Recherche sur les cyberrisques en Suisse€¦ · Agenda stratégique de la recherche en cybersécurité, publié en 2015. - Projet CyberROAD de la Commission européenne: inventaire

Département fédéral des finances DFF

Unité de pilotage informatique de la Confédération UPIC

Organe de coordination de la SNPC

Recherche sur les cyberrisques en Suisse

Rapport d’experts 2017 sur les thèmes les

plus importants pour la recherche

Rapport d’experts sur les thèmes les plus importants pour la recherche

2

Publication Novembre 2017

Auteurs Isabelle Augsburger-Bucheli, Endre Bangerter, Luca Brunoni,

Srdjan Capkun, Eoghan Casey, Jacques De Werra, Myriam Dunn Cavelty, Martin Eling, Sébastian Fanti, Solange Ghernaouti, David-Olivier Jaquet-Chiffelle, Markus Kummer, Vincent Lenders, Gustav Lindstrom, Martin Gwerder, Rolf Oppliger, Evelyne Studer, Manuel Suter

Mandat Secrétariat d’État à la formation, à la recherche et à

l’innovation SEFRI Unité de pilotage informatique de la Confédération UPIC

Responsable de Département fédéral des finances DFF la publication

Unité de pilotage informatique de la Confédération UPIC

Schwarztorstrasse 59

CH-3003 Berne

Tél. +41 (0)58 462 45 38 [email protected]


3

Sommaire

1 Introduction ................................................................................................... 4

2 Mandat, objectifs et approche ..................................................................... 5

2.1 Contexte.................................................................................................................. 5 2.1.1 Contexte national: stratégies et exigences politiques ............................................... 5 2.1.2 Contexte international: agendas de recherche d’autres pays et d’organisations

internationales .......................................................................................................... 6

2.2 Objectifs.................................................................................................................. 6 2.3 Approche ................................................................................................................ 7

3 Thèmes de recherche ................................................................................... 7

3.1 Classification des thèmes de recherche .............................................................. 8 3.2 Domaines de recherche ......................................................................................... 8 3.2.1 Protection de la sphère privée et des données personnelles .................................... 9 3.2.2 Sécurité des réseaux informatiques ....................................................................... 10 3.2.3 Cadre juridique ....................................................................................................... 11 3.2.4 Prévention et répression de la cybercriminalité ...................................................... 12 3.2.5 Détection des incidents et réaction, forensique informatique .................................. 13 3.2.6 Gestion des cyberrisques ....................................................................................... 15 3.2.7 Économie de la cybersécurité ................................................................................ 16 3.2.8 Sécurité des systèmes cyber-physiques ................................................................ 17 3.2.9 Cybersécurité dans les relations internationales..................................................... 18 3.2.10 Facteurs humains et sociaux de la cybersécurité ................................................... 20

3.3 Thèmes prioritaires: domaines, technologies et applications revêtant une

importance particulière ........................................................................................ 21 3.3.1 Mégadonnées ........................................................................................................ 21 3.3.2 Cyberrisques et informatique en nuage .................................................................. 22 3.3.3 Sécurité dans les FinTech ...................................................................................... 23

4 Conclusion .................................................................................................. 24


4

1 Introduction

Les cyberrisques ont cessé depuis longtemps d’être assimilés à une hypothétique menace à

venir. Ils constituent pour les États comme pour les institutions publiques, pour les

entreprises ou les particuliers une réalité qui entraîne des coûts élevés, tout en ébranlant la

confiance générale envers les nouvelles technologies. Le spectre des cyberrisques s’étend

aujourd’hui de la simple défiguration de sites Web aux actes d’espionnage ou de sabotage

ciblés commis aux dépens d’États, d’infrastructures d’importance vitale ou d’entreprises, en

passant par les activités criminelles comme le phishing ou le chantage basé sur des

attaques par déni de service (DoS).

Au vu de l’évolution rapide des cyberrisques, il n’est pas aisé aux hautes écoles et aux

autres institutions de recherche d’organiser leur activité scientifique pour contribuer à une

meilleure compréhension de cette problématique. Beaucoup de hautes écoles ont certes

réalisé l’importance de l’enjeu et intensifié leurs travaux. Mais force est de constater que

dans bien des domaines, les connaissances spécialisées laissent encore à désirer. Ces

lacunes ne sont pas seulement dues à la dynamique propre aux cyberrisques, mais tiennent

aussi à la difficulté de maîtriser un thème aussi résolument interdisciplinaire. L’analyse des

questions touchant aux cyberrisques est traditionnellement du ressort des sciences

informatiques. Cette recherche technique demeure importante pour bien comprendre le

problème. Cependant, les connaissances techniques sur les cyberrisques ne suffisent pas

pour appréhender ce thème dans toute sa complexité. Il importe encore de savoir à quelles

incitations économiques ou politiques est due l’augmentation rapide des cyberrisques,

comment on pourrait apprendre à la société à bien gérer les cyberrisques, et quelles sont les

mesures juridiques à prendre pour atténuer le problème.

La recherche des hautes écoles, fortement structurée par discipline, peine à s’approprier les

nouveaux thèmes interdisciplinaires. D’une part, il manque souvent une compréhension

commune du thème en question, d’autre part, la politique de recherche n’incite guère à la

recherche interdisciplinaire. Pourtant, il serait crucial pour la société, pour l’économie et l’État

que les compétences existantes soient renforcées dans les différents domaines et dûment

mises à profit, conjointement avec le savoir d’autres disciplines, afin que la recherche

contribue à une meilleure compréhension des cyberrisques.

Le présent rapport entend apporter sa contribution sur ce terrain. Il passe en revue les

thèmes de recherche jugés particulièrement prometteurs par un groupe interdisciplinaire

d’experts issus des hautes écoles suisses. Ces experts ont brièvement décrit chaque thème,

puis identifié les champs de recherche importants avec une série de questions de recherche.

Il ne s’agissait pas seulement de signaler aux chercheurs des différentes disciplines les

questions de recherche potentiellement intéressantes que posent les cyberrisques, mais

d’encourager également leur compréhension commune de la recherche interdisciplinaire

dans ce contexte. Enfin, le rapport entend donner une impulsion à la politique de recherche,

afin qu’à l’avenir les projets interdisciplinaires menés dans le domaine des cyberrisques

bénéficient eux aussi d’encouragements ciblés.


5

2 Mandat, objectifs et approche

Avant la présentation des thèmes et questions de recherche identifiés, le présent chapitre

explique dans quel contexte le présent rapport d’experts a vu le jour et quels objectifs il

poursuit. On y voit encore comment le rapport a été réalisé et quels ont été les principaux

défis rencontrés pour l’identification des principaux thèmes de recherche en matière de

cyberrisques.

2.1 Contexte

2.1.1 Contexte national: stratégies et exigences politiques

Le présent rapport marque l’aboutissement d’un projet lié à la stratégie nationale de

protection de la Suisse contre les cyberrisques (SNPC). Cette stratégie mise sur

l’acquisition des compétences requises. Elle définit dans son champ d’action 1 la mesure

suivante:

«Les nouveaux risques en lien avec la problématique de la cybernétique doivent être

étudiés pour que les milieux de la politique, de l’économie et de la recherche puissent

être informés et prendre des décisions à temps. Le domaine de la recherche focalise

ses activités en fonction des tendances technologiques, sociales, politiques et

économiques pouvant avoir un impact sur les cyberrisques.»

Le Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI) a été chargé,

avec l’organe de coordination de la SNPC, de la mise en œuvre de cette mesure. Or il est

apparu, après discussion avec les autres services fédéraux intéressés par la recherche sur

les cyberrisques, que la première chose à faire était d’identifier les principaux thèmes de

recherche, avec l’aide d’experts. Le présent rapport est le résultat de ces travaux.

Outre la SNPC, d’autres stratégies ou programmes de la Confédération ont une incidence

sur la recherche liée aux cyberrisques.

- Stratégie «Suisse numérique» du Conseil fédéral: cette stratégie vise notamment

à promouvoir la recherche et la formation dans le domaine de la numérisation.

Concrètement, on y lit ceci: «Pour répondre aux besoins de notre société et de notre

économie numériques […], il convient, dans le respect de la répartition des

compétences et de l’autonomie des hautes écoles, de promouvoir activement les

nouvelles offres de formation et de perfectionnement, mais aussi de soutenir les

centres de recherche et la création de chaires dans les universités. Le but est de

développer des compétences spécifiques dans l’analyse des données, l’innovation

basée sur les données, l’intelligence artificielle, la robotique et l’internet des objets.

L’examen des conséquences et des effets sociaux de ces technologies doit toutefois

aussi faire l’objet d’une observation particulière sous la forme d’une évaluation des

choix technologiques.»

- Stratégie nationale pour la protection des infrastructures critiques: l’un des

objectifs de la stratégie consiste à acquérir des connaissances scientifiquement

fondées en vue de la protection intégrale des infrastructures d’importance vitale. À ce

titre, il s’agit en particulier de suivre «les évolutions technologiques et celles de

l’environnement naturel et social susceptibles d’être à l’origine de nouveaux risques».


6

2.1.2 Contexte international: agendas de recherche d’autres pays et d’organisations internationales

Divers pays ont déjà publié des stratégies, des programmes ou agendas de recherche sur le

thème des cyberrisques. Les récents exemples mentionnés ci-après montrent quels sont,

selon d’autres pays, les thèmes particulièrement importants dans le domaine des

cyberrisques:

- Allemagne: Sécurité et autonomie dans le monde numérique 2015-2020, programme-

cadre de recherche du gouvernement fédéral, publié en janvier 2016.

- Pays-Bas: Agenda national de la recherche en cybersécurité (II), rapport confié à un

groupe d’experts issus du monde académique par le gouvernement, publié en 2014.

- États-Unis: Plan stratégique fédéral sur la recherche et le développement en

cybersécurité, Conseil national de la science et de la technologie, publié en 2016.

Au niveau de l’UE également, différents projets visent à encourager la recherche sur les

cyberrisques. Deux projets surtout sont utiles pour identifier des thèmes de recherche:

- Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA):

Agenda stratégique de la recherche en cybersécurité, publié en 2015.

- Projet CyberROAD de la Commission européenne: inventaire en cours des travaux

de recherche consacrés à la cybercriminalité.

2.2 Objectifs

Selon le mandat figurant dans la SNPC et compte tenu du contexte décrit plus haut, le

présent rapport comporte trois objectifs:

1) Identifier les besoins de recherche dans les disciplines concernées: une liste de

thèmes et questions de recherche pertinents doit inciter les chercheurs des diverses

disciplines à mener les projets de recherche correspondants. Le rapport entend

inspirer et motiver professeurs, chercheurs et étudiants à s’occuper de l’un des

nombreux aspects des cyberrisques. 2) Motiver à développer la recherche interdisciplinaire: la liste de questions de

recherche faisant appel à différentes disciplines doit contribuer à créer une

compréhension commune du thème des cyberrisques, et par là encourager la

recherche interdisciplinaire. Comme le présent rapport aborde son sujet de diverses

perspectives, il aide les spécialistes à comprendre dans quelles autres disciplines

des questions similaires sont étudiées et où une collaboration interdisciplinaire serait

possible et judicieuse.

3) Sensibiliser la politique de recherche au thème des cyberrisques: le thème

ayant un caractère résolument interdisciplinaire, il incombe à chaque discipline de

déterminer où et pourquoi la recherche dans ce domaine est pertinente. Le rapport

cherche à donner une vue d’ensemble, afin de bien montrer au monde politique que

la recherche sur les cyberrisques requiert une approche large et dans la mesure du

possible interdisciplinaire, et qu’il faudrait encourager la communauté scientifique

dans cette voie.

Tous les acteurs concernés sont bien conscients que le rapport n’est qu’une première étape

en vue de la réalisation des objectifs définis. Mais il est important de la franchir pour parvenir

à une plus grande cohérence en Suisse dans la recherche consacrée aux cyberrisques, ainsi

que pour renforcer le réseau des chercheurs issus des différentes disciplines.


7

2.3 Approche

Pour mener à bien le mandat d’encouragement de la recherche figurant dans la SNPC, un

comité interdépartemental créé sous la direction du Secrétariat d’État à la formation, à la

recherche et à l’innovation (SEFRI) coordonne à l’échelon de la Confédération la promotion

de la recherche consacrée aux cyberrisques. Les membres de ce comité ont rapidement

réalisé qu’il leur fallait faire appel à des experts issus du paysage suisse des hautes écoles,

afin d’identifier les thèmes de recherche les plus féconds. La plupart des experts interrogés

ont accepté de collaborer au projet. Le groupe d’experts est formé de seize personnes:

- Isabelle Augsburger-Bucheli, Prof. Dr, Haute école de gestion Arc, Neuchâtel (HES-

SO)

- Endre Bangerter, Prof. Dr, Haute école spécialisée bernoise

- Luca Brunoni, LL.M / MA, Haute école de gestion Arc, Neuchâtel (HES-SO)

- Srdjan Capkun, Prof. Dr, EPF Zurich

- Eoghan Casey, Prof., Université de Lausanne

- Jacques De Werra, Prof. Dr, Université de Genève

- Myriam Dunn Cavelty, Dr, EPF Zurich

- Martin Eling, Prof. Dr, Université de Saint-Gall

- Sébastian Fanti, avocat, Canton du Valais

- Solange Ghernaouti, Prof. Dr, Université de Lausanne

- Martin Gwerder, Prof., Haute école spécialisée de la Suisse du Nord-Ouest

- David-Olivier Jaquet-Chiffelle, Prof. Dr, Université de Lausanne

- Markus Kummer, diplomate, conseil d’administration de l’ICANN

- Gustav Lindstrom, Dr, The Geneva Centre for Security Policy

- Rolf Oppliger, Prof. Dr, Université de Zurich

- Evelyne Studer, LL.M, Université de Genève

Un grand soin a été apporté à la prise en compte de différentes disciplines, ainsi qu’à la

participation tant des universités que des hautes écoles spécialisées. En outre, il importait

que les communautés linguistiques et les deux sexes soient représentés de manière

équilibrée dans le groupe d’experts. Lors de quatre séances communes organisées en 2016,

les experts se sont d’abord entendus sur les principaux thèmes de recherche, qu’ils ont

ensuite approfondis et soumis à des contrôles réciproques (examen par les pairs).

3 Thèmes de recherche

La numérisation, omniprésente dans la société et dans l’économie, fait que les cyberrisques

sont devenus un enjeu majeur dans beaucoup de domaines différents. Autrement dit, il

existe d’innombrables thèmes de recherche possibles sur ce terrain. Le défi le plus ardu du

groupe d’experts a consisté à sélectionner les plus importants et à les classer d’une manière

logique. Les thèmes exposés ici sont le résultat des discussions ouvertes menées au sein du

groupe interdisciplinaire. La liste ne prétend nullement être exhaustive ou définitive. Elle vise

toutefois à donner un aperçu des thèmes intéressants et pertinents, et par là à être une

source d’inspiration pour les chercheurs et une source d’information pour les décideurs du

monde politique ou économique.

Le chapitre 3.1 expose la méthode utilisée pour structurer les thèmes de recherche. Pour

bien comprendre le rapport, il est important de connaître les raisons ayant conduit à

distinguer et à classer dans une liste différente deux types de thèmes. La première partie de

cet inventaire (chap. 3.2) aborde les thèmes de recherche généraux, alors que les thèmes

de recherche figurant dans la seconde partie (chap. 3.3) se rapportent à des applications ou

technologies spécifiques.


8

3.1 Classification des thèmes de recherche

Les thèmes de recherche dans le domaine des cyberrisques se prêtent à toutes sortes de

classements. Le groupe d’experts les a passés en revue, avant d’opter pour une structure en

deux volets. Une première partie renferme les thèmes généraux de recherche; on y trouve

tous les domaines généraux et transversaux (par ex. la recherche sur la gestion des risques

ou celle sur la protection des données et de la sphère privée). La seconde partie – portant

sur les thèmes prioritaires – indique des thèmes touchant à des technologies ou applications

spécifiques et que le groupe d’experts a identifiés comme primordiaux, dans l’optique des

cyberrisques (par ex. la recherche sur les FinTech ou sur l’informatique en nuage).

Trois raisons expliquent la systématique choisie:

1) Interdisciplinarité de la recherche sur les cyberrisques

Une structure de classement typique correspondrait aux disciplines académiques

traditionnelles. Une telle délimitation aurait toutefois un caractère artificiel. En effet,

les cyberrisques étant un phénomène aux retombées multiples dans des domaines

variés, des approches interdisciplinaires s’imposent pour les analyser. Par exemple,

de nombreux thèmes de la recherche technologique soulèvent des questions

juridiques, et vice-versa. Le groupe d’experts a donc décidé de ne pas se référer aux

disciplines académiques pour établir sa liste de thèmes de recherche. 2) Recoupements inévitables entre les thèmes

Une autre possibilité consisterait à classer les thèmes par champ d’application et par

technologie. Il en résulterait toutefois de nombreuses redondances, parce que des

thèmes similaires se retrouvent dans beaucoup de champs d’application ou de

technologies. De tels recoupements subsistent même en cas de structuration par

champ thématique; il est vrai qu’on peut les signaler par des renvois au chapitre

concerné, afin que le lecteur sache où sont traités quels thèmes.

3) Degrés de spécification différents: domaines de recherche et thèmes

prioritaires

De nouveaux thèmes de recherche liés aux cyberrisques apparaissent d’ordinaire

lorsqu’une technologie voit le jour, quand une technologie existante donne lieu à de

nouvelles applications concrètes, ou encore quand de nouvelles applications

amènent à employer différemment des technologies existantes (par ex. informatique

en nuage, Internet des objets, analyse des mégadonnées). Le présent aperçu se

devait d’aborder aussi de tels développements. En l’occurrence, le groupe d’experts

a décidé de les examiner, avec les questions de recherche spécifiques qu’ils

soulèvent, dans des chapitres spécifiques intitulés «Thèmes prioritaires».

3.2 Domaines de recherche

Le groupe d’experts a identifié dix domaines généraux de recherche:

1) Protection de la sphère privée et des données personnelles

2) Sécurité des réseaux informatiques

3) Cadre juridique

4) Prévention et répression de la cybercriminalité

5) Détection des incidents et réaction, forensique informatique

6) Gestion des cyberrisques

7) Économie de la cybersécurité

8) Sécurité des systèmes cyber-physiques

9) Cybersécurité dans les relations internationales

10) Facteurs humains et sociaux de la cybersécurité


9

Ces dix thèmes font tous l’objet ci-après d’un sous-chapitre séparé. Chaque sous-chapitre

débute par une description générale du domaine de recherche, suivie d’explications sur sa

pertinence, puis d’une liste des principales interfaces avec d’autres domaines. Enfin, des

thèmes de recherche envisageables sont indiqués dans toutes les disciplines possibles, avec

des exemples de questions de recherche intéressantes. Ni la liste de thèmes, ni celle des

questions ne prétendent être exhaustives ou définitives. Il s’agit plutôt de donner une

impression des projets de recherche envisageables.

3.2.1 Protection de la sphère privée et des données personnelles

Description du domaine de recherche:

La forte augmentation des capacités de collecte, de conservation et d’analyse des

données pose de nouveaux défis pour la protection de la sphère privée et des données

proprement dites. En utilisant les services en ligne, les internautes partagent une grande

quantité de données – parfois consciemment (par ex. sur les médias sociaux) – souvent

aussi à leur insu, parce que leurs données sont subrepticement collectées, stockées et

exploitées à des fins commerciales. Les grandes entreprises, et parfois aussi les États,

ont la possibilité de surveiller de près le comportement des utilisateurs. Pour aggraver les

choses, les données ne disparaissent pas: les utilisateurs ont toutes les peines du monde

à faire valoir leur «droit à l’oubli» – soit à l’effacement d’informations les concernant.

La recherche ayant pour objet la protection des données et la sphère privée intéresse de

très nombreuses disciplines. Les thèmes évoqués ici relèvent des sciences informatiques

et de la cryptographie. Dans ces disciplines, le défi majeur tient à ce que les données

sont enregistrées et gérées de façon toujours plus décentralisée. La protection physique

des systèmes ne suffit donc pas à garantir une protection adéquate de la sphère privée. Il

faut lui substituer une protection logique, par des procédés cryptologiques servant à

l’authentification et au contrôle tant des accès que de l’usage fait des données.

Pertinence:

La protection de la sphère privée et des données pâtit de la numérisation toujours plus

poussée. Il est aisé d’utiliser de manière abusive les données souvent personnelles, et

l’absence de transparence quant à leur enregistrement et à leur gestion décentralisés

désécurise les utilisateurs. La recherche s’impose donc à tous les niveaux, pour

découvrir des solutions permettant d’améliorer la situation actuelle.

Domaines de recherche apparentés:

Détection des incidents et réaction, forensique informatique; cadre juridique; prévention

et répression de la cybercriminalité; gestion des cyberrisques; sécurité des systèmes

cyber-physiques.

Thèmes de recherche possibles:

Recherche cryptologique: la mise au point de procédés cryptologiques visant à

garantir l’anonymat ou le pseudonymat demeure un important domaine de recherche.

Ces procédés constituent la base offrant aux utilisateurs des solutions pour protéger

leurs données. Le développement du réseau Tor et les applications de vote

électronique reposent sur ces technologies.

Gestion de l’identité selon le principe de réduction des données: les systèmes

actuels d’identification reposent sur des certificats où figurent quantité d’informations

sur les utilisateurs (par ex. certificats PKI). Pour améliorer la protection des données,

il convient de mettre au point de nouvelles méthodes d’identification, renfermant un

minimum de données sur les utilisateurs.

Respect de la vie privée dès la conception (privacy by design): la protection de la

sphère privée et des données devrait déjà être envisagée lors du développement de

nouvelles technologies ou applications. Il s’agit pour la recherche d’élaborer les bases

correspondantes et de montrer les possibilités technologiques.


10

Exemples de questions de recherche:

- Quelles nouvelles technologies pourraient-elles aider les utilisateurs à reprendre le

contrôle de leurs données?

- Comment peut-on garantir la traçabilité de l’usage fait des données?

- Quelle importance l’informatique quantique revêt-elle pour les techniques de cryptage

existantes?

- Comment pourrait-on davantage insister sur la protection de la sphère privée et des

données, lors de la conception de systèmes?

- Quelles normes techniques pourrait-on développer et appliquer dans le domaine de la

protection des données?

3.2.2 Sécurité des réseaux informatiques


Internet a révolutionné notre société au cours des 30 dernières années. L’industrie, les

particuliers et les gouvernements sont devenus toujours plus dépendants

d’infrastructures de communication constamment opérationnelles et sûres. Or à l’heure

actuelle, tant les protocoles de communication que le matériel et les logiciels des

systèmes informatiques sont très fragiles, et des acteurs malveillants parviennent à les

compromettre avec des moyens rudimentaires. Les attaques par déni de service, le vol

de données ou le chantage sont le lot des organisations comme des particuliers.

La vulnérabilité des réseaux, combinée à notre forte dépendance de ces infrastructures,

s’avère un défi essentiel pour la cybersécurité. La recherche a ici pour tâche d’indiquer la

manière de renforcer sur ce plan la résilience et la robustesse des réseaux informatiques.

Il s’agit de déterminer quelles composantes des réseaux pourraient devenir plus sûres

avec quelles méthodes, et quelles sont les composantes devant être entièrement

repensées et conçues à neuf.

Pertinence:

La recherche peut apporter une contribution importante au développement de réseaux

informatiques résilients et résistants. Il s’agit à la fois de développer de nouvelles

technologies réseau intégrant la sécurité dès le stade de la conception, et de trouver des

méthodes propres à protéger les réseaux informatiques existants, faute de pouvoir

remplacer du jour au lendemain les infrastructures installées.


Architectures de réseaux sécurisés: l’architecture des réseaux doit être organisée

et gérée de façon à garantir la surveillance du trafic des données, afin de pouvoir

détecter rapidement une activité indésirable. Les exigences auxquelles l’architecture

est confrontée dépendent du degré de complexité des réseaux. Il s’agit donc pour la

recherche de montrer quelles solutions conviennent à quels réseaux, et de mettre au

point des architectures novatrices.

Sécurisation des protocoles réseau existants: beaucoup des protocoles utilisés

aujourd’hui ne cryptent pas les données transmises, d’où le risque que les données

soient lues, voire manipulées par des tiers non autorisés. Mais comme ces protocoles

sont très répandus, leur remplacement exigera beaucoup de temps. Il importe donc

de rechercher des solutions techniques permettant de sécuriser ces protocoles.

Nouveaux protocoles réseau sûrs: la mise au point de nouveaux protocoles réseau

sûrs est une contribution importante de la recherche à l’amélioration de la sécurité du

transfert des données au sein des réseaux et entre eux.

Réduction du rôle joué par le matériel informatique: la création de couches

d’abstraction et la virtualisation du matériel informatique atténuent en partie les

problèmes de sécurité des terminaux. Autrement dit, la moindre dépendance du

matériel constitue un moyen de renforcer la sécurité du réseau. Il s’agit d’analyser

plus en détail les possibilités et les limites de cette approche.

Intégration en toute sécurité des applications: la sécurité du réseau implique aussi

de se demander comment intégrer en toute sécurité les différentes applications. La


11

recherche développera de nouvelles méthodes destinées à valider et surveiller les

données transférées par les applications, à en limiter l’utilisation ainsi qu’à restreindre

les groupes d’utilisateurs.


- Comment peut-on rendre nos infrastructures de communication plus robustes face aux

attaques par déni de service?

- Comment peut-on contrôler les logiciels et le matériel destinés aux applications et aux

systèmes, pour prévenir les failles de sécurité?

- Comment peut-on développer de manière sûre les logiciels destinés aux applications et

à l’infrastructure de communication?

- Comment pourrait-on mieux protéger les réseaux informatiques contre les maliciels et le

vol de données?

- Comment détecter plus rapidement les cyberattaques?

3.2.3 Cadre juridique


Face au vide réglementaire du monde numérique, les questions juridiques se posent

avec une acuité accrue et confrontent les législateurs à un casse-tête. La complexité et la

diversité des thèmes touchant à la cybersécurité font qu’il est très difficile d’anticiper au

niveau légal les développements, d’identifier à temps l’émergence de nouveaux thèmes

et de les traiter de manière exhaustive.

La recherche peut toutefois apporter ici une contribution importante, en enregistrant et en

analysant les données fondamentales. Elle aide à mieux comprendre les défis actuels et

les développements à venir. À partir de là, on voit comment on pourrait améliorer les lois,

où il faut en édicter de nouvelles et quel est l’impact à prévoir des changements apportés

aux bases juridiques. Les efforts de la recherche devraient viser à l’adoption d’un cadre

légal adéquat dans le domaine des cyberrisques.

Pertinence:

Le cadre juridique a une influence directe sur la gestion des cyberrisques. L’absence ou

l’insuffisance des bases légales, ainsi que les difficultés inhérentes à leur mise en œuvre

dans le contexte des cyberrisques engendrent l’insécurité juridique. D’où l’importance des

travaux de recherche sur les possibilités offertes par la législation. Une analyse du besoin

de légiférer a en outre une utilité pratique immédiate.


Protection de la sphère privée et des données; prévention et répression de la

cybercriminalité; gestion des cyberrisques; cybersécurité dans les relations

internationales.


Aspects juridiques touchant à la protection de la sphère privée ainsi que des

données: la collecte automatique des données est d’ores et déjà au cœur de

nombreux modèles d’affaires. Or le cadre juridique en la matière laisse à désirer. Il

faut donc analyser comment les bases légales devraient être aménagées afin

d’accroître la transparence et l’obligation de rendre des comptes.

Bases juridiques de l’action étatique: les possibilités ou les limites des réactions

étatiques aux cyberattaques sont un sujet amplement débattu. Il est notamment

question des critères juridiques à remplir et des conséquences juridiques possibles

des activités de surveillance étatique ou des contre-mesures engagées par l’État en

cas de cyberespionnage. Dans le contexte helvétique, on se référera pour une telle

analyse à la nouvelle loi fédérale sur le renseignement (LRens) et à la loi fédérale sur

la surveillance de la correspondance par poste et par télécommunication (LSCPT).

Répartition des responsabilités: de nombreuses questions complexes liées au

partage des responsabilités se posent dans le domaine de la cybersécurité. Il faut

examiner qui sera tenu responsable le cas échéant (soit ce que peut en dire le droit

civil ou pénal). Cela suppose des décisions politiques sur les incitations économiques


12

et juridiques à prévoir pour les divers acteurs. Par ex., il convient de déterminer dans

quelle mesure les victimes d’une attaque pourront être tenues pour responsables (en

cas de vol de données notamment), ce qui pose encore la question des normes

minimales à édicter dans un but préventif.

Méthodes (alternatives) de résolution des conflits: la Suisse possède une longue

tradition d’arbitrage. Elle est ainsi prédisposée à jouer un rôle de premier plan dans

les litiges liés à la protection des données et de la personnalité. La recherche pourrait

fournir ici des idées et proposer des méthodes globales pour la résolution des conflits.


- À quelles conditions juridiques un régime d’obligation de signaler les cyberincidents

devrait-il satisfaire? Quelles seraient les conséquences d’un tel devoir?

- Sur quelles bases légales des prescriptions pourraient-elles être édictées dans le

domaine des technologies de cryptage?

- Quelles incitations juridiques pourrait-on envisager afin qu’à l’avenir, la sécurité soit

mieux prise en compte lors du développement de logiciels?

- Comment devrait se faire la répartition des questions de responsabilité entre les

utilisateurs, les producteurs et les tiers?

- Faut-il obliger les producteurs de logiciels à faire preuve de transparence sur leurs failles

de sécurité potentielles?

- Quels sont les moyens légaux de repousser les cyberattaques? Où se situent les limites?

3.2.4 Prévention et répression de la cybercriminalité


Le préfixe «cyber» est devenu omniprésent à notre époque, quand il est question de

criminalité. Les ordinateurs et les réseaux offrent aux escrocs de nouveaux modes

opératoires, et du même coup les processus de poursuite pénale évoluent. Les nouvelles

technologies offrent constamment de nouvelles possibilités aux cybercriminels. Or il reste

crucial, d’un point de vue juridique et notamment pour préserver la sécurité juridique, que

les actes criminels fassent l’objet d’enquêtes, de poursuites et de sanctions dans ce

nouveau contexte également.

Un cadre juridique solide s’avère indispensable pour réduire la cybercriminalité. Mais il

faut aussi une bonne stratégie de prévention. Les recherches effectuées dans le champ

de la psychologie, de l’anthropologie, de la criminologie ou de la sociologie peuvent

contribuer à la mise en place de campagnes de prévention adaptées aux divers groupes

de la population.

Enfin, la collaboration s’avère décisive en cas de poursuite pénale. Elle implique

l’échange de renseignements entre les victimes et les autorités, ainsi que la coopération

au niveau international.

Pertinence:

Une prévention et une répression efficaces de la cybercriminalité requièrent des efforts

constants, de la part de tout le monde. Le précieux éclairage de la recherche s’avère

également nécessaire ici.


Protection de la sphère privée et des données; cadre juridique; détection des incidents et

réaction, forensique informatique; gestion des cyberrisques; cybersécurité dans les

relations internationales; facteurs humains et sociaux de la cybersécurité.


Actualisation du droit pénal: alors que de nombreuses infractions commises dans

le cyberespace tombent sous le coup d’articles en vigueur du code pénal, d’autres se

situent dans la zone grise ou exploitent à dessein le vide juridique. Bien souvent, il

suffirait d’étendre l’interprétation du droit en vigueur à de tels cas. Cela vaut par

exemple pour le vol d’identité, qui n’est pas directement traité dans le code pénal,

mais que les dispositions en vigueur permettent néanmoins de sanctionner. Or une


13

telle approche n’est pas toujours envisageable. Il reste par conséquent à déterminer

quand et à quelles conditions de nouveaux articles de loi sont nécessaires.

Adaptation des poursuites pénales: les autorités doivent avoir les moyens

d’enquêter aussitôt sur les infractions commises par des cybercriminels, et de les

poursuivre de manière efficace. Il faut par ailleurs trouver un équilibre entre cette

exigence et les libertés individuelles des citoyens. Ce défi se pose notamment pour la

collecte et la conservation des preuves dans le monde numérique. Il importe donc

d’examiner quelles seraient les adaptations nécessaires, au niveau des processus

régissant les poursuites pénales.

Coopération internationale: la cybercriminalité ne s’arrête pas aux frontières. La

collaboration internationale dans le cadre des poursuites pénales s’avère dès lors

primordiale. Il convient d’en réexaminer les modalités pour rationaliser les efforts

entrepris. La Convention du Conseil de l’Europe sur la cybercriminalité, signée par la

Suisse en 2001, constitue ici un bon sujet de recherche. Les études comparatives

des mesures prises par d’autres pays dans le domaine de la cybercriminalité livrent

également un aperçu intéressant des activités envisageables pour l’éradiquer.

Réseau Internet invisible (darknet): les réseaux pair à pair (P2P), isolés à l’origine

du réseau public, offrent un marché attrayant pour les activités criminelles. Ils sont

difficiles d’accès aux autorités de poursuite pénale, et l’anonymat des acteurs y reste

préservé dans une large mesure. Un thème de recherche consisterait à examiner

l’influence qu’a le réseau Internet invisible sur les activités criminelles, avec les

possibilités qu’ont les enquêteurs pénaux de poursuivre lesdites activités déployées

dans le «darknet».

Exemples de questions de recherche: - Faut-il définir de nouvelles infractions pour traiter les nouvelles formes de criminalité,

comme par ex. le vol d’identité, ou les bases actuelles sont-elles suffisantes? - Les processus en place dans le domaine des poursuites pénales permettent-ils de faire

toute la lumière sur les actes cybercriminels? - Jusqu’à quel point la coopération internationale actuelle est-elle efficace, dans la lutte

contre la cybercriminalité? - Quelles possibilités les nouvelles technologies vont-elles ouvrir aux criminels? - Quels sont les moyens déployés par d’autres États contre les cybercriminels?

3.2.5 Détection des incidents et réaction, forensique informatique


La spécialisation et la complexité croissantes des cyberattaques font qu’il est toujours

plus difficile de détecter et d’analyser les incidents. Les méthodes d’attaque et les

maliciels modernes parviennent à déjouer les mécanismes de sécurité, y compris les

antivirus et les systèmes de détection d’incidents. Même les organisations très sensibles

aux questions de sécurité, comme les banques ou les institutions étatiques, sont à tout

moment victimes de cyberattaques réussies.

Il est donc crucial de découvrir les incidents et d’y apporter une réponse rapide et

efficace, afin de circonscrire les cyberrisques. Aussi la recherche sur la cybersécurité a-t-

elle cessé de se concentrer sur les mesures de défense et de protection, pour mettre au

point des méthodes de détection, de gestion et d’analyse des incidents. Ces méthodes

apportent elles aussi une précieuse contribution à la prévention, dans la mesure où les

informations recueillies sur l’identité des agresseurs et sur leur mode opératoire sont

déterminantes pour adopter des mesures de protection adéquates.

La forensique informatique et l’analyse des incidents sont deux disciplines très proches.

Traditionnellement, la forensique informatique s’occupe de cas où les agresseurs ont

commencé leurs activités criminelles dans le monde réel. De telles investigations se

concentrent sur l’examen des supports de données. L’analyse des incidents, par contre,

s’occupe des attaques visant les infrastructures informatiques. Le lieu de l’infraction est

l’infrastructure informatique, et donc les données à examiner sont de nature technique,


14

par ex. le fichier journal, le trafic réseau, le code malveillant, les modifications apportées

au système, etc.

Ces deux disciplines ont en commun d’exiger une compréhension approfondie des

technologies. Dans les deux cas, le principal défi de la recherche est qu’il faut analyser et

contextualiser de gigantesques quantités de données issues de sources différentes. La

recherche en forensique informatique et en analyse des incidents joue un rôle majeur

dans différents domaines (appareils mobiles, réseaux, supports de données, systèmes

de santé).

Beaucoup de marchés clandestins ou d’activités illégales ont désormais un équivalent

numérique: de faux papiers, des médicaments falsifiés, des contrefaçons de montres,

etc. sont proposés dans le réseau Internet invisible. De tels produits causent un préjudice

direct tant à la protection des frontières qu’à la qualité des soins ou à la compétitivité de

l’économie suisse. Ces phénomènes appellent une réponse technique: il s’agit de

combiner les méthodes de forensique numérique avec d’autres méthodes fondées sur les

sciences sociales et humaines, qui recourent de façon systématique aux sources

accessibles au grand public (open source intelligence, OSINT).

Pertinence: La pertinence découle de la numérisation croissante de la société. Les cyberattaques sont devenues un réel problème et emploient des méthodes toujours plus raffinées. Or la recherche et l’enseignement sur la gestion et les analyses d’incidents en sont restés à un stade embryonnaire en Suisse, alors même que cette dernière constitue une cible attrayante pour les cybercriminels.


Protection de la sphère privée et des données; mégadonnées; informatique en nuage;

cadre juridique; gestion des cyberrisques.


Automatisation: une automatisation (partielle) des activités de détection et d’analyse

des incidents a pour effet d’accélérer sensiblement les processus. Elle peut aussi

conduire à la détection immédiate d’attaques et à l’exploitation de nouveaux

systèmes de sécurité, permettant une défense évolutive face aux nouvelles attaques

ou variantes de maliciels.

Consolidation, corrélation et présentation des données: comment peut-on

enregistrer et décrire de manière adéquate les incidents, au-delà de la simple collecte

des indicateurs usuels (indicators of compromise, IOC)? Il convient notamment de

citer ici les méthodes ou systèmes d’analyse qui détectent les attaques sur la base de

modes opératoires et non à partir d’indicateurs particuliers. De même, les systèmes

qui analysent les liens cachés entre différentes cyberattaques peuvent présenter un

intérêt ici.

Partage et utilisation du savoir: comme les technologies et les méthodes d’attaque

évoluent très rapidement, il est difficile de connaître toutes les nouvelles possibilités

forensiques, ou de retrouver celles déjà connues. La recherche pourrait contribuer à

la mise au point d’une systématique pour l’enregistrement des nouvelles

connaissances et pour la conservation du savoir existant.

Intégration de la forensique informatique dans les poursuites pénales et dans

les investigations de services de renseignements: il faut intensifier encore l’usage

des méthodes d’analyse les plus raffinées pour acquérir des connaissances utiles sur

les agresseurs. La forensique informatique permet d’identifier les agresseurs à partir

de leurs traces numériques, en établissant des profils comportementaux.

Forensique et analyse des incidents en phase avec les nouvelles technologies:

en réponse aux nouvelles technologies, comme l’Internet des objets, il faut prévoir de

nouvelles méthodes de forensique numérique.

Monitorage: bien des technologies ou des activités criminelles seraient mieux

comprises, à condition de surveiller systématiquement les échanges des groupes de

malfaiteurs sur les forums Web, sur les réseaux sociaux ou dans le réseau Internet

invisible. Le volume d’informations disponibles sur les diverses plateformes est en

hausse constante, d’où l’importance de prévoir une procédure systématique pour


15

l’analyse de ces informations.

Identification: des schémas comportementaux permettent d’identifier les

caractéristiques des agresseurs. En combinant de telles méthodes à la forensique

usuelle, on pourra identifier les auteurs des attaques.

Visualisation: l’analyse des incidents implique de parcourir de grandes quantités

d’informations. La visualisation aide les analystes à repérer les schémas typiques et

les anomalies.

Exemples de questions de recherche: - Comment peut-on identifier la tactique des agresseurs, leur mode opératoire et leurs

processus respectifs? - Comment les schémas comportementaux et d’autres caractéristiques propres aux

agresseurs peuvent-il servir à identifier les auteurs de cyberattaques? - De quelle manière pourrait-on accélérer l’analyse des incidents? Quels sont les

processus susceptibles d’être automatisés? - Comment pourrait-on tirer un meilleur parti de l’analyse des incidents et de la forensique

informatique, dans le cadre de la gestion des risques? - Comment le savoir tiré de l’analyse des incidents pourrait-il être mieux exploité, à des

fins de prévention? - Comment pourrait-on recueillir de manière systématique et ciblée (forums en ligne,

réseaux sociaux, réseau Internet invisible) des informations sur les acteurs de la cybercriminalité et sur leurs tactiques?

3.2.6 Gestion des cyberrisques


Les cyberrisques connaissent une évolution très dynamique, tout en étant d’une extrême

complexité. Cette dynamique découle de la rapidité du développement technologique:

certains risques peuvent très vite devenir majeurs (ou alors insignifiants). Quant à la

complexité, elle tient aux multiples interdépendances des systèmes modernes, qui

rendent difficile sinon impossible d’évaluer les conséquences d’attaques fructueuses.

Ces deux caractéristiques constituent les principaux défis de la gestion des cyberrisques.

Toute recherche en la matière devra donc commencer par se familiariser avec la théorie

et les méthodes de gestion des risques. Il s’agit d’examiner s’il y a lieu d’adapter, et le

cas échéant dans quelle mesure, les méthodes existantes d’analyse des risques, afin de

tenir compte de la dynamique des cyberrisques et de leur complexité.

Au niveau opérationnel, des recherches s’imposent sur les instruments d’analyse et de

gestion des risques (cartographie des menaces potentielles, matrices des risques,

planification par scénario, etc.). De tels travaux serviront encore au développement

d’indicateurs destinés à rendre mesurables tant les risques proprement dits que

l’efficacité des mesures introduites pour y remédier.

Enfin, la gestion des cyberrisques comporte un niveau stratégico-politique. Il s’agit à ce

stade de savoir comment réagir collectivement aux cyberrisques. Entre autres thèmes

importants, il convient d’étudier le potentiel des partenariats public-privé, les limites et les

possibilités de l’échange d’informations, ainsi que des questions de réglementation

comme par exemple l’option d’introduire une obligation de signaler les incidents.

Pertinence:

Il est impossible de déjouer toutes les cyberattaques, d’où la nécessité d’une gestion des

risques, qui aide à évaluer la situation de manière réaliste et à fixer les bonnes priorités.

Or les méthodes éprouvées de gestion des risques font face, dans le domaine des

cyberrisques, à de nouveaux défis. Les travaux de recherche à ce sujet sont d’autant plus

importants que c’est à la gestion des risques de définir le cadre de toutes les actions

visant à protéger des cyberrisques.


Protection de la sphère privée et des données; cadre juridique; économie de la

cybersécurité; facteurs humains et sociaux de la cybersécurité.



16

Théorie et méthode de la gestion des risques: comme les cyberrisques évoluent

très vite et sont d’une extrême complexité, on ne peut ni évaluer leur probabilité de

survenance, ni chiffrer les dégâts à craindre. Il importe à la place de faire des

recherches sur les possibilités et les limites des modèles actuels d’analyse des

risques. À cet effet, on examinera jusqu’à quel point les cyberrisques sont

comparables aux autres risques et peuvent être intégrés dans les catalogues de

risques actuels.

Instruments de gestion des risques: la recherche devrait aussi contribuer à la mise

au point d’instruments de gestion des cyberrisques (cartes des risques, scénarios,

simulations, etc.). Le leitmotiv est ici la mesurabilité des risques et des contre-

mesures adoptées. Il serait plus aisé aux praticiens de définir le niveau de protection

approprié à leur organisation, s’ils parvenaient à évaluer les risques encourus.

Échange d’informations: la gestion des cyberrisques se heurte au manque

d’informations sur les risques et les contre-mesures envisageables, d’où la création

d’organisations et de plateformes destinées à faciliter les échanges d’informations. Il

s’agit d’examiner les moyens d’en garantir le fonctionnement efficace et rationnel. Les

recherches se concentreront sur les échanges d’informations entre les acteurs publics

ou privés, dans le cadre des partenariats public-privé.

Réglementation: la gestion des risques au quotidien est largement influencée par le

cadre réglementaire. Les collectivités publiques peuvent fixer les pratiques et les

normes dans ce domaine, par le biais de lois et ordonnances. L’obligation de signaler

les incidents en est un bon exemple. Les chercheurs devraient analyser quand et à

quelles conditions un tel régime contribue concrètement à améliorer la gestion des

cyberrisques.


- Dans quelle mesure, par leur forte dynamique et leur complexité, les cyberrisques

résistent-ils aux pratiques ou méthodes usuelles de gestion des risques?

- Comment peut-on juger de la probabilité de survenance des cyberrisques et de l’ampleur

des dommages ainsi provoqués?

- Avec quelles méthodes pourrait-on connaître le degré optimal d’investissement dans la

cybersécurité?

- Quelles seraient les incitations propres à favoriser les échanges d’informations sur les

cyberrisques?

- Par quels moyens pourrait-on renforcer la collaboration entre les acteurs privés et

étatiques?

- Quelles réglementations serait-il judicieux de prévoir? Si l’État menait des audits ou

obligeait à signaler les cyberincidents, quel en serait l’impact potentiel?

3.2.7 Économie de la cybersécurité


La perspective économique consiste à montrer, à propos de la cybersécurité, le rapport

entre les pertes financières liées aux cyberincidents et le coût des mesures de protection.

Les insuffisances actuelles tiennent à l’existence d’incitations inopportunes, d’une part, et

au manque d’informations sur le coût des cyberrisques, d’autre part.

Les incitations inopportunes sont étroitement liées à la nature même du cyberespace,

réseau très dense et complexe de systèmes et d’utilisateurs. Les particuliers comme les

entreprises sont logés à la même enseigne: la simple intégration de leurs systèmes dans

des réseaux les rend vulnérables jusqu’à un certain point, indépendamment de leurs

propres investissements dans la sécurité. La cybersécurité s’apparente à certains égards

aux biens publics, sachant que les investissements dans la cybersécurité génèrent des

externalités très positives. Il y a donc un problème de coordination: l’utilité des

investissements consentis par un acteur dans la cybersécurité dépend des

investissements consentis par tous les autres acteurs.

En outre, faute de données sur le coût des cyberrisques, il est très difficile de déterminer


17

l’ampleur des investissements nécessaires dans les mesures de protection. Il n’existe

guère à ce jour de modèles de calcul des cyberrisques. En plus d’aider les praticiens

dans leur propre gestion des risques, de tels modèles favoriseraient l’émergence d’un

marché d’assurance pour couvrir les cyberrisques. Or à ce jour, les données relatives aux

pertes dues aux cyberattaques sont trop maigres pour permettre aux assurances de

calculer les primes, le capital et les réserves. Le marché reste par conséquent sous-

développé. Il faut toutefois s’attendre à ce que dans les années à venir, les assureurs

s’implantent dans le segment des cyberrisques.

Pertinence:

Les cyberrisques sont indiscutablement devenus un problème économique. Pourtant, les

recherches menées dans une perspective économique pour montrer comment réduire les

coûts dus aux cyberrisques restent rares. Des connaissances approfondies du coût des

cyberrisques sont également indispensables pour permettre l’essor, dans ce domaine,

d’un marché des assurances efficace.


Cadre juridique; prévention et répression de la cybercriminalité; gestion des cyberrisques.


Coût des cyberrisques: les estimations du coût des cyberrisques varient fortement et n’offrent pas l’indépendance souhaitable, dès lors qu’elles sont publiées par les prestataires de mesures de cyberdéfense. Les chercheurs peuvent contribuer à la mise au point d’une meilleure systématique pour en évaluer les coûts, en jetant les bases de modèles de risque dans le domaine des cyberrisques.

Analyse de la cybersécurité en tant que bien public: il s’agit d’examiner dans quelle mesure la cybersécurité peut être décrite comme bien public, et quelles en sont les conséquences pour la gestion des cyberrisques.

Assurabilité des cyberrisques: il s’agit d’examiner de quelle façon les cyberrisques sont assurables, et à quelles conditions des cyberassurances pourraient être lancées. Les bases de données des incidents sont ici un précieux instrument. Or les chercheurs peuvent contribuer à la création de telles bases de données.

Réglementation: la recherche en sciences économiques examinera, dans une perspective coût-bénéfice, les effets des interventions réglementaires actuelles ou potentielles visant à promouvoir la cybersécurité.


- Le lancement d’assurances contre les cyberrisques stimulerait-il les investissements

dans la gestion des cyberrisques?

- Comment pourrait-on améliorer la modélisation et le calcul des coûts des cyberrisques,

compte tenu du manque de données, de l’évolution dynamique propre aux cyberrisques

et de leur grande complexité?

- Dans quelle mesure des instruments comme le transfert alternatif des risques ou les

solutions ILS (Insurance Linked Strategies) peuvent-ils contribuer à une meilleure prise

en charge des cyberrisques par les assurances?

- Quels sont les coûts et les avantages économiques des interventions réglementaires?

- Comment la gestion des cyberrisques peut-elle faire face aux risques extrêmes?

3.2.8 Sécurité des systèmes cyber-physiques


Les systèmes cyberphysiques connaissent un essor foudroyant dans de multiples

champs d’application. De tels systèmes sont déjà très répandus dans la domotique, on y

recourt volontiers dans le secteur médical, et les véhicules sans conducteur en sont

l’exemple le plus connu.

Même si indéniablement tous ces systèmes offrent de grands avantages, leur diffusion ou

leurs possibilités sont à l’origine de nouvelles failles de sécurité. En effet, tous ces

systèmes dépendent, pour fonctionner, d’un grand nombre de capteurs enregistrant des

données en permanence. Bien souvent aussi, ils ne sont pas sécurisés ou du moins pas

assez, ce qui en fait des cibles de choix pour les cyberattaques. C’est pourquoi


18

s’imposent des mesures de sécurité renforcées et une sensibilisation accrue des

utilisateurs, afin qu’à l’avenir ces systèmes soient mieux protégés contre les agresseurs.

Les systèmes cyberphysiques soulèvent par ailleurs de nouveaux défis en matière de

protection des données. Les données enregistrées par de tels systèmes livrent en effet

quantité d’informations exploitables sur leurs utilisateurs. Il faut donc analyser l’impact

d’une telle évolution sur la protection des données.

Pertinence:

En réponse au rapide essor des systèmes cyberphysiques dans tous les domaines (de

l’industrie à l’électronique de divertissement, en passant par le secteur de la santé), la

recherche sur la sécurité de ces systèmes s’avère cruciale. Il sera toujours plus difficile à

l’avenir d’établir des limites claires entre le monde physique et le cyberespace.


Protection de la sphère privée et des données; détection des incidents et réaction,

forensique informatique; cadre juridique; prévention et répression de la cybercriminalité;

gestion des cyberrisques.


Sécurité dans l’Internet des objets: il s’agit d’analyser systématiquement les

principaux défis de la sécurité de l’Internet des objets et de formuler des propositions

sur la manière d’améliorer la situation. Outre les solutions technologiques possibles, il

s’agit de prendre en compte les mesures de sensibilisation des utilisateurs.

Sécurité dans des champs d’application spécifiques: des systèmes

cyberphysiques interviennent dans différents champs d’application. Différentes

questions de recherche se posent à chaque fois, selon leur contexte d’utilisation.

Sécurité des infrastructures d’importance vitale et de leurs prestations: la

sécurité est un enjeu collectif, dans le cas des infrastructures d’importance vitale. Il

faut donc étudier les effets du réseautage croissant de ces systèmes sur la sécurité. Il

s’agit notamment de prendre en compte l’interdépendance entre les infrastructures.


- Quelles sont les nouvelles technologies susceptibles d’améliorer la sécurité des

systèmes cyberphysiques?

- Comment pourrait-on protéger les systèmes décentralisés face aux abus, sans introduire

pour autant des infrastructures centrales?

- Selon quels critères peut-on mesurer la sécurité des systèmes cyber-physiques, et

comment pourrait-on utiliser avec de tels systèmes les procédures de certification?

- Comment se font les mises à jour, dans le cas des systèmes cyberphysiques, et comment

pourrait-on automatiser ce processus?

3.2.9 Cybersécurité dans les relations internationales


La cybersécurité a fait irruption dans l’agenda politique et une des priorités est de

renforcer le rôle que jouent les États nationaux dans la sécurité du cyberespace.

Plusieurs possibilités sont évoquées: codes de conduite, conventions, normes et règles

propres au cyberespace. En complément à ces efforts, des mesures propres à créer un

climat de confiance sont prises afin de renforcer la coopération internationale et

d’identifier des mécanismes de réaction commune aux cybermenaces.

Pertinence

Dans le discours stratégique, le cyberespace apparaît à la fois comme cible (risk to

cyberspace) et instrument d’attaques (risk through cyberspace). Cette combinaison et les

innombrables incidents font que la cybersécurité est devenue un enjeu majeur des

débats tant nationaux qu’internationaux sur la sécurité. La cybersécurité ne peut être

résumée à un problème technique ou juridique, mais constitue aussi un enjeu de la

diplomatie et de la politique extérieure, ainsi que de la politique militaire.

En ce sens, on trouve aujourd’hui de nombreuses initiatives internationales sur la

cybersécurité. La plupart cherchent à réglementer le cyberespace pour en faire un


19

environnement stable et fiable.

De tels développements fournissent à la recherche une excellente occasion d’étudier les

initiatives internationales, y compris celles restées informelles, en examinant de près les

lignes de conflit existantes. Il est indispensable de bien comprendre ces facteurs, afin de

trouver de bonnes solutions internationales au problème de la cybersécurité.


Cadre juridique; prévention et répression de la cybercriminalité; facteurs humains et

sociaux de la cybersécurité.


Cyberpouvoir: de nouveaux modèles théoriques serviront à définir le concept de

pouvoir dans le cyberespace et à en comprendre la dynamique propre. Il s’agit

d’analyser l’effet potentiel des capacités offensives (y compris comme moyens de

lutte contre la cybercriminalité et le cyberterrorisme) et de clarifier les questions

juridiques ou éthiques qui se posent.

Cyberdissuasion: il convient d’examiner si et comment la théorie de la dissuasion

réciproque s’applique à la politique de puissance déployée dans le cyberespace. À

cet effet, il faut encore prendre en compte le rôle-clé d’acteurs non étatiques dans

l’usage des cybercapacités.

Escalade des conflits: il faut mieux comprendre la dynamique propre aux conflits

dans le cyberespace.

Normes, traités, institutions et structures: la collaboration internationale a beau

n’en être qu’à ses balbutiements dans bien des domaines, des normes et traités, des

institutions et des structures sont déjà en place. Il est important d’entreprendre des

recherches sur leurs effets, leur mode opératoire et leurs faiblesses. La recherche

contribuera à identifier les diverses formes d’encadrement institutionnel envisageable

dans le domaine de la cybersécurité.

Gouvernance d’Internet: il s’agit de comparer les divers modèles de gouvernance

d’Internet et d’en décrire les avantages et inconvénients respectifs. L’accent sera mis

sur le rôle important joué par les acteurs privés.

Exemples de questions de recherche: - En quoi consiste le «cyberpouvoir», et comment peut-on le mesurer? - Quelles sont les particularités des conflits dans le cyberespace? Et quelle en est la

dynamique propre? Quels sont les développements à prévoir? - Quel est l’impact des cyberincidents sur l’évolution des relations internationales? - Comment évoluent les règles, les processus de décision et les positions de force, dans

les modèles de gouvernance d’Internet en place? Ces modèles sont-ils efficaces et rationnels?

- Quelles sont les mesures susceptibles de créer un climat de confiance, et comment peuvent-elles contribuer à la stabilité?

- Quel est le rôle joué par les acteurs privés, dans la gouvernance d’Internet et dans les institutions visant à promouvoir la cybersécurité?

- Qu’en est-il des «cybercapacités offensives»? Comment pourrait se présenter un contrôle des armements dans le cyberespace? Quelles seraient les technologies nécessaires à cet effet?

- Comment pourrait-on améliorer le processus d’attribution des cyberattaques?


20

3.2.10 Facteurs humains et sociaux de la cybersécurité


De nombreux cyberincidents, sinon la plupart, sont directement ou indirectement

imputables au comportement inadéquat d’utilisateurs. On peut citer comme exemples les

mots de passe faibles, l’ouverture de courriels renfermant des maliciels, ou encore la

divulgation de données et d’informations en réponse à des demandes falsifiées.

La recherche sur les cyberrisques devrait donc prendre en compte le facteur humain de

la cybersécurité, dans le cadre d’études psychologiques, sociologiques et culturelles. La

recherche aura pour objet le comportement des victimes comme celui des agresseurs. Il

est important de comprendre les habitudes des deux groupes, afin de prendre les bonnes

mesures pour rendre plus difficile l’exploitation des vulnérabilités des utilisateurs.

Pertinence:

La recherche sur le comportement des victimes et des agresseurs potentiels dans le

cyberespace est importante, étant donné que des intentions humaines ou des erreurs

humaines sont à l’origine de chaque attaque. Ce n’est qu’en prenant dûment en compte

le facteur humain, à côté des questions techniques, économiques et juridiques, que l’on

parviendra à réduire les cyberrisques. Il est également important d’examiner dans quelle

mesure les cyberrisques, ainsi que le débat sur la sécurité d’Internet et sa surveillance,

sont susceptibles d’influencer le comportement des utilisateurs.


Protection de la sphère privée et des données; prévention et répression de la

cybercriminalité; gestion des cyberrisques.


Perception des cyberrisques: il s’agit d’examiner comment les cyberrisques sont

perçus dans la société, et s’il existe des différences pertinentes entre les différents

groupes d’utilisateurs.

Comportement des utilisateurs: la recherche devrait chercher à expliquer le

comportement des utilisateurs face aux cyberrisques. Il s’agit d’analyser dans quelle

mesure ils ont conscience des cyberrisques, quelle en est l’influence sur leur

comportement d’utilisateurs, et comment on pourrait s’assurer qu’ils fassent preuve

de l’autonomie requise.

Motivation des agresseurs: la motivation des agresseurs n’est souvent pas de

nature purement économique. Il faut également examiner le contexte psychologique,

anthropologique et culturel dans lequel ils baignent, afin de mieux comprendre les

facteurs non économiques.

Éthique dans le cyberespace: il convient d’examiner l’éthique qui prévaut dans le

contexte largement anonyme du cyberespace, les normes dominantes ainsi que les

limitées transgressées.

Exemples de questions de recherche: - Comment pourrait-on mieux sensibiliser aux cyberrisques différents groupes-cibles? - De quelle façon pourrait-on intégrer dans la gestion des risques des facteurs de

psychologie comportementale? - Comment faudrait-il aménager les systèmes, afin que les utilisateurs comprennent mieux

les exigences de sécurité et les respectent dûment? - Quels sont les effets psychologiques des cyberattaques sur les victimes? - Comment les agresseurs s’influencent-ils mutuellement? Des modèles de rôles

permettent-ils de l’expliquer? - Comment les cyberrisques sont-ils thématisés dans la culture populaire (cinéma,

littérature, vidéos, musique, peinture)? Dans quelle mesure cela contribue-t-il à une prise de conscience des cyberrisques? Et quel en est l’impact sur les cyberpirates?

- Comment pourrait-on élaborer et faire appliquer, dans le cyberespace globalisé, des codes d’éthique universels?

- Comment peut-on empêcher Internet de contribuer à la radicalisation de certains groupes?


21

3.3 Thèmes prioritaires: domaines, technologies et applications revêtant une importance particulière

Le présent chapitre aborde les thèmes prioritaires. Il s’agit de domaines ou applications qui,

dans la discussion sur les cyberrisques, ont retenu beaucoup d’attention. Eux aussi influencent

à leur manière les débats, et un aperçu des thèmes de recherche serait incomplet si on les

passait sous silence. Il n’était toutefois pas possible de les faire figurer directement dans un

des domaines décrits ci-dessus, car ils relèvent de plusieurs domaines simultanément. Le

groupe d’experts a donc décidé de décrire séparément, comme thèmes prioritaires, les trois

thèmes suivants:

1) Mégadonnées

2) Cyberrisques et informatique en nuage

3) Sécurité des FinTech

3.3.1 Mégadonnées

Description du thème prioritaire:

La notion de mégadonnées (big data) traduit le fait que les volumes de données collectées

et traitées sont gigantesques. Elle se réfère aux nouvelles technologies, qui permettent

d’effectuer de telles analyses en quelques instants, et plus généralement au phénomène

de transformation de la société numérique, où les analyses de données jouent un rôle

grandissant.

Des données sont en permanence recueillies et compilées, échangées, analysées et

exploitées (commercialement) via Internet. Sur le plan des cyberrisques, d’importantes

questions se posent quant à la protection de ces données, à leur cycle de vie et à leur

conservation. Mais les technologies d’analyse des données s’avèrent aussi précieuses

pour élucider des infractions et jouent souvent un rôle-clé dans l’identification des auteurs

de cyberattaques.

Pertinence:

Les nouvelles possibilités à disposition pour analyser de grandes quantités de données

en temps réel, ainsi que pour les comparer et les corréler à d’autres séries de données,

revêtent un grand intérêt pour toutes les recherches menées dans le domaine des

cyberrisques. Le thème marquera fortement l’avenir de la société numérique, et occupe

par conséquent une place importante dans la recherche sur les cyberrisques.


Mégadonnées et rôle des monopoles de données: il s’agit d’analyser dans quelle

mesure la création de monopoles de données affecte l’économie et la société, en

montrant notamment dans quelle mesure aujourd’hui, les États dépendent parfois du

bon vouloir des entreprises détentrices de tels monopoles.

Les mégadonnées comme instrument de cybersécurité: le potentiel des

mégadonnées dans la prévention et l’élucidation des cyberattaques est considérable.

La recherche devrait sonder ce potentiel et indiquer comment on pourrait exploiter à

l’avenir les possibilités correspondantes.

Défis juridiques des mégadonnées: il existe un quasi-vide juridique à propos des

possibilités de collecte systématique et d’analyse de vastes quantités de données.

Les infrastructures décentralisées des mégadonnées posent un défi supplémentaire.

Il s’agit d’examiner comment on pourrait aborder la problématique.

Contexte politique, social et économique: le phénomène des mégadonnées

s’inscrit dans un contexte politique, social et économique indispensable à sa bonne

compréhension. Il s’agit d’analyser qui utilise les technologies des mégadonnées,

comment et pour quelles raisons.

Exemples de questions de recherche: - Quelles sont globalement les conséquences des mégadonnées pour la cybersécurité?

Ces technologies améliorent-elles la situation, ou aggravent-elles encore les risques?


22

- Quel rôle l’État devrait-il jouer dans le domaine des mégadonnées? Faut-il une réglementation plus poussée?

- Le libre marché fonctionne-t-il, ou les monopoles détenus par les grandes entreprises vont-ils trop loin?

- Quelles bases juridiques devrait-on prévoir pour les mégadonnées? - Quel est le potentiel des mégadonnées, sur le terrain de la prévention et de l’élucidation

des cyberattaques? - Comment les mégadonnées pourraient-elles influencer la gestion des cyberrisques?

3.3.2 Cyberrisques et informatique en nuage


Ces dernières années, les services en nuage sont devenus très populaires. Même si

beaucoup de services recueillent les données dans une mémoire centrale, afin que les

utilisateurs accèdent aux informations de partout, les données sont parfois conservées de

manière décentralisée, selon l’idée d’origine de l’informatique en nuage. On trouve dans

des domaines variés des applications basées sur des services en nuage, de la gestion de

systèmes cyberphysiques aux systèmes de vote électronique, en passant par les

applications de bureautique.

Le stockage de données dans un nuage n’est toutefois pas exempt de risques. En cas de

dysfonctionnement ou de manipulations non prévues, des tiers peuvent s’emparer de

données, ce qui en plus d’être gênant, peut poser de sérieux problèmes de protection

des données, voire entraîner des pertes financières.

Les services en nuage ont ceci de particulier que les données utilisant cette fonction de

stockage sont mobiles, et donc ne relèvent pas d’une juridiction spécifique. Les données

et les fonctions peuvent être réparties entre différents pays, d’où la difficulté de soumettre

à un contrôle juridique les services en nuage. On le voit par exemple avec les crypto-

monnaies (Bitcoin, Ethereum, Dodgecoin, Litecoin, etc.), ou avec les plateformes

d’information dépourvues d’infrastructures centrales.

Pertinence

L’informatique en nuage est devenue une technologie incontournable, qui a un impact

direct sur les cyberrisques et donc sur les mesures de protection envisageables. Dans le

cadre de la recherche sur les cyberrisques, il importe de savoir comment l’informatique

dans le nuage évolue, et quelles en sont les retombées concrètes sur la cybersécurité.


Protection de la sphère privée et des données dans le nuage: il faut analyser ici

les conséquences de l’essor des services en nuage pour la protection de la sphère

privée ainsi que des données personnelles. Des mesures techniques de sécurité

s’imposent (stockage des données, contrôle des accès, transmission). Beaucoup de

questions restent également à régler au niveau des droits et des devoirs respectifs

des usagers et des prestataires de services en nuage.

Forensique et informatique en nuage: l’informatique en nuage complique le travail

d’analyse forensique, faute d’accès physique à de grandes quantités de données qui

sont sauvegardées à divers endroits. Il faut donc mettre au point des instruments

techniques spécifiques et tirer au clair des questions juridiques.

Conscience des utilisateurs: beaucoup d’utilisateurs ne se demandent même pas

comment et où leurs données sont stockées. Il convient d’identifier les possibilités de

faire mieux comprendre aux utilisateurs la technologie du nuage informatique.

Exemples de questions de recherche: - Quelles sont les questions juridiques soulevées par l’informatique en nuage? - Comment peut-on repérer les activités illégales dans le nuage, et le cas échéant identifier

les coupables? - Quels sont les défis se posant dans l’optique de la protection des données? - Comment l’authenticité et l’intégrité des données stockées dans le nuage peuvent-elles

être garanties?


23

3.3.3 Sécurité dans les FinTech


L’industrie financière a toujours assimilé de bonne heure ou anticipé les transformations

numériques de la société et de l’économie. L’introduction des technologies numériques et

de produits financiers complexes a chamboulé la branche dès les années 1970 et 1980.

Aujourd’hui, les technologies numériques sont devenues la norme depuis longtemps,

notamment pour les analyses et les modélisations économétriques, ou encore pour

l’enregistrement et l’exécution des transactions.

La prochaine grande étape de cette évolution est en cours, avec l’essor de l’industrie des

FinTech (mot issu de la combinaison des expressions «finance» et «technologie»). Les

principales applications sont à l’heure actuelle le «social trading» (conseil en placements

sur des plateformes sociales), le «robo-advisory» (services de conseil automatisés) ou le

«peer-to-peer (P2P) lending» (prêts d’argent entre particuliers).

Le potentiel de marché est souvent encore peu clair, et les risques de ces nouvelles

applications restent méconnus. Il reste donc un vaste travail de recherche fondamentale

à accomplir dans ce domaine pour connaître les effets des FinTech sur l’industrie

financière et sur les cyberrisques.

Pertinence:

Les FinTech suscitent un vif intérêt dans le monde entier, auprès des médias comme des

praticiens. La Suisse est résolue à jouer un rôle de premier plan dans ce secteur. Or

l’importance des FinTech a beau être reconnue des praticiens et du monde politique, il

n’y a pas encore de discours académique sur la place et l’influence de cette technologie.

Il existe donc un clair besoin de recherche dans ce domaine.


Effets des FinTech sur l’industrie financière: on ignore encore jusqu’à quel point et

dans quelle direction les nouvelles technologies vont modifier l’industrie financière. La

recherche peut contribuer à mieux cerner le phénomène des FinTech et à en montrer

les conséquences possibles.

Dépendance accrue: la numérisation accroît la dépendance de l’industrie financière

vis-à-vis de ses fournisseurs informatiques. En cas de panne informatique à grande

échelle, le système financier risque de s’effondrer à son tour. Il s’agit d’examiner

comment l’essor des FinTech accroît les risques systémiques.

Nouveaux risques: les nouvelles technologies comportent également de nouveaux

risques. Là encore, on sait peu de chose aujourd’hui. Or plus on identifie rapidement

leurs risques potentiels, mieux l’industrie financière pourra s’y préparer.

Exemples de questions de recherche: - Les FinTech risquent-elles d’évincer du marché les intermédiaires financiers comme les

banques ou les assurances? Quel est à cet égard le potentiel des chaînes de bloc (technologie «blockchain») ou du «peer-to-peer lending»?

- Comment les FinTech affectent-elles les risques systémiques du secteur financier? Ont-ils tendance à augmenter, du fait de la dépendance accrue des services informatiques, ou alors diminuent-ils du fait de la structure décentralisée des FinTech?

- Aura-t-on encore besoin dans l’industrie financière de conseils d’experts, donnés de vive voix? Dans quelle mesure les robots-conseillers sont-ils acceptés par les clients?

- Quelle est l’influence des analyses de mégadonnées sur le négoce? Au vu de la quantité de données disponibles, les algorithmes sont-ils plus performants que l’être humain dans le négoce?


24

4 Conclusion

Le rapport d’experts visait à atteindre trois objectifs: donner un aperçu des principaux

thèmes de recherche dans les différentes disciplines, aider à comprendre les gains

potentiels de l’interdisciplinarité, et enfin sensibiliser la politique de recherche au thème des

cyberrisques. Au vu de la diversité et de la richesse des thèmes évoqués, des avancées ont

certainement été obtenues pour les deux premiers objectifs. Le rapport a su montrer à quel

point le thème est vaste, et combien d’ambitieuses questions de recherche il reste à régler

dans les différentes disciplines. Il faut espérer que de nombreux chercheurs voudront bien

creuser dans leur activité ces thèmes complexes, mais importants et intéressants. Il convient

de répéter ici que le rapport n’a aucune prétention à l’exhaustivité. D’autres questions,

absentes du rapport, seraient certainement tout aussi pertinentes. En outre, les mutations

technologiques rapides font à tout moment apparaître de nouveaux défis.

Ce rapport est également un précieux instrument de sensibilisation de la politique de

recherche, en faisant ressortir la riche palette de thèmes existants. On aurait tort de réduire

la recherche sur la cybersécurité à des questions techniques, sachant qu’une approche

résolument interdisciplinaire augmente d’autant les chances d’aboutir à des résultats

pertinents. Le rapport vise à guider les futurs encouragements de la recherche sur les

cyberrisques.

Enfin, on ne peut qu’en appeler à tout un chacun – aux chercheurs comme aux promoteurs

de la recherche – pour faire progresser la recherche sur les thèmes indiqués dans ce

rapport. Dès lors que notre société utilise les technologies numériques, nous sommes

tributaires de leur niveau de sécurité. Or cette sécurité suppose d’analyser en profondeur les

problèmes existants et de formuler des solutions novatrices. La Suisse possède des hautes

écoles remarquables, où des travaux de recherche sont déjà menés aujourd’hui sur

beaucoup des thèmes énumérés ici. Il s’agit d’exploiter et de faire fructifier ce potentiel, afin

que la Suisse joue un rôle essentiel dans le développement et l’utilisation de technologies et

de méthodes de pointe dans le domaine de la cybersécurité, tout en étant en mesure de

protéger ses propres infrastructures face aux cyberrisques.

Documents

Recherche sur les cyberrisques en Suisse€¦ · Agenda stratégique de la recherche en cybersécurité, publié en 2015. - Projet CyberROAD de la Commission européenne: inventaire