Ces derniers temps, les attaques menées visaient à obtenir des données. La différence ici, c’est que les données ne sont pas impactées. C’est juste la disponibilité du site qui est en jeu, c’est extrêmement visible comme piratage.
Symbolique à la veille du discours de Volodymyr Zelensky devant le Parlement jeudi dernier, l'attaque informatique des hackers prorusses de "NoName" contre l'administration fédérale était bel et bien visible.
>> Relire : Attaque informatique contre plusieurs sites de l'administration fédérale
Moins visible et plus dangereux, on apprenait fin mai que 907 Go de données de Fedpol, des ministères publics ou encore des polices du pays ont fuité dans l'attaque contre le prestataire de services informatiques bernois Xplain. Des empreintes digitales ou signatures ont été volées. Une enquête est en cours.
>> Lire également : Des données personnelles aussi touchées lors de la cyberattaque contre la Confédération
Un nouveau secrétariat d'Etat
Cette année, la Confédération s’est pourtant dotée d’un nouveau secrétariat d’Etat à la sécurité pour lutter contre la désinformation et les cyberattaques. "La partie civile du département gagne en importance par rapport aux tâches militaires", déclarait la conseillère fédérale Viola Amherd en conférence de presse.
>> Relire : La Confédération crée un nouveau secrétariat d'Etat pour la sécurité civile
Le chef de ce nouveau secrétariat d’Etat à la sécurité, déjà à la tête de ce pôle fédéral de compétences depuis 2020, doit coordonner la stratégie nationale. Florian Schütz s’en expliquait au 19h30 de la RTS: "En Suisse, c’est décentralisé, ce qui complique les choses. Avec mon poste, on a pris une mesure pour mieux se coordonner".
>> Relire : Florian Schütz nommé directeur du nouvel Office fédéral de la cybersécurité
Un cybercrime organisé
Et il y a beaucoup à faire. Les attaques signalées au Centre national de sécurité numérique (CNSN) ont triplé en deux ans, passant de 10'833 en 2020 à 34'540 en 2022. Ces attaques ont lieu à tous les niveaux, des particuliers aux communes.
On se rappelle les cas de Montreux ou de Rolle, mais aussi les attaques contre des multinationales comme Nestlé ou contre le CICR, qui s’est fait voler les données personnelles particulièrement sensibles d’un demi-million de ses bénéficiaires. Un secrétariat d’Etat n'est donc pas suffisant, selon Paul-Olivier Dehaye, directeur de Hestia.ai.
Il y a vraiment une responsabilité de tous. On est aussi fort que le plus faible. Il faut que les relais au niveau cantonal et au niveau communal se mettent en place. Pour le privé, il faut une vraie réponse du privé face à ces menaces.
Le cybercrime pourrait coûter au niveau mondial 10'000 milliards de dollars d’ici 2025, selon le magazine Forbes. Vu les sommes qu’il y a à extorquer via les rançongiciels, les malfrats se sont organisés, spécialisés et collaborent.
"Si, en face, les Etats ne mettent pas en place des plateformes qui permettent aux acteurs - police justice, cybersécurité, société civile, monde académique - de travailler ensemble très facilement et de façon très opérationnelle, on n’est juste pas adapté à la menace" expliquait Stéphane Duguin, directeur de CyberPeace Institude dans La Matinale de la RTS.
>> Lire également : Le business des cyberattaques par "ransomware" est très lucratif
Sans compter que ces attaques entament aussi l’image de discrétion et de sécurité sur laquelle repose l’économie suisse.
Une numérisation trop rapide
C’est que l’économie et la société se sont numérisées à marche forcée. "On a laissé faire ce déploiement du numérique sans avoir des exigences de sécurité", explique Solange Ghernaouti, experte en cyberdéfense et professeur à l’Université de Lausanne, dans le 19h30.
"Certaines plateformes ou certains fournisseurs devraient être certifiés, dans la mesure où ils pourraient démontrer la qualité de la sécurité qu’ils proposent à leurs clients", diagnostique-t-elle.
Pour l’expert Alexis Roussel de Nym technologies, le problème vient aussi du fait qu’il y a très peu d’éducation au numérique et encore moins à la sécurité informatique. "Aujourd’hui, on apprend l’usage de traitement de texte et de logiciels, mais on n’apprend pas des bases de sécurité ou même de responsabilité numérique, donc il reste beaucoup de travail à faire", estime-t-il.
Mieux se protéger
Certains gestes simples permettent toutefois de se protéger des rançongiciels: sauvegarder régulièrement ses données, ne pas ouvrir les emails dont on ne connaît pas l'adresse ou les pièces-jointes avec des extensions particulières (.pif, .bat) ou encore se munir d’un gestionnaire de mots de passe, soit sous forme d’application, soit sous forme d’extension de navigateur.
>> Lire à ce sujet : De l'importance de bien choisir ses mots de passe
Plus généralement, des outils légaux se créent petit à petit pour protéger l’intégrité numérique, au même titre que l’intégrité physique. Genève a plébiscité ce dimanche la première loi suisse en ce sens.
Claire Burgy