Cyberattaques : la Suisse doit protéger ses infrastructures critiques
Article paru dans le Confédéré 04.03.2023La Suisse a connu en 2022 une nouvelle recrudescence des attaques informatiques. 34’000 cyberattaques dans le monde du travail l’année dernière, soit une augmentation de 61% par rapport à 2021.Tous les domaines sont touchés. Les cybercriminels ciblent aussi bien les institutions publiques ou privées que les individus et les entreprises. Pour anticiper ces intrusions criminelles, la commission de politique de sécurité du Conseil national veut, avec raison, investir dans des mesures de protection. Elle propose d’approuver le projet du Conseil fédéral visant à introduire une obligation de signaler les attaques contre les infrastructures critiques.
Ces « nouveaux cambriolages du XXIème siècle » qui se distinguent surtout par le chantage et l’extorsion, ont pris une ampleur inquiétante. Aujourd’hui, les cybercriminels se professionnalisent, se structurent et disposent de moyens financiers considérables. A relever que cette forme de criminalité rapporte des milliards alors que les cyberattaques peuvent avoir de lourdes conséquences sur notre sécurité et sur celle de notre économie.
Aussi le risque de voir un jour une partie de notre pays plongé dans le noir, en raison d’une cyberattaque contre nos infrastructures électriques n’a rien d’un scénario farfelu. Avec la guerre en Ukraine, il est plus que jamais réaliste. L’évolution du contexte politique au niveau international conduit les hackers des régimes autoritaires à agir de manière agressive et audacieuse. Et surtout les cyberattaques visant les infrastructures critiques sont en progression.
Or la Suisse est à la traîne en matière de cybersécurité. Dans le classement de l’Union international des télécommunications, elle occupe la 42e place, derrière la Macédoine du Nord, la Tanzanie, la Hongrie et le Kazakhstan. De plus, notre pays manque d’une vue d’ensemble des attaques, car les signalements au Centre national pour la cybersécurité (NCSC) se font sur une base volontaire. Seul 20% des problèmes sont déclarés. Car souvent les victimes ne jouent pas le jeu et cachent les failles de leur sécurité
Le Conseil fédéral a donc décidé de mettre en place une obligation d’indiquer les cyberattaques contre les infrastructure critiques, c’est-à-dire les banques, les assurances, les hôpitaux, les laboratoires, mais aussi les services postaux, les transports publics ou encore d’autres entreprises spécialisées, comme les services informatiques. A l’avenir, les entreprises qui subissent des cyberattaques seront tenues de l’annoncer auprès du Centre national pour la cybersécurité.
Cette disposition permettra d’avoir un meilleur aperçu des cyberattaques survenues en Suisses, d’analyser les modes opératoires utilisés et d’avertir à temps les exploitants d’infrastructures critiques. En élaborant ce dispositif, le Conseil fédéral s’assure que tous les acteurs concernés participent à l’échange d’informations et contribuent ainsi au renforcement de la cybersécurité de la Suisse.
La majorité de la commission de politique de sécurité du National souhaite aller plus loin. Elle a accepté une proposition exigeant d’étendre cette règle aux vulnérabilités des systèmes informatiques, et pas uniquement aux cyberattaques. Ce qui donnera un tableau plus complet des actes de piratage et réduira la tentation de vouloir payer des rançons.
Le projet du Conseil fédéral va dans la bonne direction. Nos sept Sages ont pris la mesure des enjeux liés aux cyberattaques. Mais cela n’est pas suffisant. Nous devons notamment octroyer davantage de moyens d’engagement à l’Office fédéral de la police – des policiers formés aux investigations – et mettre en œuvre rapidement une base fédérale de données sur les cybercrimes, comme le réclame depuis longtemps le Procureur de la Confédération. C’est à ce prix que nous pourrons affronter cette nouvelle menace.
Jacqueline de Quattro
Conseillère nationale PLR VD
…