Page d’accueil Connaissances Technologies Numérisation Cybersécurité « La cybersécurité est de la responsabilité du chef »
Interlocuteur  Adam Gontarz Adam Gontarz
Chef de la division « Numérisation, Innovation et Technologie »
+41 44 384 48 44 +41 44 384 48 44 a.gontarznoSpam@swissmem.ch
Partager

« La cybersécurité est de la responsabilité du chef »

La responsabilité de la cybersécurité incombe en premier lieu aux entreprises et institutions. À cet égard, quelle est la situation des entreprises suisses et de quoi doivent-elles tenir compte ? Nous avons posé la question à la personne préposée à ce sujet : Florian Schütz, délégué de la Confédération à la cybersécurité et directeur du Centre national pour la cybersécurité (NCSC). L'interview a été réalisée par Gabriela Schreiber.

Monsieur Schütz, l’usine intelligente est-elle en danger?

Florian Schütz : Au contraire ! L’usine intelligente est une opportunité. Quelle autre alternative pour devenir compétitif ? Il est toutefois essentiel que la gestion des risques correspondante ne se fasse pas uniquement dans le cadre des activités opérationnelles, mais aussi de manière stratégique. De plus, nous avons besoin de cadres compétents qui analysent ces risques d’un œil critique, adaptent au besoin le modèle commercial et fixent des orientations stratégiques. En bref : la cybersécurité est de la responsabilité du chef.

Comment évaluez-vous la situation dans les entreprises suisses ? Tout va bien ou faut-il s’inquiéter?

Florian Schütz : Le spectre s’étend des entreprises qui prennent le sujet très au sérieux à celles qui ne sont pas suffisamment protégées ou qui refusent même de voir un risque. Ce qui cependant est encore plus grave est le fait que certaines entreprises qui ont identifié le problème ne savent pas exactement quoi faire. S’ajoutent à cela des budgets souvent insuffisants. Le défi est d’autant plus grand que le marché de la cybersécurité réunit des acteurs très bruyants et que les arguments avancés par les fournisseurs ne sont pas toujours professionnels.

Que peuvent faire les entreprises pour gérer la sécurité de leurs systèmes numériques?

Florian Schütz : Si la direction gère les risques de manière rigoureuse et en tenant compte des cyber-risque tout en prenant les mesures organisationnelles et techniques indispensables, elle a déjà entamé une étape importante.

Je recommande de mettre en place les mesures techniques et organisationnelles là où peu d’efforts et peu de temps sont nécessaires. Dans une deuxième phase, il convient de déceler les risques les plus élevés. Il est également important de définir clairement les responsabilités, qu’elles soient attribuées à des spécialistes de la sécurité de l’entreprise ou à une entreprise externe. Peu importe de la solution choisie, la responsabilité de la cybersécurité incombe en premier lieu aux entreprises et institutions.

« En tant que PME, nous ne sommes pas la cible de cyberattaques » - que pensez-vous de ce raisonnement?

Florian Schütz : Cette déclaration est fausse. La désignation PME ne se réfère qu’à la taille de l’entreprise et n’a rien à voir avec son domaine d’activité ou son degré de numérisation. En d’autres termes, les entreprises fortement numérisées sont plus exposées aux risques de cyberattaques. La pertinence géopolitique augmente le risque d’être victimes d’attaques par des acteurs étatiques ou encouragés par l’État. Plus la valeur d’une entreprise est élevée, plus elle est exposée aux risques de cyberattaques d’acteurs criminels. Cependant, les entreprises qui, à première vue, ne semblent pas attrayantes sont également concernées. Car il y a des agresseurs qui opèrent dans le commerce de masse. Ces derniers tentent d’atteindre le plus grand nombre de cibles possible qui, certes ne sont que peu rentables individuellement, mais où les attaques ne sont pas très compliquées.

Actuellement, les médias parlent régulièrement de cybermenaces ou de cyberattaques. La situation s’aggrave-t-elle?

Florian Schütz : Plus la numérisation et la couverture médiatique qui en découle augmentent, plus les entreprises et les particuliers sont sensibles à la question de la cybersécurité. Par conséquent, les incidents sont plus susceptibles d’être signalés et les victimes d’attaques sont plus nombreuses à se manifester publiquement.

Le NCSC a constaté au cours des derniers mois que la transparence a augmenté ainsi qu’un plus grand nombre d’attaques ont été déclarées. Notamment les attaques liées à la ransomware. Nous supposons que ceci est dû, d’une part, au fait que ce genre d’affaire est malheureusement rentable pour les agresseurs, étant donné que les victimes ne refusent pas de payer, et que, d’autre part, les obstacles en place sont relativement faciles à franchir.

Qu’est-ce que la Confédération entreprend dans ce contexte?

Florian Schütz : Avec la mise en place du NCSC il y a un peu plus d’un an et demi, la Confédération a clairement montré que le thème de la cybersécurité est toujours plus important.

La Confédération doit en premier lieu créer les conditions-cadres pour que les entreprises puissent mieux se protéger elles-mêmes, car en Suisse, la responsabilité de l’exploitation en toute sécurité des infrastructures informatiques incombe aux entreprises.

Cela dit, l’année dernière, le NCSC a mis en place un système de gestion des vulnérabilités qui sert de charnière entre les chercheurs en sécurité et les entreprises lorsque des vulnérabilités sont découvertes au niveau des produits.

Actuellement, une consultation est en cours sur l’introduction d’une obligation de déclaration pour les infrastructures critiques. Cela permettrait de mieux évaluer quelles sont les infrastructures les plus menacées. De plus, les cyberattaques pourraient être détectées très tôt, leurs modèles d’attaque analysés et les exploitants d’autres infrastructures critiques avertis à temps. L’obligation de déclaration contribuerait de manière significative à l’amélioration de la cybersécurité en Suisse.

En résumé, on peut dire que beaucoup de choses ont été abordées. Il s’agit maintenant de consolider et de développer ces nouvelles structures. C’est à la politique de décider comment le faire.

Quel est le maillon faible pour les cyberattaques?

Florian Schütz : La liste est longue. Je vois toutefois les principaux dangers dans les systèmes qui ne sont pas tenus à jour, dans les grands systèmes appelés « Shadow-IT » que l’on ne connaît pas, dans les mauvaises configurations, dans les courriels d’hameçonnage ou dans la fraude d’un prétendu CEO et ses variantes.

Notre branche est fortement orientée vers l’exportation : les chaînes d’approvisionnement internationales exposent-elles les entreprises à un plus grand risque d’attaque?

Florian Schütz : Les chaînes d’approvisionnement ne réduisent pas nécessairement la sécurité - cela dépend de la fiabilité des partenaires. Certes, dans ce contexte il est plus difficile de calculer les risques et la propre capacité d’action est limitée en raison des dépendances externes. Cela doit être pris en considération dans le choix des fournisseurs.

De plus, je pense que tant les associations que les milieux politiques doivent se poser la question de savoir dans quels domaines des chaînes d’approvisionnement globales les entreprises suisses peuvent jouer un rôle déterminant. Ceci est en particulier le cas pour les domaines influencés par la géopolitique, qui peuvent prendre le rôle de levier servant à assurer que les accords soient respectés. L’entreprise néerlandaise ASML est un exemple intéressant. Elle est la seule entreprise au monde à fabriquer des machines pour la production de puces logiques modernes. Bien que les Pays-Bas ne produisent pas eux-mêmes directement des puces, ceci leur permet de réagir si des livraisons leur sont refusées ou si des puces manipulées leur sont livrées.

Peut-on constater des tendances en matière de cybercriminalité ? Quelles sont les « astuces » les plus appliquées?

Florian Schütz : Les auteurs de cyberattaques sont très innovants et appliquent sans cesse de nouveaux scénarios d’attaque. Chaque semaine, le NCSC publie sur son site Internet des nouvelles méthodes d’attaque.

Les agresseurs opèrent de manière toujours plus professionnelle. Certains groupes se spécialisent dans des domaines particuliers de toute la panoplie d’attaques criminelles. D’autres cherchent de manière ciblée les maillons faibles.

Tout comme les pirates informatiques s’adaptent aux nouvelles circonstances, les entreprises doivent également analyser et actualiser régulièrement leurs systèmes de sécurité.

«Dans la ligne de mire - sécurité et résilience pour l’industrie et la société»

Le sujet de la sécurité, en particulier la cybersécurité, prend de plus en plus d’importance également dans l’industrie des machines, des équipements électriques et des métaux. Le jeudi 23 juin 2022, des représentants de la branche et des experts discuteront des dangers qui menacent l’industrie et de la manière dont les entreprises peuvent se protéger.

Inscrivez-vous maintenant !

Centre national pour la cybersécurité NCSC

Informations, recommandations, instructions

Le Centre national pour la cybersécurité (NCSC) est le centre de compétence de la Confédération en matière de cybersécurité et donc le premier point de contact pour l’économie, l’administration, les institutions de formation et la population en ce qui concerne la cybersécurité. Le site Internet du NCSC fournit des informations complètes sur les cybermenaces actuelles ainsi que des recommandations et des instructions en cas de dommage pour différents groupes cibles, notamment les entreprises. En outre, vous avez la possibilité de déclarer au NCSC des incidents liés aux cyberattaques par l’intermédiaire d’un formulaire en ligne.
https://www.ncsc.admin.ch

 

 

Cet article, vaut-il la peine d'être lu ?

Autres thèmes

Ces articles peuvent vous intéresser

Dernière mise à jour: 28.02.2022, Gabriela Schreiber