Toute l'actu en bref

La Suisse sous-estime la menace cyber, disent les experts. Le logiciel "WannaCry" a fait peu de dégâts en Suisse.

KEYSTONE/EPA/RITCHIE B. TONGO

(sda-ats)

La Suisse ressort peu touchée de la cyberattaque mondiale du week-end. Mais elle est vulnérable, et en retard dans la lutte contre la criminalité en ligne, car elle sous-estime la menace, selon une experte en cybersécurité.

La Suisse a été assez épargnée jusqu'à présent. Mais on sous-estime peut-être l'ampleur de l'attaque de ce week-end, a dit à l'ats la professeure Solange Ghernaouti, de l'Université de Lausanne. "Il n'y a pas en Suisse d'obligation d'annoncer les cyberincidents, cela est un frein à une appréciation correcte de la situation."

Beaucoup d'individus privés ou de PME, victimes d'escroqueries ou de chantage en ligne, ne dénoncent d'ailleurs pas, par honte ou par peur pour leur réputation.

Réagir après coup en annonçant une attaque ou une arnaque sur un site en ligne, comme le permet la Centrale d'enregistrement et d'analyse pour la sûreté de l'information de la Confédération (MELANI), ne suffit d'ailleurs pas. "S'il ne se passe rien après, personne ne sera encouragé à le faire."

Et c'est un cercle vicieux. "Sans visibilité claire du problème, les politiques ne peuvent pas engager de moyens supplémentaires pour la cybersécurité."

Car le manque de moyens est pourtant flagrant. Le saupoudrage de ressources est de peu d'utilité dans le contexte du cyberespace. Il faut pouvoir disposer de compétences de justice et police suffisantes à tous les niveaux, aussi communal.

En retard

Globalement, la Suisse est en retard, constate encore la spécialiste en cybersécurité. Au niveau de la Confédération, MELANI a l'avantage d'exister. Mais dans la pratique cela ne concerne pour l'essentiel que les grosses entreprises généralement alémaniques, regrette Mme Ghernaouti.

Le radar d'observation est très ciblé. "La grande majorité du tissu économique suisse, le tissu des PME comme les particuliers, n'en sont pas bénéficiaires et ne sont pas suffisamment informés et protégés". Et de se demander si les autorités fédérales pourront faire face à une cyberattaque de grande ampleur et intensité, "y compris dans la durée et aussi en dehors des heures de bureau."

Tous responsables

Les autorités politiques ne sont pas seules responsables. Les entreprises n'investissent pas assez dans la cybersécurité, mais aussi dans les mesures de sensibilisation, de formation et de réaction aux incidents.

Il n'y pas d'obligation de résultat en matière de cybersécurité, poursuit la professeure. Mais "est-il acceptable que des logiciels utilisés y compris dans des infrastructures critiques (gouvernement, hôpitaux, centrales nucléaires) puissent être commercialisés avec des vulnérabilités?"

Peut-être que les Suisses sont un peu meilleurs élèves en matière de mise à jour des systèmes de sécurité. "Mais surtout, nous avons eu beaucoup de chance au regard des techniques et vecteurs de propagation du virus."

Pas de banalisation

Mais cette attaque pose des problèmes par l'ampleur du phénomène. A l'avenir, les objets connectés rendront la protection des systèmes encore plus difficile. Les réseaux sociaux jouent aussi un rôle, avec la quantité d'informations privées qui y figurent à la portée de tous.

"On a mis la fabrication d'armes cyber low-cost à la portée de tout le monde." Il faut donc éviter tout discours de banalisation, conclut la professeure.

Une position partagée par d'autres, comme André Kudelski, patron de l'entreprise de cybersécurité du même nom. Sur les ondes de la RTS, il a estimé lundi qu'il faudrait des événements "malheureusement spectaculaires" pour changer les mentalités. "Le jour où il y aura un Hiroshima ou un Fukushima en matière 'cyber', il y aura une vraie prise de conscience", a dit l'entrepreneur vaudois.

ATS

 Toute l'actu en bref