NCS3: la prise en compte de la menace intérieure, soit des actes délibérés de personnes agissant pour leurs intérêts (vol, vengeance, frustration, etc.) ou ceux de tiers. Les cas, facilités par l’IT, existent : HSBC, USA, SRC. De plus, la négligence ne doit en aucun cas être qualifiée d’erreur car, conformément au Code pénal, il s’agit d’un délit.
Premier bilan
La NCS est-elle parfaite ? Certainement pas, mais n’oublions pas qu’en Suisse une stratégie est le résultat d’un consensus autour de nombreux intérêts souvent divergents. Cela étant, cette NCS3, en comparaison avec d’autres stratégies de la Confédération, est une bonne stratégie, avec des mesures concrètes, mais dont le progrès, difficile à mesurer, sera une tâche clé du comité de pilotage.
A l’étranger, on bombe souvent le torse avec des annonces fracassantes sur des milliards dont on perd vite la trace après l’oubli des multiples promesses électorales, mais la Suisse ne tombe pas dans ce piège et c’est tant mieux. Mais il y a un milieu à tout et l’absence, pour la troisième fois, de volonté politique d’engager dans ce domaine des ressources à la hauteur des enjeux interpelle. On consacre des milliards pour inciter à investir dans les énergies renouvelables, mais pour le cyberespace dont on dépend tout autant que l’électricité, rien? À l’évidence, la Confédération n’a toujours pas vraiment saisi la nature et les conséquences de la mutation numérique et de ses immenses défis.
Swiss CyberHub
Nous avions lancé ce projet en septembre 2022 et annoncé le programme général à fin mars 2023 avec un gros enthousiasme. Avant de se lancer dans une course de montagne difficile, il faut toujours consulter la météo. Et si elle dit non, c’est non.
Alors avant de franchir la ligne de non-retour, le Conseil de fondation et la direction du projet ont procédé à une large analyse des risques. Les tensions géopolitiques, financières, énergétiques, sociales et économiques mises en évidence et qui se multiplient, se nourrissent mutuellement et évoluent en polycrise sans permettre de prévisions solides, a conduit à une conclusion sans appel. Notre communiqué de presse, qui mentionne également comme problème la multiplication d’événements durant l’automne prochain, dit STOP mais surtout AUTREMENT! Le CHub ne disparaît pas, il se transforme et un nouveau projet sera établi d’ici aux vacances d’été.
Cyberactualité
Les sujets clés qui ont retenu notre attention durant les deux semaines écoulées.
- Europe où est-tu? – Cette question concerne aussi la Suisse. A la lecture des différentes contributions (livres, rapport, articles) sur la mutation numérique et la cybersécurité / cyberdéfense, une observation s’est à nouveau cristallisée cette quinzaine: la faiblesse de notre continent en termes de réflexion stratégique, une part largement dominante provenant des USA et de sa sphère d’influence. Et après on s’étonne que nous perdions notre souveraineté? Sur le plan de l’investissement intellectuel, nous sommes simplement une génération en retard. Combien de digiVolution en Suisse pour réfléchir au-delà des intérêts immédiats et de la technique?
- Définir l’avenir avec l’IA – Avec ChatGPT, une tempête s’est levée et de multiples articles tentent d’apporter des réponses. L’humanité saura-t-elle gérer l’explosion de ce phénomène? Entre le «laisser faire la science» des techno-béats et le «mettons à l’IA un corset légal étroit» de ceux qui ne croient qu’aux interdictions, saurons-nous trouver le chemin? Rien n’est moins sûr, car les développements récents ont un rythme qui dépasse de loin celui du législateur, alors que celui-ci ne parvient même plus à comprendre la nature de l’objet qu’il est sensé réguler. Admettons-le, avec ChatGPT nous savons que l’IA a atteint le stade d’une variable de rupture. Avec le déploiement de cet outil mis largement à disposition par OpenAI, il y a un avant et un après. La véritable question est désormais de définir le modèle de société qui va en émerger plutôt que de tenter de faire rentrer le génie dans une lampe qui ne peut plus le contenir. La politique et la philosophie doivent vite se mettre au travail.
BOOKS & REPORTS
Voici les livres et publications d’intérêts découverts durant nos recherches des dernières trois semaines.
En bref
La Suisse a-t-elle vraiment compris la nature des règles que l’UE développe? La présidente de SWICO est d’un avis opposé et elle n’est pas la seule. Et en matière de règles, les USA ne sont pas non plus en reste. Quelles conséquences pour la Suisse? Et quid de TikTok que le Centre national de test estime pourtant problématique ?
Et pour continuer à rêver… une nouvelle image des anneaux d’Uranus par le télescope James Webb (JWST) en guise de piqûre de rappel pour que nous restions humbles face à l’immensité du cosmos, … et des tâches cyber!
Nous vous souhaitons une enrichissante découverte des articles et liens sélectionnés et nous réjouissons de vous retrouver bientôt.