Lors de la dernière session extraordinaire, le conseiller national Claude Béglé (PDC/VD) a présenté une interpellation (19.3461) qui demande notamment comment les différents efforts contre les cyberattaques des entreprises, des universités et de l’Etat peuvent être concertés. Dans le même ordre d’idée et également dans le cadre d’une interpellation (19.3139), le conseiller aux Etats Damian Müller (PLR/LU) requiert la mise en place d’attachés suisses auprès des ambassades suisses d’importance stratégique, dans l’optique de minimiser les cybermenaces, lesquelles ne s’arrêtent pas, comme nous le savons, aux frontières des pays.
Le Conseil fédéral a également reconnu la nécessité d’agir: un centre de compétences qui doit encore être créé prendra bientôt ses activités et succédera à MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information, devenant un point de contact pour les questions relatives aux cyber-risques pour les PME et le grand public. Un ou une délégué-e aux questions cybernétiques – Mme ou M. Cyber – en assumera la direction stratégique.
Les cas de «rançongiciel» se multiplient
Cette préoccupation est compréhensible, car le nombre de cas rapportés a augmenté depuis le début de l’année: les données de grandes et petites entreprises en Suisse et à l’étranger ont été cryptées par des «rançongiciels» («ransomwares»), ce qui les rendait illisibles. Ces attaques rendent extrêmement difficile le rétablissement des activités commerciales des entreprises concernées.
Grâce à MELANI – composé de la direction stratégique globale et du Swiss Governmental Computer Emergency Response Team (GovCERT) du BSI au Département fédéral des finances et de l’Operation Information Center (OIC) au SRC du DDPS –, les exploitants des infrastructures critiques suisses peuvent d’ores et déjà réagir rapidement aux cyberincidents généralisés. L’organe coopère avec des partenaires travaillant dans le domaine de la sécurité des systèmes informatiques et d’Internet. Parallèlement, les entreprises reçoivent des informations importantes à un stade précoce.
L’alimentation électrique au cœur des préoccupations
Et les entreprises? Que font-elles pour empêcher elles-mêmes les cyberattaques de les affecter? Cette question se pose en particulier dans les domaines critiques pour l’infrastructure, tels que l’alimentation électrique. Les acteurs étatiques représentent des agresseurs potentiels pour les infrastructures énergétiques, avec des motifs tels que l’espionnage ou le sabotage. En témoignent les deux cyberattaques contre les fournisseurs d’électricité en Ukraine (Noël 2015 et 2016). Il est très probable, cependant, que les attaques de la criminalité organisée visent d’abord à s’emparer d’argent, par exemple par le biais du chantage. Les attaques de terroristes, de groupes d’activistes politiques et de hackers amateurs représentent également un certain danger.
La prochaine session du Conseil national traitera de la motion (17.3496) présentée par la conseillère nationale Edith Graf-Litscher (PS/TG) en 2017. Elle appelle à une protection de base obligatoire pour les infrastructures électriques critiques. Une cause noble en soi. En 2017, le Conseil fédéral a fondamentalement soutenu l’idée principale de la motion selon laquelle les infrastructures électriques critiques doivent bénéficier d’un niveau de protection adéquat. Toutefois, il a d’abord souhaité attendre le développement des travaux en cours, notamment dans le cadre des stratégies nationales pour la protection des infrastructures critiques (PIC) adoptées en 2012 et 2017/8 et pour la protection de la Suisse contre les cyber-risques (SNPC).
Le secteur de l’énergie est armé
Si de nombreuses entreprises, surtout les plus petites, ignorent encore tout simplement aujourd’hui le cyber-risque parce que son évaluation leur semble trop complexe et qu’elles craignent des coûts élevés, cela ne s’applique pas au secteur de l’énergie. «Tous les exploitants d’infrastructures critiques sont guidés par les normes minimales en matière de SIC de l’Office fédéral pour l’approvisionnement économique, y compris dans le domaine de l’énergie», explique Ivo Maritz, responsable de la cybersécurité de BKW. «En outre, l’Association des entreprises électriques suisses a adopté des recommandations de la branche sur la cybersécurité, ainsi qu’un manuel pour la sécurité des systèmes de commande et pour la sécurité des systèmes de mesure intelligents, que BKW suit également.»
BKW a participé à l’élaboration des mesures à prendre dans le cadre de la cyber-stratégie nationale SNPC II de la Confédération. BKW a très tôt pris conscience de ce problème et a élaboré depuis 2015 une stratégie en matière de cybersécurité qui s’articule autour de trois axes principaux et qui sera mise en œuvre de manière continue et durable à partir de 2017. Quelles sont ces axes principaux? «Il s’agit tout d’abord de sensibiliser l’entreprise au problème et de faire accepter les mesures», explique Ivo Maritz. «Deuxièmement, des mesures de protection ont été prises dans les systèmes informatiques (IT) et les systèmes de contrôle industriel (OT) afin d’atteindre la résistance, de détecter les attaques et de pouvoir y faire face.»
Mécanismes de protection concrets de BKW
Que signifie concrètement cela pour l’entreprise, par exemple pour les installations techniques telles que les réseaux, les centrales nucléaires, les centrales hydroélectriques ou la centrale électrique d’Oberhasli? «De nombreux mécanismes de protection de l’IT ou de l’OT ont été installés et des technologies de surveillance ont été aménagées. Les journaux de bord sont en particulier surveillés, 24 heures sur 24, et les points faibles sont suivis et rapidement corrigés», explique Maritz. «Si une attaque est détectée malgré toutes ces mesures de protection, elle sera isolée et réparée.» Bien sûr, il n’y a jamais aucune certitude. Mais compte tenu de tous les risques connus et potentiels, BKW est parfaitement établie, ce qui, de notre point de vue, ne justifie pas de nouvelles réglementations.