Cybersécurité: "Il faut une vision nationale de la façon dont on va défendre le pays"

"On fait face à une augmentation des attaques assez forte", constate Cédric Moret, le directeur d'ELCA, même au sein de sa propre entreprise. "On a fait ce qu'il fallait pour essayer de réduire le risque, mais il faut rester très humble en la matière", affirme-t-il.

>> Relire : La moitié des grandes entreprises suisses ont déjà été victimes de cyberattaques

Il ne faut donc pas stigmatiser les personnes attaquées. "C'est très difficile de se défendre, mais on peut le faire", explique Cédric Moret dans La Matinale de la RTS. "Ce n'est pas une fatalité. On peut s'organiser aujourd'hui pour limiter la fréquence et les conséquences des dommages".

Risques de faillite

Cette augmentation des risques s'explique notamment par la hausse des "surfaces d'exposition", particulièrement après le Covid. Le développement du télétravail signifie que les gens sont davantage en réseau. "Aujourd'hui, la personne en télétravail est sur le même réseau que le micro-ondes et que son enfant qui fait du gaming, donc ça augmente très sérieusement les risques", affirme Cédric Moret.

Ces risques sont en premier lieu le vol ou la paralysie de données, qui peuvent représenter un risque financier important pouvant aller jusqu'à la faillite. "Combien de temps une entreprise avec un système de production paralysé peut-elle rester en activité?", questionne-t-il.

Pour le directeur d'ELCA, le "niveau le plus ultime" concerne la prise de contrôle des opérations d'une entreprise. "Il y a quelques années, on a vu des hackers prendre le contrôle des systèmes de distribution d'eau en Floride", donne-t-il en exemple, "et puis demander une rançon pour continuer à distribuer l'eau, l'arrêter ou avoir un système de qualité d'eau défaillant".

Stratégie nationale

Il peut toutefois être compliqué de se protéger face à ces risques, surtout pour les plus petites sociétés. "Pendant longtemps, ça a coûté très cher de se défendre", explique Cédric Moret.

Et il reste aujourd'hui encore difficile de s'assurer dans ce domaine. "A peu près 90% des dommages causés par des cyberattaques ne sont pas assurés", regrette-t-il. C'est pourquoi le spécialiste de la défense numérique plaide pour "un partenariat public-privé pour avoir des assurances qui permettent vraiment de défendre les entreprises".

Il faut qu'il y ait une vision nationale de la façon dont on va défendre le pays

Cédric Moret milite pour une stratégie nationale, affirmant qu'il est nécessaire que "tous les cantons, la Confédération et les entreprises privées travaillent en collaboration dans la même direction".

"Il faut qu'il y ait une vision nationale de la façon dont on va défendre le pays", affirme-t-il. "Et là, le fédéralisme n'aide pas vraiment, parce que c'est difficile de mettre tous les gens autour de la table et de les faire s'aligner sur une vue".

Pour lui, l'Etat devrait s'impliquer davantage dans ces questions de cyberdéfense. S'il "prône la responsabilité individuelle", il estime que les entreprises ne sont pas assez accompagnées dans le domaine. Et la nouvelle loi sur la protection des données, qui expose les entreprises qui ne se conforment pas aux nouvelles exigences à une plainte pénale et une amende pouvant aller jusqu'à 250'000 francs, complique encore les choses selon lui.

>> Relire : Les PME se préparent aux exigences de la nouvelle loi sur la protection des données

"La nouvelle loi sur la protection des données est une bonne chose", affirme-t-il. "Mais c'est un peu, si vous prenez l'équivalent de la circulation routière, mettre des amendes de vitesse à des gens qui n'ont pas de tachymètre".

Je ne suis pas sûr que la Confédération et les cantons aient vraiment pris conscience du rôle qu'ils doivent jouer en la matière

Cédric Moret souligne également la charge mentale qui pèse sur les victimes de cyberattaques. "Imaginez, un directeur d'hôpital qui doit faire le choix entre augmenter ses employés, acheter un nouveau robot de chirurgie ou défendre l'hôpital", dit-il.

Si celui-ci est attaqué, il devra décider s'il doit payer une rançon, fermer l'hôpital et, le cas échéant, s'il doit le rouvrir. "Donc c'est vraiment des responsabilités qui sont importantes et je pense que c'est une charge mentale très forte".

Il estime en conséquence que l'Etat doit s'engager "dans l'accompagnement et la mise en place de systèmes de défense". "Et je ne suis pas sûr que la Confédération et les cantons aient vraiment pris conscience du rôle qu'ils doivent jouer en la matière", poursuit-il.

Prise de conscience

Cédric Moret observe pourtant certains changements au niveau des entreprises ces dernières années. "Il y a une augmentation de la prise de conscience", affirme Cédric Moret, "notamment dans les grandes sociétés qui ont plus de moyens. Je pense que là on a vu des investissements importants ces dernières années".

La conscience est vraiment là. Maintenant, je pense qu'il faut qu'on se retrousse les manches et qu'on se mette au travail

Du côté des PME, il reste par contre du travail à faire, selon lui, mais certaines mesures peuvent être prises. Il cite notamment l'organisation de campagnes de prévention auprès des employés, "pour s'assurer qu'ils apprennent ce que c'est que l'hameçonnage et qu'ils soient rendus un peu plus attentifs". Cédric Moret propose également de mettre en place des cellules de sécurité qui fonctionnent 24h/24 et 7j/7 et "qui suivent l'activité cybersécurité".

"Mais encore une fois, c'est bien beau d'expliquer aux entreprises comment il faut faire, mais il faut aussi leur donner les outils pour se défendre", ajoute-t-il, insistant encore une fois sur l'importance de l'engagement de l'Etat.

Cédric Moret reste pourtant optimiste quant à l'avenir de la cybersécurité en Suisse. "La conscience est vraiment là. Maintenant, je pense qu'il faut qu'on se retrousse les manches et qu'on se mette au travail", conclut-il.

Propos recueillis par Pietro Bugnon

Adaptation web: Emilie Délétroz