Nouvelle mesure fédérale pour se protéger des cyber-risques

Les cyber-risques représentent une menace croissante pour les services d'information et de ...
Nouvelle mesure fédérale pour se protéger des cyber-risques

Nouvelle mesure fédérale pour se protéger des cyber-risques

Photo: KEYSTONE/CHRISTIAN BEUTLER

Les cyber-risques représentent une menace croissante pour les services d'information et de communication. L'Office fédéral pour l'approvisionnement économique du pays (OFAE) a présenté lundi une norme minimale pour éviter les écueils.

Dans le cadre de la stratégie nationale pour protéger la Suisse des cyber-risques (SNPC), décidée en 2012 par le Conseil fédéral, l'OFAE a mené des analyses de vulnérabilité dans treize secteurs critiques comprenant l'énergie, la santé, la nourriture, la logistique ou encore les TIC (technologies de l'information et de la communication).

Ces analyses faites, l'OFAE a élaboré des mesures, dont une norme minimale mise au point pour améliorer la résilience informatique. Elle est plus spécialement destinée aux exploitants d'infrastructures critiques en Suisse. Mais toute entreprise peut l'appliquer.

Comme l'explique Daniel Caduff, suppléant du chef du secrétariat TIC de l'OFAE, un hôpital est à priori davantage concerné qu'un coiffeur. Mais ce dernier peut aussi accéder à la norme minimale.

Cette norme comprend diverses fonctions: identifier, protéger, détecter, réagir et récupérer. Elle donne aux utilisateurs 106 indications concrètes pour améliorer la résilience de leurs TIC face aux cyber-risques et est compatible avec d'autres normes de cybersécurité.

'Il s'agit pour les entreprises d'identifier leur dépendance, puis de prioriser les risques et enfin de décider lesquels elles réduisent ou assument', explique M. Caduff.

Attaques quotidiennes

Cette protection des infrastructures civiles, dont s'occupe l'OFAE, est un combat permanent. 'Il y a des attaques presque chaque jour', précise M. Caduff. 'Les plus graves sont celles qui ne sont pas détectées', ajoute-t-il.

Au rang des infrastructures critiques figurent les hôpitaux, où les données des patients ne sont pas les seules à être menacées par les cyber-attaques. Le contrôle des machines peut être tout autant voire davantage dévastateur.

'En Grande-Bretagne, le virus informatique Wannacry avait causé la mort de patients suite au dysfonctionnement de machines, ainsi que la fermeture d'hôpitaux qui ne savaient plus qui était dans quel lit', rappelle M. Caduff. Le domaine de l'énergie, notamment nucléaire, est lui aussi particulièrement sensible aux cyber-attaques.

Collaboration fédérale

Outre la cybersécurité, assurée par l'OFAE et qui se dédie à la protection des infrastructures civiles, la Suisse surveille grâce à Fedpol et aux polices cantonales la cybercriminalité, soit toute criminalité à motivation monétaire, notamment la fraude aux cartes de crédit et la pédophilie.

L'armée s'occupe elle de cyberdéfense, qui concerne le domaine militaire, les services secrets ou les organisations criminelles soutenues par des gouvernements. 'Il ne s'agit pas de guerres ouvertes, les attaques se font sans identification de leurs auteurs', explique M. Caduff.

Cette séparation est organisationnelle, mais une étroite coopération est assurée. L'OFAE prévoit d'élaborer des normes pour l'évacuation des eaux usées, l'alimentation en gaz, la logistique et la télécommunication.

/ATS