Propos recueillis par Mehdi Atmani
Interview. Le vol de données dont a été victime Ruag remet en question la crédibilité des moyens de protection suisses contre les cyber-risques. Le directeur de la politique de sécurité du WEF, Jean-Luc Vez, plaide pour une vision libérale de la cyber-défense.
Le Fribourgeois Jean-Luc Vez dirige depuis deux ans la politique de sécurité ainsi que la sécurité des grands rendez-vous du World Economic Forum (WEF) dans le monde. A 58 ans, l’ex-chef de l’Office fédéral de la police (Fedpol) livre une «vision libérale de la cyber-défense» qui repose sur une collaboration forte, de confiance, entre les secteurs privé et public. Mais aussi entre la Suisse et le reste du monde. Une cyber-stratégie n’est efficace, insiste Jean-Luc Vez, que si elle passe par le biais de l’échange d’informations et de compétences en matière de criminalité informatique.
La Stratégie nationale de protection contre les cyber-risques (SNPC) décidée en 2012 avait pour objectif de fragmenter les moyens de lutte entre les diverses unités de cyber-défense. L’affaire Ruag ne souligne-t-elle pas finalement l’échec de cette stratégie?
Je n’ai pas étudié le cas Ruag dans le détail. Dans un cadre global, je constate que beaucoup de pays ont engagé une discussion entre les secteurs public et privé sur la question des responsabilités. Il s’agit de déterminer qui est responsable de la détection des cyberattaques, de la protection des infrastructures, des moyens de contre-attaquer.
Mais la Suisse a-t-elle la bonne cyber-stratégie?
La Suisse n’échappe pas à ce débat public-privé. Mais je constate que dans le domaine de la lutte contre le terrorisme, la cybercriminalité et le crime organisé, la Suisse a tendance à penser que la menace s’arrête à ses frontières. A mon sens, la meilleure façon de lutter consiste à renforcer la collaboration entre les secteurs public et privé, mais aussi entre les Etats au niveau régional comme au niveau global.
Le fédéralisme est-il un frein à l’échange d’informations et à la collaboration dans le domaine de la cyber-sécurité? Dans l’affaire Ruag, les unités suisses ont tout de même mis plus d’une année pour découvrir l’attaque.
Les différents services suisses de lutte contre les cyber-risques ont probablement collaboré et continueront de le faire. L’enjeu n’est pas de savoir ce que l’on fait une fois que les choses se sont passées. Il s’agit de réfléchir à comment prévenir de nouvelles attaques. On en revient à la question de la responsabilité et de la collaboration.
Pouvez-vous esquisser les contours de ce partenariat public-privé en matière de cyber-défense?
La Suisse, comme tous les autres Etats, devrait se doter d’un système qui instaure une relation de confiance entre les entreprises privées et les administrations publiques. Un système dans lequel chaque acteur énonce spontanément les cas de cyberattaques, les moyens d’en arriver à bout de manière à faire profiter tout le monde de cette expérience. L’échange de compétences et d’informations permet d’aboutir à des systèmes de protection efficaces.
C’est une agence internationale qui a alerté les autorités suisses sur le vol de données dont a été victime Ruag. Quand on la compare à l’arsenal de la France ou de la Grande-Bretagne, la Suisse a-t-elle les armes nécessaires pour lutter contre les cyber-menaces?
J’ai toujours été de l’avis que l’on devait repenser intégralement la sécurité en se basant sur ces nouvelles menaces. Il faudrait alors se poser aussi la question de la relocation des ressources allouées aux différents domaines.
C’est-à-dire que vous plaidez pour moins de F/A-18 dans l’armée et davantage de cyber-soldats?
Nous n’avons déjà pas beaucoup de F/A-18 (rire). Je plaiderai plutôt pour une aviation adaptée aux défis cyber-sécuritaires. La Suisse ne pourra pas faire l’économie d’un système de détection et de protection contre les cyber-menaces. Dans ce contexte, l’autre question sera de savoir dans quelle mesure les services dotés de ces moyens de détection informatiques auront le droit de contre-attaquer. L’Etat? Des privés? Après l’affaire Ruag, tout le monde se fâche pour déterminer qui n’a pas fait son travail. Il faut aller au-delà de cette réflexion.
La Suisse doit-elle accroître sa coopération internationale avec les agences de lutte contre la cybercriminalité et celles du renseignement? Une ouverture déjà combattue par l’UDC.
Bien sûr, c’est tellement évident. Les frontières ne veulent plus rien dire dans l’écosystème numérique. Elles n’ont pas de sens dans ce contexte. Il est donc élémentaire pour un Etat de développer une stratégie de cyber-défense qui fasse fi des limites territoriales.
Quelle est la plus grande cyber-menace planant sur la Suisse?
Il faut toujours s’interroger sur l’intérêt de l’adversaire. En Suisse, c’est très certainement la menace qui plane sur le savoir-faire technologique. Nous hébergeons des centres de compétences dans ces domaines qui, à mon sens, constituent des cibles naturelles. La Suisse est aussi une place financière très performante. Les données bancaires que possèdent les services financiers sont évidemment intéressantes. Je pense encore à certaines données géopolitiques. Ne l’oublions pas, notre pays joue un rôle important dans certaines négociations internationales.
Ces dix dernières années, avec la multiplication des attaques, la cyber-sécurité est devenue un marché très lucratif pour des acteurs du secteur privé. Dans le cadre d’une sous-traitance de l’Etat à une entreprise privée, comment garantir la sécurité nationale?
Tout peut se régler par contrat. Si l’Etat se rend compte qu’il a un intérêt à sous-traiter certains éléments à des privés, il lui incombera de veiller à ce que ceux-ci remplissent leurs engagements. La surveillance de l’exécution correcte du contrat devra être réglée de manière très claire.
Fin 2013, la Confédération avait confié la réalisation de son nouveau système d’écoutes téléphoniques au groupe israélien Verint. Le leader mondial de l’interception électronique n’est autre que le partenaire privilégié de la NSA. Cela pose un certain nombre de questions, non?
Chaque fois que l’Etat sous-traite, il prend un risque pour sa défense. Ce risque est permanent. Il faut donc que la Confédération s’assure que les termes du contrat sont clairs. Dans le cas d’un cyber-projet de cette ampleur, il est donc impératif que le mandant soit solidement ancré dans l’organisation du projet en question. Il faut mettre en place des mesures de contrôle qui permettent de tirer la sonnette d’alarme si nécessaire.
Seriez-vous en faveur d’un huitième conseiller fédéral en charge du numérique et de la cyber-défense?
C’est la première fois que l’on me pose cette question (rire). Je pense que dans le domaine de l’identification des cyber-risques, de la prévention et des contre-mesures en cas d’attaques, il y a deux écoles: l’une centralisatrice et l’autre décentralisatrice. Je plaiderai plutôt pour la deuxième, car elle se fonde sur une approche d’autoresponsabilité des acteurs et des individus. Je ne suis pas pour la création d’une «supercyberadministration» dirigiste et probablement très lourde à gérer. Je vois plutôt la création de plateformes qui promeuvent et facilitent l’échange d’informations entre les administrations publiques, l’Etat et le secteur privé.
Cette collaboration existe en Suisse. Concrètement, comment l’accroître?
Il faudrait par exemple renforcer la compétence de certaines unités comme la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI. Au sein du WEF, dans un contexte international, nous avons travaillé sur cette collaboration entre des multinationales et des acteurs publics comme Interpol et Europol. Ensemble, nous avons rédigé des recommandations qui proposent des mesures conjointes fondées sur une charte qui établit des besoins communs.
Ce qui est ressorti en priorité des discussions, c’est l’immense besoin d’échange d’informations. Paradoxalement, cet échange n’est pas naturel alors que la cyber-menace concerne tout le monde. Pourquoi? Parce que les multinationales ne se font pas confiance. Dans le domaine cyber, celle-ci ne règne ni entre le privé et le public, ni entre Etats. Mais sans elle, on n’avance pas. Les pays ont intérêt à promouvoir cette collaboration chez eux.
La confiance est-elle envisageable entre Etats?
Dès que vous abordez la question de la sécurité nationale et de l’utilisation de l’internet comme arme de guerre, la collaboration privé-public devient très difficile. Les Etats se rencontrent et dialoguent sur des stratégies, mais quand chacun d’eux rentre chez lui, il refait usage de ses instruments d’espionnage afin de poursuivre ses intérêts nationaux, économiques, industriels et militaires.
Vous pensez alors que la Suisse devrait se doter de moyens supplémentaires d’interception. Remarquez, c’est dans l’air du temps…
Je veux dire que les Etats ne peuvent pas se défendre seuls et garantir une sécurité totale. Les pays, qui souhaitent désormais défendre efficacement leur souveraineté, pourraient avoir un intérêt à disposer de ces outils.
Dans l’affaire Ruag, le chef du renseignement suisse (SRC), Markus Seiler, s’est exprimé dans la presse alémanique. Il rejette en partie la responsabilité sur les entreprises suisses qui, selon lui, ne prennent pas suffisamment au sérieux les cyber-risques. Vous lui donnez raison?
J’en reviens à la question de la responsabilité. Un Etat ne peut pas se permettre d’assurer la sécurité de tout le monde. Il doit protéger ses infrastructures. Les entreprises doivent faire leur part du travail en développant une stratégie de défense propre.
