L’EPFL vient de créer, avec huit partenaires industriels et institutionnels, un nouveau Centre pour la confiance numérique (EPFL Center for digital trust). A cette occasion, le président de l’EPFL a rappelé en substance que le monde a besoin de repères pour apprendre à naviguer sur le web en toute confiance. Le même message a été adressé aux participants de la Journée de la cybersécurité 2017, qui s’est tenue fin décembre au SwissTech Convention Center. La prise de conscience des entreprises à l’égard des «cyberrisques» est trop faible, d’après une récente étude.
L’expert français en cybersécurité Hervé Schauer a réagi début janvier dans la presse à la suite de la découverte des failles Meltdown et Spectre, des vulnérabilités qui touchent les processeurs et, partant, la quasi totalité des appareils informatiques équipés de ces composants. «Ces failles doivent nous
faire prendre conscience de la dépendance de notre société aux technologies. Une bonne fois pour toutes, nous devons réaliser que nous construisons une société dépendante de puces, partout et en tout lieu!». Et d’ajouter, résigné: «J’ai parfois le sentiment qu’il faut un accident pour que les gens réalisent que
les catastrophes sont possibles». Les remarques d’Hervé Schauer s’inscrivent dans un climat social et économique marqué par le sentiment, souvent justifié, que la technologie domine de plus en plus notre quotidien et qu’il est difficile d’avoir prise sur un phénomène aux origines déjà relativement anciennes et aux conséquences vastes et multiples, parfois ravageuses. Une étude mondiale menée auprès de mille deux cents entreprises (dont plusieurs dizaines de sociétés suisses) et publiée en décembre dernier par la société d’audit et de conseil EY confirme le fait que le monde économique semble déconcerté et quelque peu attentiste face au développement des risques technologiques. Cette Enquête mondiale sur la sécurité de l’information 2017-2018 précise que les moyens manquent souvent pour contrer efficacement les cybermenaces actuelles. «La prise de conscience des entreprises à l’égard des cyberrisques est trop faible.» Des chiffres et des statistiques pour corroborer cette affirmation? Si presque 90% des entreprises dans le monde estiment qu’elles devraient fortement augmenter
les moyens consacrés à la cybersécurité pour pouvoir se protéger de manière appropriée contre les cybermenaces, seules 12% d’entre elles envisagent réellement une hausse de plus de 25% de leur budget consacré à la sécurité informatique.
Un nouveau pôle de référence
Les pouvoirs publics, les experts et le monde académique prennent conscience de cette situation insatisfaisante et perfectible. En Suisse, cela se traduit par diverses initiatives. La Journée de la cybersécurité 2017 (Cybersecurity Day), qui s’est déroulée le 19 décembre, en est une. Lors de cet événement qui a eu lieu au SwissTech Convention Center, l’EPFL a fait une grande annonce: en compagnie de huit partenaires institutionnels et industriels, elle s’engage pour créer la «confiance numérique » grâce à la naissance d’un centre spécialisé. Ce Center for Digital Trust sera désormais là pour devenir «un pôle de référence en matière de sécurité informatique, de protection des données et de respect de la vie privée dans le monde numérique ». Pour Martin Vetterli, président de l’EPFL, «le monde a besoin de repères pour apprendre à surfer sur la vague numérique en toute confiance». Créer les conditions de la confiance devient dès lors indispensable pour le bien de tous. La confiance numérique correspond à la garantie d’une société démocratique et ouverte, d’une meilleure protection de l’individu ainsi que d’une plus grande prospérité économique. L’idée est donc de positionner la Suisse comme un pays à la pointe de la recherche dans ce domaine du digital trust, qui implique la collaboration de spécialistes de plusieurs disciplines. «Nous voulons devenir une plateforme de référence, où chaque partenaire, quelle que soit son utilisation de services numériques, pourra trouver des réponses à ses ambitions et à ses craintes», affirme Jean-Pierre Hubaux, directeur académique du nouveau Centre. Les responsables de cette institution débutante précisent encore que «trois piliers sont nécessaires afin d’établir un climat de confiance dans un monde dématérialisé»: la cybersécurité, la transparence quant aux processus et à la façon dont les données sont distribuées et stockées et la protection de la sphère privée. Le Center for Digital Trust s’intéressera à chacun de ces trois thèmes. L’objectif? Le développement d’outils et de trust technologies destinés à instaurer un climat de confiance durable entre les utilisateurs et les fournisseurs de services, afin de renforcer leur adoption et d’en tirer le meilleur parti.
Un campus pour la cyberdéfense
Lors de la Journée de la cybersécurité 2017, le Conseiller fédéral Guy Parmelin s’est aussi exprimé. Le chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) affirme la nécessité d’un «plan national d’action cyberdéfense» (approuvé en juin dernier). Dans ce cadre, les ambitions demeurent bien entendu «contenues dans certaines limites budgétaires». Pourtant, malgré cette contrainte financière, la création d’un «campus pour la cyberdéfense» est envisagée à court terme (2019/2020). Celui-ci se présentera sous la forme «d’un pôle de ralliement», autrement dit un réseau de compétences entre différents partenaires venus des secteurs public et privé, ainsi que des milieux académiques. Cette «plateforme d’anticipation qui profitera à l’ensemble des acteurs de la cyberdéfense en Suisse» pourra renforcer les compétences et les capacités technico-opératives du DDPS et même «attirer et gérer des talents» dans le domaine de la sécurité informatique. Se diriget-on vers la création d’une DARPA suisse? La DARPA est une agence américaine destinée à développer des projets de recherche utiles à la défense nationale et pour un usage militaire. On doit à cette agence l’arrivée à la fin des années 1960 d’Arpanet, l’ancêtre d’internet. Le «pôle de ralliement» suisse ne vise pas, faute de moyens, des buts aussi élevés que la DARPA, même si la philosophie sous-jacente à l’action de l’agence américaine peut l’inspirer. Pour André Kudelski, il serait tout de même dommage de ne pas trouver les fonds pour que le campus pour la cyberdéfense explore avec succès des chemins menant vers des innovations majeures. Le patron du groupe technologique vaudois Kudelski souligne le besoin de faire de la Suisse un pays à la pointe de la recherche en matière de cybersécurité, en rappelant la réalité de notre époque: «Chaque ordinateur peut être attaqué n’importe quand de façon automatisée et depuis n’importe où!». Le colonel Gérald Vernez, délégué du DDPS pour la cyberdéfense, a bien conscience de ces risques et des difficultés à venir quand il se réjouit qu’un cyber-capitaine puisse désormais mieux piloter une stratégie nationale de défense dans le domaine informatique.
Grégory Tesnier