Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Département fédéral des finances DFF
Unité de pilotage informatique de la Confédération UPIC
Organe de coordination de la SNPC
Recherche sur les cyberrisques en Suisse
Rapport d’experts 2017 sur les thèmes les
plus importants pour la recherche
Rapport d’experts sur les thèmes les plus importants pour la recherche
2
Publication Novembre 2017
Auteurs Isabelle Augsburger-Bucheli, Endre Bangerter, Luca Brunoni,
Srdjan Capkun, Eoghan Casey, Jacques De Werra, Myriam Dunn Cavelty, Martin Eling, Sébastian Fanti, Solange Ghernaouti, David-Olivier Jaquet-Chiffelle, Markus Kummer, Vincent Lenders, Gustav Lindstrom, Martin Gwerder, Rolf Oppliger, Evelyne Studer, Manuel Suter
Mandat Secrétariat d’État à la formation, à la recherche et à
l’innovation SEFRI Unité de pilotage informatique de la Confédération UPIC
Responsable de Département fédéral des finances DFF la publication
Unité de pilotage informatique de la Confédération UPIC
Schwarztorstrasse 59
CH-3003 Berne
Tél. +41 (0)58 462 45 38 [email protected]
Rapport d’experts sur les thèmes les plus importants pour la recherche
3
Sommaire
1 Introduction ................................................................................................... 4
2 Mandat, objectifs et approche ..................................................................... 5
2.1 Contexte.................................................................................................................. 5 2.1.1 Contexte national: stratégies et exigences politiques ............................................... 5 2.1.2 Contexte international: agendas de recherche d’autres pays et d’organisations
internationales .......................................................................................................... 6
2.2 Objectifs.................................................................................................................. 6 2.3 Approche ................................................................................................................ 7
3 Thèmes de recherche ................................................................................... 7
3.1 Classification des thèmes de recherche .............................................................. 8 3.2 Domaines de recherche ......................................................................................... 8 3.2.1 Protection de la sphère privée et des données personnelles .................................... 9 3.2.2 Sécurité des réseaux informatiques ....................................................................... 10 3.2.3 Cadre juridique ....................................................................................................... 11 3.2.4 Prévention et répression de la cybercriminalité ...................................................... 12 3.2.5 Détection des incidents et réaction, forensique informatique .................................. 13 3.2.6 Gestion des cyberrisques ....................................................................................... 15 3.2.7 Économie de la cybersécurité ................................................................................ 16 3.2.8 Sécurité des systèmes cyber-physiques ................................................................ 17 3.2.9 Cybersécurité dans les relations internationales..................................................... 18 3.2.10 Facteurs humains et sociaux de la cybersécurité ................................................... 20
3.3 Thèmes prioritaires: domaines, technologies et applications revêtant une
importance particulière ........................................................................................ 21 3.3.1 Mégadonnées ........................................................................................................ 21 3.3.2 Cyberrisques et informatique en nuage .................................................................. 22 3.3.3 Sécurité dans les FinTech ...................................................................................... 23
4 Conclusion .................................................................................................. 24
Rapport d’experts sur les thèmes les plus importants pour la recherche
4
1 Introduction
Les cyberrisques ont cessé depuis longtemps d’être assimilés à une hypothétique menace à
venir. Ils constituent pour les États comme pour les institutions publiques, pour les
entreprises ou les particuliers une réalité qui entraîne des coûts élevés, tout en ébranlant la
confiance générale envers les nouvelles technologies. Le spectre des cyberrisques s’étend
aujourd’hui de la simple défiguration de sites Web aux actes d’espionnage ou de sabotage
ciblés commis aux dépens d’États, d’infrastructures d’importance vitale ou d’entreprises, en
passant par les activités criminelles comme le phishing ou le chantage basé sur des
attaques par déni de service (DoS).
Au vu de l’évolution rapide des cyberrisques, il n’est pas aisé aux hautes écoles et aux
autres institutions de recherche d’organiser leur activité scientifique pour contribuer à une
meilleure compréhension de cette problématique. Beaucoup de hautes écoles ont certes
réalisé l’importance de l’enjeu et intensifié leurs travaux. Mais force est de constater que
dans bien des domaines, les connaissances spécialisées laissent encore à désirer. Ces
lacunes ne sont pas seulement dues à la dynamique propre aux cyberrisques, mais tiennent
aussi à la difficulté de maîtriser un thème aussi résolument interdisciplinaire. L’analyse des
questions touchant aux cyberrisques est traditionnellement du ressort des sciences
informatiques. Cette recherche technique demeure importante pour bien comprendre le
problème. Cependant, les connaissances techniques sur les cyberrisques ne suffisent pas
pour appréhender ce thème dans toute sa complexité. Il importe encore de savoir à quelles
incitations économiques ou politiques est due l’augmentation rapide des cyberrisques,
comment on pourrait apprendre à la société à bien gérer les cyberrisques, et quelles sont les
mesures juridiques à prendre pour atténuer le problème.
La recherche des hautes écoles, fortement structurée par discipline, peine à s’approprier les
nouveaux thèmes interdisciplinaires. D’une part, il manque souvent une compréhension
commune du thème en question, d’autre part, la politique de recherche n’incite guère à la
recherche interdisciplinaire. Pourtant, il serait crucial pour la société, pour l’économie et l’État
que les compétences existantes soient renforcées dans les différents domaines et dûment
mises à profit, conjointement avec le savoir d’autres disciplines, afin que la recherche
contribue à une meilleure compréhension des cyberrisques.
Le présent rapport entend apporter sa contribution sur ce terrain. Il passe en revue les
thèmes de recherche jugés particulièrement prometteurs par un groupe interdisciplinaire
d’experts issus des hautes écoles suisses. Ces experts ont brièvement décrit chaque thème,
puis identifié les champs de recherche importants avec une série de questions de recherche.
Il ne s’agissait pas seulement de signaler aux chercheurs des différentes disciplines les
questions de recherche potentiellement intéressantes que posent les cyberrisques, mais
d’encourager également leur compréhension commune de la recherche interdisciplinaire
dans ce contexte. Enfin, le rapport entend donner une impulsion à la politique de recherche,
afin qu’à l’avenir les projets interdisciplinaires menés dans le domaine des cyberrisques
bénéficient eux aussi d’encouragements ciblés.
Rapport d’experts sur les thèmes les plus importants pour la recherche
5
2 Mandat, objectifs et approche
Avant la présentation des thèmes et questions de recherche identifiés, le présent chapitre
explique dans quel contexte le présent rapport d’experts a vu le jour et quels objectifs il
poursuit. On y voit encore comment le rapport a été réalisé et quels ont été les principaux
défis rencontrés pour l’identification des principaux thèmes de recherche en matière de
cyberrisques.
2.1 Contexte
2.1.1 Contexte national: stratégies et exigences politiques
Le présent rapport marque l’aboutissement d’un projet lié à la stratégie nationale de
protection de la Suisse contre les cyberrisques (SNPC). Cette stratégie mise sur
l’acquisition des compétences requises. Elle définit dans son champ d’action 1 la mesure
suivante:
«Les nouveaux risques en lien avec la problématique de la cybernétique doivent être
étudiés pour que les milieux de la politique, de l’économie et de la recherche puissent
être informés et prendre des décisions à temps. Le domaine de la recherche focalise
ses activités en fonction des tendances technologiques, sociales, politiques et
économiques pouvant avoir un impact sur les cyberrisques.»
Le Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI) a été chargé,
avec l’organe de coordination de la SNPC, de la mise en œuvre de cette mesure. Or il est
apparu, après discussion avec les autres services fédéraux intéressés par la recherche sur
les cyberrisques, que la première chose à faire était d’identifier les principaux thèmes de
recherche, avec l’aide d’experts. Le présent rapport est le résultat de ces travaux.
Outre la SNPC, d’autres stratégies ou programmes de la Confédération ont une incidence
sur la recherche liée aux cyberrisques.
- Stratégie «Suisse numérique» du Conseil fédéral: cette stratégie vise notamment
à promouvoir la recherche et la formation dans le domaine de la numérisation.
Concrètement, on y lit ceci: «Pour répondre aux besoins de notre société et de notre
économie numériques […], il convient, dans le respect de la répartition des
compétences et de l’autonomie des hautes écoles, de promouvoir activement les
nouvelles offres de formation et de perfectionnement, mais aussi de soutenir les
centres de recherche et la création de chaires dans les universités. Le but est de
développer des compétences spécifiques dans l’analyse des données, l’innovation
basée sur les données, l’intelligence artificielle, la robotique et l’internet des objets.
L’examen des conséquences et des effets sociaux de ces technologies doit toutefois
aussi faire l’objet d’une observation particulière sous la forme d’une évaluation des
choix technologiques.»
- Stratégie nationale pour la protection des infrastructures critiques: l’un des
objectifs de la stratégie consiste à acquérir des connaissances scientifiquement
fondées en vue de la protection intégrale des infrastructures d’importance vitale. À ce
titre, il s’agit en particulier de suivre «les évolutions technologiques et celles de
l’environnement naturel et social susceptibles d’être à l’origine de nouveaux risques».
Rapport d’experts sur les thèmes les plus importants pour la recherche
6
2.1.2 Contexte international: agendas de recherche d’autres pays et d’organisations internationales
Divers pays ont déjà publié des stratégies, des programmes ou agendas de recherche sur le
thème des cyberrisques. Les récents exemples mentionnés ci-après montrent quels sont,
selon d’autres pays, les thèmes particulièrement importants dans le domaine des
cyberrisques:
- Allemagne: Sécurité et autonomie dans le monde numérique 2015-2020, programme-
cadre de recherche du gouvernement fédéral, publié en janvier 2016.
- Pays-Bas: Agenda national de la recherche en cybersécurité (II), rapport confié à un
groupe d’experts issus du monde académique par le gouvernement, publié en 2014.
- États-Unis: Plan stratégique fédéral sur la recherche et le développement en
cybersécurité, Conseil national de la science et de la technologie, publié en 2016.
Au niveau de l’UE également, différents projets visent à encourager la recherche sur les
cyberrisques. Deux projets surtout sont utiles pour identifier des thèmes de recherche:
- Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA):
Agenda stratégique de la recherche en cybersécurité, publié en 2015.
- Projet CyberROAD de la Commission européenne: inventaire en cours des travaux
de recherche consacrés à la cybercriminalité.
2.2 Objectifs
Selon le mandat figurant dans la SNPC et compte tenu du contexte décrit plus haut, le
présent rapport comporte trois objectifs:
1) Identifier les besoins de recherche dans les disciplines concernées: une liste de
thèmes et questions de recherche pertinents doit inciter les chercheurs des diverses
disciplines à mener les projets de recherche correspondants. Le rapport entend
inspirer et motiver professeurs, chercheurs et étudiants à s’occuper de l’un des
nombreux aspects des cyberrisques. 2) Motiver à développer la recherche interdisciplinaire: la liste de questions de
recherche faisant appel à différentes disciplines doit contribuer à créer une
compréhension commune du thème des cyberrisques, et par là encourager la
recherche interdisciplinaire. Comme le présent rapport aborde son sujet de diverses
perspectives, il aide les spécialistes à comprendre dans quelles autres disciplines
des questions similaires sont étudiées et où une collaboration interdisciplinaire serait
possible et judicieuse.
3) Sensibiliser la politique de recherche au thème des cyberrisques: le thème
ayant un caractère résolument interdisciplinaire, il incombe à chaque discipline de
déterminer où et pourquoi la recherche dans ce domaine est pertinente. Le rapport
cherche à donner une vue d’ensemble, afin de bien montrer au monde politique que
la recherche sur les cyberrisques requiert une approche large et dans la mesure du
possible interdisciplinaire, et qu’il faudrait encourager la communauté scientifique
dans cette voie.
Tous les acteurs concernés sont bien conscients que le rapport n’est qu’une première étape
en vue de la réalisation des objectifs définis. Mais il est important de la franchir pour parvenir
à une plus grande cohérence en Suisse dans la recherche consacrée aux cyberrisques, ainsi
que pour renforcer le réseau des chercheurs issus des différentes disciplines.
Rapport d’experts sur les thèmes les plus importants pour la recherche
7
2.3 Approche
Pour mener à bien le mandat d’encouragement de la recherche figurant dans la SNPC, un
comité interdépartemental créé sous la direction du Secrétariat d’État à la formation, à la
recherche et à l’innovation (SEFRI) coordonne à l’échelon de la Confédération la promotion
de la recherche consacrée aux cyberrisques. Les membres de ce comité ont rapidement
réalisé qu’il leur fallait faire appel à des experts issus du paysage suisse des hautes écoles,
afin d’identifier les thèmes de recherche les plus féconds. La plupart des experts interrogés
ont accepté de collaborer au projet. Le groupe d’experts est formé de seize personnes:
- Isabelle Augsburger-Bucheli, Prof. Dr, Haute école de gestion Arc, Neuchâtel (HES-
SO)
- Endre Bangerter, Prof. Dr, Haute école spécialisée bernoise
- Luca Brunoni, LL.M / MA, Haute école de gestion Arc, Neuchâtel (HES-SO)
- Srdjan Capkun, Prof. Dr, EPF Zurich
- Eoghan Casey, Prof., Université de Lausanne
- Jacques De Werra, Prof. Dr, Université de Genève
- Myriam Dunn Cavelty, Dr, EPF Zurich
- Martin Eling, Prof. Dr, Université de Saint-Gall
- Sébastian Fanti, avocat, Canton du Valais
- Solange Ghernaouti, Prof. Dr, Université de Lausanne
- Martin Gwerder, Prof., Haute école spécialisée de la Suisse du Nord-Ouest
- David-Olivier Jaquet-Chiffelle, Prof. Dr, Université de Lausanne
- Markus Kummer, diplomate, conseil d’administration de l’ICANN
- Gustav Lindstrom, Dr, The Geneva Centre for Security Policy
- Rolf Oppliger, Prof. Dr, Université de Zurich
- Evelyne Studer, LL.M, Université de Genève
Un grand soin a été apporté à la prise en compte de différentes disciplines, ainsi qu’à la
participation tant des universités que des hautes écoles spécialisées. En outre, il importait
que les communautés linguistiques et les deux sexes soient représentés de manière
équilibrée dans le groupe d’experts. Lors de quatre séances communes organisées en 2016,
les experts se sont d’abord entendus sur les principaux thèmes de recherche, qu’ils ont
ensuite approfondis et soumis à des contrôles réciproques (examen par les pairs).
3 Thèmes de recherche
La numérisation, omniprésente dans la société et dans l’économie, fait que les cyberrisques
sont devenus un enjeu majeur dans beaucoup de domaines différents. Autrement dit, il
existe d’innombrables thèmes de recherche possibles sur ce terrain. Le défi le plus ardu du
groupe d’experts a consisté à sélectionner les plus importants et à les classer d’une manière
logique. Les thèmes exposés ici sont le résultat des discussions ouvertes menées au sein du
groupe interdisciplinaire. La liste ne prétend nullement être exhaustive ou définitive. Elle vise
toutefois à donner un aperçu des thèmes intéressants et pertinents, et par là à être une
source d’inspiration pour les chercheurs et une source d’information pour les décideurs du
monde politique ou économique.
Le chapitre 3.1 expose la méthode utilisée pour structurer les thèmes de recherche. Pour
bien comprendre le rapport, il est important de connaître les raisons ayant conduit à
distinguer et à classer dans une liste différente deux types de thèmes. La première partie de
cet inventaire (chap. 3.2) aborde les thèmes de recherche généraux, alors que les thèmes
de recherche figurant dans la seconde partie (chap. 3.3) se rapportent à des applications ou
technologies spécifiques.
Rapport d’experts sur les thèmes les plus importants pour la recherche
8
3.1 Classification des thèmes de recherche
Les thèmes de recherche dans le domaine des cyberrisques se prêtent à toutes sortes de
classements. Le groupe d’experts les a passés en revue, avant d’opter pour une structure en
deux volets. Une première partie renferme les thèmes généraux de recherche; on y trouve
tous les domaines généraux et transversaux (par ex. la recherche sur la gestion des risques
ou celle sur la protection des données et de la sphère privée). La seconde partie – portant
sur les thèmes prioritaires – indique des thèmes touchant à des technologies ou applications
spécifiques et que le groupe d’experts a identifiés comme primordiaux, dans l’optique des
cyberrisques (par ex. la recherche sur les FinTech ou sur l’informatique en nuage).
Trois raisons expliquent la systématique choisie:
1) Interdisciplinarité de la recherche sur les cyberrisques
Une structure de classement typique correspondrait aux disciplines académiques
traditionnelles. Une telle délimitation aurait toutefois un caractère artificiel. En effet,
les cyberrisques étant un phénomène aux retombées multiples dans des domaines
variés, des approches interdisciplinaires s’imposent pour les analyser. Par exemple,
de nombreux thèmes de la recherche technologique soulèvent des questions
juridiques, et vice-versa. Le groupe d’experts a donc décidé de ne pas se référer aux
disciplines académiques pour établir sa liste de thèmes de recherche. 2) Recoupements inévitables entre les thèmes
Une autre possibilité consisterait à classer les thèmes par champ d’application et par
technologie. Il en résulterait toutefois de nombreuses redondances, parce que des
thèmes similaires se retrouvent dans beaucoup de champs d’application ou de
technologies. De tels recoupements subsistent même en cas de structuration par
champ thématique; il est vrai qu’on peut les signaler par des renvois au chapitre
concerné, afin que le lecteur sache où sont traités quels thèmes.
3) Degrés de spécification différents: domaines de recherche et thèmes
prioritaires
De nouveaux thèmes de recherche liés aux cyberrisques apparaissent d’ordinaire
lorsqu’une technologie voit le jour, quand une technologie existante donne lieu à de
nouvelles applications concrètes, ou encore quand de nouvelles applications
amènent à employer différemment des technologies existantes (par ex. informatique
en nuage, Internet des objets, analyse des mégadonnées). Le présent aperçu se
devait d’aborder aussi de tels développements. En l’occurrence, le groupe d’experts
a décidé de les examiner, avec les questions de recherche spécifiques qu’ils
soulèvent, dans des chapitres spécifiques intitulés «Thèmes prioritaires».
3.2 Domaines de recherche
Le groupe d’experts a identifié dix domaines généraux de recherche:
1) Protection de la sphère privée et des données personnelles
2) Sécurité des réseaux informatiques
3) Cadre juridique
4) Prévention et répression de la cybercriminalité
5) Détection des incidents et réaction, forensique informatique
6) Gestion des cyberrisques
7) Économie de la cybersécurité
8) Sécurité des systèmes cyber-physiques
9) Cybersécurité dans les relations internationales
10) Facteurs humains et sociaux de la cybersécurité
Rapport d’experts sur les thèmes les plus importants pour la recherche
9
Ces dix thèmes font tous l’objet ci-après d’un sous-chapitre séparé. Chaque sous-chapitre
débute par une description générale du domaine de recherche, suivie d’explications sur sa
pertinence, puis d’une liste des principales interfaces avec d’autres domaines. Enfin, des
thèmes de recherche envisageables sont indiqués dans toutes les disciplines possibles, avec
des exemples de questions de recherche intéressantes. Ni la liste de thèmes, ni celle des
questions ne prétendent être exhaustives ou définitives. Il s’agit plutôt de donner une
impression des projets de recherche envisageables.
3.2.1 Protection de la sphère privée et des données personnelles
Description du domaine de recherche:
La forte augmentation des capacités de collecte, de conservation et d’analyse des
données pose de nouveaux défis pour la protection de la sphère privée et des données
proprement dites. En utilisant les services en ligne, les internautes partagent une grande
quantité de données – parfois consciemment (par ex. sur les médias sociaux) – souvent
aussi à leur insu, parce que leurs données sont subrepticement collectées, stockées et
exploitées à des fins commerciales. Les grandes entreprises, et parfois aussi les États,
ont la possibilité de surveiller de près le comportement des utilisateurs. Pour aggraver les
choses, les données ne disparaissent pas: les utilisateurs ont toutes les peines du monde
à faire valoir leur «droit à l’oubli» – soit à l’effacement d’informations les concernant.
La recherche ayant pour objet la protection des données et la sphère privée intéresse de
très nombreuses disciplines. Les thèmes évoqués ici relèvent des sciences informatiques
et de la cryptographie. Dans ces disciplines, le défi majeur tient à ce que les données
sont enregistrées et gérées de façon toujours plus décentralisée. La protection physique
des systèmes ne suffit donc pas à garantir une protection adéquate de la sphère privée. Il
faut lui substituer une protection logique, par des procédés cryptologiques servant à
l’authentification et au contrôle tant des accès que de l’usage fait des données.
Pertinence:
La protection de la sphère privée et des données pâtit de la numérisation toujours plus
poussée. Il est aisé d’utiliser de manière abusive les données souvent personnelles, et
l’absence de transparence quant à leur enregistrement et à leur gestion décentralisés
désécurise les utilisateurs. La recherche s’impose donc à tous les niveaux, pour
découvrir des solutions permettant d’améliorer la situation actuelle.
Domaines de recherche apparentés:
Détection des incidents et réaction, forensique informatique; cadre juridique; prévention
et répression de la cybercriminalité; gestion des cyberrisques; sécurité des systèmes
cyber-physiques.
Thèmes de recherche possibles:
Recherche cryptologique: la mise au point de procédés cryptologiques visant à
garantir l’anonymat ou le pseudonymat demeure un important domaine de recherche.
Ces procédés constituent la base offrant aux utilisateurs des solutions pour protéger
leurs données. Le développement du réseau Tor et les applications de vote
électronique reposent sur ces technologies.
Gestion de l’identité selon le principe de réduction des données: les systèmes
actuels d’identification reposent sur des certificats où figurent quantité d’informations
sur les utilisateurs (par ex. certificats PKI). Pour améliorer la protection des données,
il convient de mettre au point de nouvelles méthodes d’identification, renfermant un
minimum de données sur les utilisateurs.
Respect de la vie privée dès la conception (privacy by design): la protection de la
sphère privée et des données devrait déjà être envisagée lors du développement de
nouvelles technologies ou applications. Il s’agit pour la recherche d’élaborer les bases
correspondantes et de montrer les possibilités technologiques.
Rapport d’experts sur les thèmes les plus importants pour la recherche
10
Exemples de questions de recherche:
- Quelles nouvelles technologies pourraient-elles aider les utilisateurs à reprendre le
contrôle de leurs données?
- Comment peut-on garantir la traçabilité de l’usage fait des données?
- Quelle importance l’informatique quantique revêt-elle pour les techniques de cryptage
existantes?
- Comment pourrait-on davantage insister sur la protection de la sphère privée et des
données, lors de la conception de systèmes?
- Quelles normes techniques pourrait-on développer et appliquer dans le domaine de la
protection des données?
3.2.2 Sécurité des réseaux informatiques
Description du domaine de recherche:
Internet a révolutionné notre société au cours des 30 dernières années. L’industrie, les
particuliers et les gouvernements sont devenus toujours plus dépendants
d’infrastructures de communication constamment opérationnelles et sûres. Or à l’heure
actuelle, tant les protocoles de communication que le matériel et les logiciels des
systèmes informatiques sont très fragiles, et des acteurs malveillants parviennent à les
compromettre avec des moyens rudimentaires. Les attaques par déni de service, le vol
de données ou le chantage sont le lot des organisations comme des particuliers.
La vulnérabilité des réseaux, combinée à notre forte dépendance de ces infrastructures,
s’avère un défi essentiel pour la cybersécurité. La recherche a ici pour tâche d’indiquer la
manière de renforcer sur ce plan la résilience et la robustesse des réseaux informatiques.
Il s’agit de déterminer quelles composantes des réseaux pourraient devenir plus sûres
avec quelles méthodes, et quelles sont les composantes devant être entièrement
repensées et conçues à neuf.
Pertinence:
La recherche peut apporter une contribution importante au développement de réseaux
informatiques résilients et résistants. Il s’agit à la fois de développer de nouvelles
technologies réseau intégrant la sécurité dès le stade de la conception, et de trouver des
méthodes propres à protéger les réseaux informatiques existants, faute de pouvoir
remplacer du jour au lendemain les infrastructures installées.
Thèmes de recherche possibles:
Architectures de réseaux sécurisés: l’architecture des réseaux doit être organisée
et gérée de façon à garantir la surveillance du trafic des données, afin de pouvoir
détecter rapidement une activité indésirable. Les exigences auxquelles l’architecture
est confrontée dépendent du degré de complexité des réseaux. Il s’agit donc pour la
recherche de montrer quelles solutions conviennent à quels réseaux, et de mettre au
point des architectures novatrices.
Sécurisation des protocoles réseau existants: beaucoup des protocoles utilisés
aujourd’hui ne cryptent pas les données transmises, d’où le risque que les données
soient lues, voire manipulées par des tiers non autorisés. Mais comme ces protocoles
sont très répandus, leur remplacement exigera beaucoup de temps. Il importe donc
de rechercher des solutions techniques permettant de sécuriser ces protocoles.
Nouveaux protocoles réseau sûrs: la mise au point de nouveaux protocoles réseau
sûrs est une contribution importante de la recherche à l’amélioration de la sécurité du
transfert des données au sein des réseaux et entre eux.
Réduction du rôle joué par le matériel informatique: la création de couches
d’abstraction et la virtualisation du matériel informatique atténuent en partie les
problèmes de sécurité des terminaux. Autrement dit, la moindre dépendance du
matériel constitue un moyen de renforcer la sécurité du réseau. Il s’agit d’analyser
plus en détail les possibilités et les limites de cette approche.
Intégration en toute sécurité des applications: la sécurité du réseau implique aussi
de se demander comment intégrer en toute sécurité les différentes applications. La
Rapport d’experts sur les thèmes les plus importants pour la recherche
11
recherche développera de nouvelles méthodes destinées à valider et surveiller les
données transférées par les applications, à en limiter l’utilisation ainsi qu’à restreindre
les groupes d’utilisateurs.
Exemples de questions de recherche:
- Comment peut-on rendre nos infrastructures de communication plus robustes face aux
attaques par déni de service?
- Comment peut-on contrôler les logiciels et le matériel destinés aux applications et aux
systèmes, pour prévenir les failles de sécurité?
- Comment peut-on développer de manière sûre les logiciels destinés aux applications et
à l’infrastructure de communication?
- Comment pourrait-on mieux protéger les réseaux informatiques contre les maliciels et le
vol de données?
- Comment détecter plus rapidement les cyberattaques?
3.2.3 Cadre juridique
Description du domaine de recherche:
Face au vide réglementaire du monde numérique, les questions juridiques se posent
avec une acuité accrue et confrontent les législateurs à un casse-tête. La complexité et la
diversité des thèmes touchant à la cybersécurité font qu’il est très difficile d’anticiper au
niveau légal les développements, d’identifier à temps l’émergence de nouveaux thèmes
et de les traiter de manière exhaustive.
La recherche peut toutefois apporter ici une contribution importante, en enregistrant et en
analysant les données fondamentales. Elle aide à mieux comprendre les défis actuels et
les développements à venir. À partir de là, on voit comment on pourrait améliorer les lois,
où il faut en édicter de nouvelles et quel est l’impact à prévoir des changements apportés
aux bases juridiques. Les efforts de la recherche devraient viser à l’adoption d’un cadre
légal adéquat dans le domaine des cyberrisques.
Pertinence:
Le cadre juridique a une influence directe sur la gestion des cyberrisques. L’absence ou
l’insuffisance des bases légales, ainsi que les difficultés inhérentes à leur mise en œuvre
dans le contexte des cyberrisques engendrent l’insécurité juridique. D’où l’importance des
travaux de recherche sur les possibilités offertes par la législation. Une analyse du besoin
de légiférer a en outre une utilité pratique immédiate.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; prévention et répression de la
cybercriminalité; gestion des cyberrisques; cybersécurité dans les relations
internationales.
Thèmes de recherche possibles:
Aspects juridiques touchant à la protection de la sphère privée ainsi que des
données: la collecte automatique des données est d’ores et déjà au cœur de
nombreux modèles d’affaires. Or le cadre juridique en la matière laisse à désirer. Il
faut donc analyser comment les bases légales devraient être aménagées afin
d’accroître la transparence et l’obligation de rendre des comptes.
Bases juridiques de l’action étatique: les possibilités ou les limites des réactions
étatiques aux cyberattaques sont un sujet amplement débattu. Il est notamment
question des critères juridiques à remplir et des conséquences juridiques possibles
des activités de surveillance étatique ou des contre-mesures engagées par l’État en
cas de cyberespionnage. Dans le contexte helvétique, on se référera pour une telle
analyse à la nouvelle loi fédérale sur le renseignement (LRens) et à la loi fédérale sur
la surveillance de la correspondance par poste et par télécommunication (LSCPT).
Répartition des responsabilités: de nombreuses questions complexes liées au
partage des responsabilités se posent dans le domaine de la cybersécurité. Il faut
examiner qui sera tenu responsable le cas échéant (soit ce que peut en dire le droit
civil ou pénal). Cela suppose des décisions politiques sur les incitations économiques
Rapport d’experts sur les thèmes les plus importants pour la recherche
12
et juridiques à prévoir pour les divers acteurs. Par ex., il convient de déterminer dans
quelle mesure les victimes d’une attaque pourront être tenues pour responsables (en
cas de vol de données notamment), ce qui pose encore la question des normes
minimales à édicter dans un but préventif.
Méthodes (alternatives) de résolution des conflits: la Suisse possède une longue
tradition d’arbitrage. Elle est ainsi prédisposée à jouer un rôle de premier plan dans
les litiges liés à la protection des données et de la personnalité. La recherche pourrait
fournir ici des idées et proposer des méthodes globales pour la résolution des conflits.
Exemples de questions de recherche:
- À quelles conditions juridiques un régime d’obligation de signaler les cyberincidents
devrait-il satisfaire? Quelles seraient les conséquences d’un tel devoir?
- Sur quelles bases légales des prescriptions pourraient-elles être édictées dans le
domaine des technologies de cryptage?
- Quelles incitations juridiques pourrait-on envisager afin qu’à l’avenir, la sécurité soit
mieux prise en compte lors du développement de logiciels?
- Comment devrait se faire la répartition des questions de responsabilité entre les
utilisateurs, les producteurs et les tiers?
- Faut-il obliger les producteurs de logiciels à faire preuve de transparence sur leurs failles
de sécurité potentielles?
- Quels sont les moyens légaux de repousser les cyberattaques? Où se situent les limites?
3.2.4 Prévention et répression de la cybercriminalité
Description du domaine de recherche:
Le préfixe «cyber» est devenu omniprésent à notre époque, quand il est question de
criminalité. Les ordinateurs et les réseaux offrent aux escrocs de nouveaux modes
opératoires, et du même coup les processus de poursuite pénale évoluent. Les nouvelles
technologies offrent constamment de nouvelles possibilités aux cybercriminels. Or il reste
crucial, d’un point de vue juridique et notamment pour préserver la sécurité juridique, que
les actes criminels fassent l’objet d’enquêtes, de poursuites et de sanctions dans ce
nouveau contexte également.
Un cadre juridique solide s’avère indispensable pour réduire la cybercriminalité. Mais il
faut aussi une bonne stratégie de prévention. Les recherches effectuées dans le champ
de la psychologie, de l’anthropologie, de la criminologie ou de la sociologie peuvent
contribuer à la mise en place de campagnes de prévention adaptées aux divers groupes
de la population.
Enfin, la collaboration s’avère décisive en cas de poursuite pénale. Elle implique
l’échange de renseignements entre les victimes et les autorités, ainsi que la coopération
au niveau international.
Pertinence:
Une prévention et une répression efficaces de la cybercriminalité requièrent des efforts
constants, de la part de tout le monde. Le précieux éclairage de la recherche s’avère
également nécessaire ici.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; cadre juridique; détection des incidents et
réaction, forensique informatique; gestion des cyberrisques; cybersécurité dans les
relations internationales; facteurs humains et sociaux de la cybersécurité.
Thèmes de recherche possibles:
Actualisation du droit pénal: alors que de nombreuses infractions commises dans
le cyberespace tombent sous le coup d’articles en vigueur du code pénal, d’autres se
situent dans la zone grise ou exploitent à dessein le vide juridique. Bien souvent, il
suffirait d’étendre l’interprétation du droit en vigueur à de tels cas. Cela vaut par
exemple pour le vol d’identité, qui n’est pas directement traité dans le code pénal,
mais que les dispositions en vigueur permettent néanmoins de sanctionner. Or une
Rapport d’experts sur les thèmes les plus importants pour la recherche
13
telle approche n’est pas toujours envisageable. Il reste par conséquent à déterminer
quand et à quelles conditions de nouveaux articles de loi sont nécessaires.
Adaptation des poursuites pénales: les autorités doivent avoir les moyens
d’enquêter aussitôt sur les infractions commises par des cybercriminels, et de les
poursuivre de manière efficace. Il faut par ailleurs trouver un équilibre entre cette
exigence et les libertés individuelles des citoyens. Ce défi se pose notamment pour la
collecte et la conservation des preuves dans le monde numérique. Il importe donc
d’examiner quelles seraient les adaptations nécessaires, au niveau des processus
régissant les poursuites pénales.
Coopération internationale: la cybercriminalité ne s’arrête pas aux frontières. La
collaboration internationale dans le cadre des poursuites pénales s’avère dès lors
primordiale. Il convient d’en réexaminer les modalités pour rationaliser les efforts
entrepris. La Convention du Conseil de l’Europe sur la cybercriminalité, signée par la
Suisse en 2001, constitue ici un bon sujet de recherche. Les études comparatives
des mesures prises par d’autres pays dans le domaine de la cybercriminalité livrent
également un aperçu intéressant des activités envisageables pour l’éradiquer.
Réseau Internet invisible (darknet): les réseaux pair à pair (P2P), isolés à l’origine
du réseau public, offrent un marché attrayant pour les activités criminelles. Ils sont
difficiles d’accès aux autorités de poursuite pénale, et l’anonymat des acteurs y reste
préservé dans une large mesure. Un thème de recherche consisterait à examiner
l’influence qu’a le réseau Internet invisible sur les activités criminelles, avec les
possibilités qu’ont les enquêteurs pénaux de poursuivre lesdites activités déployées
dans le «darknet».
Exemples de questions de recherche: - Faut-il définir de nouvelles infractions pour traiter les nouvelles formes de criminalité,
comme par ex. le vol d’identité, ou les bases actuelles sont-elles suffisantes? - Les processus en place dans le domaine des poursuites pénales permettent-ils de faire
toute la lumière sur les actes cybercriminels? - Jusqu’à quel point la coopération internationale actuelle est-elle efficace, dans la lutte
contre la cybercriminalité? - Quelles possibilités les nouvelles technologies vont-elles ouvrir aux criminels? - Quels sont les moyens déployés par d’autres États contre les cybercriminels?
3.2.5 Détection des incidents et réaction, forensique informatique
Description du domaine de recherche:
La spécialisation et la complexité croissantes des cyberattaques font qu’il est toujours
plus difficile de détecter et d’analyser les incidents. Les méthodes d’attaque et les
maliciels modernes parviennent à déjouer les mécanismes de sécurité, y compris les
antivirus et les systèmes de détection d’incidents. Même les organisations très sensibles
aux questions de sécurité, comme les banques ou les institutions étatiques, sont à tout
moment victimes de cyberattaques réussies.
Il est donc crucial de découvrir les incidents et d’y apporter une réponse rapide et
efficace, afin de circonscrire les cyberrisques. Aussi la recherche sur la cybersécurité a-t-
elle cessé de se concentrer sur les mesures de défense et de protection, pour mettre au
point des méthodes de détection, de gestion et d’analyse des incidents. Ces méthodes
apportent elles aussi une précieuse contribution à la prévention, dans la mesure où les
informations recueillies sur l’identité des agresseurs et sur leur mode opératoire sont
déterminantes pour adopter des mesures de protection adéquates.
La forensique informatique et l’analyse des incidents sont deux disciplines très proches.
Traditionnellement, la forensique informatique s’occupe de cas où les agresseurs ont
commencé leurs activités criminelles dans le monde réel. De telles investigations se
concentrent sur l’examen des supports de données. L’analyse des incidents, par contre,
s’occupe des attaques visant les infrastructures informatiques. Le lieu de l’infraction est
l’infrastructure informatique, et donc les données à examiner sont de nature technique,
Rapport d’experts sur les thèmes les plus importants pour la recherche
14
par ex. le fichier journal, le trafic réseau, le code malveillant, les modifications apportées
au système, etc.
Ces deux disciplines ont en commun d’exiger une compréhension approfondie des
technologies. Dans les deux cas, le principal défi de la recherche est qu’il faut analyser et
contextualiser de gigantesques quantités de données issues de sources différentes. La
recherche en forensique informatique et en analyse des incidents joue un rôle majeur
dans différents domaines (appareils mobiles, réseaux, supports de données, systèmes
de santé).
Beaucoup de marchés clandestins ou d’activités illégales ont désormais un équivalent
numérique: de faux papiers, des médicaments falsifiés, des contrefaçons de montres,
etc. sont proposés dans le réseau Internet invisible. De tels produits causent un préjudice
direct tant à la protection des frontières qu’à la qualité des soins ou à la compétitivité de
l’économie suisse. Ces phénomènes appellent une réponse technique: il s’agit de
combiner les méthodes de forensique numérique avec d’autres méthodes fondées sur les
sciences sociales et humaines, qui recourent de façon systématique aux sources
accessibles au grand public (open source intelligence, OSINT).
Pertinence: La pertinence découle de la numérisation croissante de la société. Les cyberattaques sont devenues un réel problème et emploient des méthodes toujours plus raffinées. Or la recherche et l’enseignement sur la gestion et les analyses d’incidents en sont restés à un stade embryonnaire en Suisse, alors même que cette dernière constitue une cible attrayante pour les cybercriminels.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; mégadonnées; informatique en nuage;
cadre juridique; gestion des cyberrisques.
Thèmes de recherche possibles:
Automatisation: une automatisation (partielle) des activités de détection et d’analyse
des incidents a pour effet d’accélérer sensiblement les processus. Elle peut aussi
conduire à la détection immédiate d’attaques et à l’exploitation de nouveaux
systèmes de sécurité, permettant une défense évolutive face aux nouvelles attaques
ou variantes de maliciels.
Consolidation, corrélation et présentation des données: comment peut-on
enregistrer et décrire de manière adéquate les incidents, au-delà de la simple collecte
des indicateurs usuels (indicators of compromise, IOC)? Il convient notamment de
citer ici les méthodes ou systèmes d’analyse qui détectent les attaques sur la base de
modes opératoires et non à partir d’indicateurs particuliers. De même, les systèmes
qui analysent les liens cachés entre différentes cyberattaques peuvent présenter un
intérêt ici.
Partage et utilisation du savoir: comme les technologies et les méthodes d’attaque
évoluent très rapidement, il est difficile de connaître toutes les nouvelles possibilités
forensiques, ou de retrouver celles déjà connues. La recherche pourrait contribuer à
la mise au point d’une systématique pour l’enregistrement des nouvelles
connaissances et pour la conservation du savoir existant.
Intégration de la forensique informatique dans les poursuites pénales et dans
les investigations de services de renseignements: il faut intensifier encore l’usage
des méthodes d’analyse les plus raffinées pour acquérir des connaissances utiles sur
les agresseurs. La forensique informatique permet d’identifier les agresseurs à partir
de leurs traces numériques, en établissant des profils comportementaux.
Forensique et analyse des incidents en phase avec les nouvelles technologies:
en réponse aux nouvelles technologies, comme l’Internet des objets, il faut prévoir de
nouvelles méthodes de forensique numérique.
Monitorage: bien des technologies ou des activités criminelles seraient mieux
comprises, à condition de surveiller systématiquement les échanges des groupes de
malfaiteurs sur les forums Web, sur les réseaux sociaux ou dans le réseau Internet
invisible. Le volume d’informations disponibles sur les diverses plateformes est en
hausse constante, d’où l’importance de prévoir une procédure systématique pour
Rapport d’experts sur les thèmes les plus importants pour la recherche
15
l’analyse de ces informations.
Identification: des schémas comportementaux permettent d’identifier les
caractéristiques des agresseurs. En combinant de telles méthodes à la forensique
usuelle, on pourra identifier les auteurs des attaques.
Visualisation: l’analyse des incidents implique de parcourir de grandes quantités
d’informations. La visualisation aide les analystes à repérer les schémas typiques et
les anomalies.
Exemples de questions de recherche: - Comment peut-on identifier la tactique des agresseurs, leur mode opératoire et leurs
processus respectifs? - Comment les schémas comportementaux et d’autres caractéristiques propres aux
agresseurs peuvent-il servir à identifier les auteurs de cyberattaques? - De quelle manière pourrait-on accélérer l’analyse des incidents? Quels sont les
processus susceptibles d’être automatisés? - Comment pourrait-on tirer un meilleur parti de l’analyse des incidents et de la forensique
informatique, dans le cadre de la gestion des risques? - Comment le savoir tiré de l’analyse des incidents pourrait-il être mieux exploité, à des
fins de prévention? - Comment pourrait-on recueillir de manière systématique et ciblée (forums en ligne,
réseaux sociaux, réseau Internet invisible) des informations sur les acteurs de la cybercriminalité et sur leurs tactiques?
3.2.6 Gestion des cyberrisques
Description du domaine de recherche:
Les cyberrisques connaissent une évolution très dynamique, tout en étant d’une extrême
complexité. Cette dynamique découle de la rapidité du développement technologique:
certains risques peuvent très vite devenir majeurs (ou alors insignifiants). Quant à la
complexité, elle tient aux multiples interdépendances des systèmes modernes, qui
rendent difficile sinon impossible d’évaluer les conséquences d’attaques fructueuses.
Ces deux caractéristiques constituent les principaux défis de la gestion des cyberrisques.
Toute recherche en la matière devra donc commencer par se familiariser avec la théorie
et les méthodes de gestion des risques. Il s’agit d’examiner s’il y a lieu d’adapter, et le
cas échéant dans quelle mesure, les méthodes existantes d’analyse des risques, afin de
tenir compte de la dynamique des cyberrisques et de leur complexité.
Au niveau opérationnel, des recherches s’imposent sur les instruments d’analyse et de
gestion des risques (cartographie des menaces potentielles, matrices des risques,
planification par scénario, etc.). De tels travaux serviront encore au développement
d’indicateurs destinés à rendre mesurables tant les risques proprement dits que
l’efficacité des mesures introduites pour y remédier.
Enfin, la gestion des cyberrisques comporte un niveau stratégico-politique. Il s’agit à ce
stade de savoir comment réagir collectivement aux cyberrisques. Entre autres thèmes
importants, il convient d’étudier le potentiel des partenariats public-privé, les limites et les
possibilités de l’échange d’informations, ainsi que des questions de réglementation
comme par exemple l’option d’introduire une obligation de signaler les incidents.
Pertinence:
Il est impossible de déjouer toutes les cyberattaques, d’où la nécessité d’une gestion des
risques, qui aide à évaluer la situation de manière réaliste et à fixer les bonnes priorités.
Or les méthodes éprouvées de gestion des risques font face, dans le domaine des
cyberrisques, à de nouveaux défis. Les travaux de recherche à ce sujet sont d’autant plus
importants que c’est à la gestion des risques de définir le cadre de toutes les actions
visant à protéger des cyberrisques.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; cadre juridique; économie de la
cybersécurité; facteurs humains et sociaux de la cybersécurité.
Thèmes de recherche possibles:
Rapport d’experts sur les thèmes les plus importants pour la recherche
16
Théorie et méthode de la gestion des risques: comme les cyberrisques évoluent
très vite et sont d’une extrême complexité, on ne peut ni évaluer leur probabilité de
survenance, ni chiffrer les dégâts à craindre. Il importe à la place de faire des
recherches sur les possibilités et les limites des modèles actuels d’analyse des
risques. À cet effet, on examinera jusqu’à quel point les cyberrisques sont
comparables aux autres risques et peuvent être intégrés dans les catalogues de
risques actuels.
Instruments de gestion des risques: la recherche devrait aussi contribuer à la mise
au point d’instruments de gestion des cyberrisques (cartes des risques, scénarios,
simulations, etc.). Le leitmotiv est ici la mesurabilité des risques et des contre-
mesures adoptées. Il serait plus aisé aux praticiens de définir le niveau de protection
approprié à leur organisation, s’ils parvenaient à évaluer les risques encourus.
Échange d’informations: la gestion des cyberrisques se heurte au manque
d’informations sur les risques et les contre-mesures envisageables, d’où la création
d’organisations et de plateformes destinées à faciliter les échanges d’informations. Il
s’agit d’examiner les moyens d’en garantir le fonctionnement efficace et rationnel. Les
recherches se concentreront sur les échanges d’informations entre les acteurs publics
ou privés, dans le cadre des partenariats public-privé.
Réglementation: la gestion des risques au quotidien est largement influencée par le
cadre réglementaire. Les collectivités publiques peuvent fixer les pratiques et les
normes dans ce domaine, par le biais de lois et ordonnances. L’obligation de signaler
les incidents en est un bon exemple. Les chercheurs devraient analyser quand et à
quelles conditions un tel régime contribue concrètement à améliorer la gestion des
cyberrisques.
Exemples de questions de recherche:
- Dans quelle mesure, par leur forte dynamique et leur complexité, les cyberrisques
résistent-ils aux pratiques ou méthodes usuelles de gestion des risques?
- Comment peut-on juger de la probabilité de survenance des cyberrisques et de l’ampleur
des dommages ainsi provoqués?
- Avec quelles méthodes pourrait-on connaître le degré optimal d’investissement dans la
cybersécurité?
- Quelles seraient les incitations propres à favoriser les échanges d’informations sur les
cyberrisques?
- Par quels moyens pourrait-on renforcer la collaboration entre les acteurs privés et
étatiques?
- Quelles réglementations serait-il judicieux de prévoir? Si l’État menait des audits ou
obligeait à signaler les cyberincidents, quel en serait l’impact potentiel?
3.2.7 Économie de la cybersécurité
Description du domaine de recherche:
La perspective économique consiste à montrer, à propos de la cybersécurité, le rapport
entre les pertes financières liées aux cyberincidents et le coût des mesures de protection.
Les insuffisances actuelles tiennent à l’existence d’incitations inopportunes, d’une part, et
au manque d’informations sur le coût des cyberrisques, d’autre part.
Les incitations inopportunes sont étroitement liées à la nature même du cyberespace,
réseau très dense et complexe de systèmes et d’utilisateurs. Les particuliers comme les
entreprises sont logés à la même enseigne: la simple intégration de leurs systèmes dans
des réseaux les rend vulnérables jusqu’à un certain point, indépendamment de leurs
propres investissements dans la sécurité. La cybersécurité s’apparente à certains égards
aux biens publics, sachant que les investissements dans la cybersécurité génèrent des
externalités très positives. Il y a donc un problème de coordination: l’utilité des
investissements consentis par un acteur dans la cybersécurité dépend des
investissements consentis par tous les autres acteurs.
En outre, faute de données sur le coût des cyberrisques, il est très difficile de déterminer
Rapport d’experts sur les thèmes les plus importants pour la recherche
17
l’ampleur des investissements nécessaires dans les mesures de protection. Il n’existe
guère à ce jour de modèles de calcul des cyberrisques. En plus d’aider les praticiens
dans leur propre gestion des risques, de tels modèles favoriseraient l’émergence d’un
marché d’assurance pour couvrir les cyberrisques. Or à ce jour, les données relatives aux
pertes dues aux cyberattaques sont trop maigres pour permettre aux assurances de
calculer les primes, le capital et les réserves. Le marché reste par conséquent sous-
développé. Il faut toutefois s’attendre à ce que dans les années à venir, les assureurs
s’implantent dans le segment des cyberrisques.
Pertinence:
Les cyberrisques sont indiscutablement devenus un problème économique. Pourtant, les
recherches menées dans une perspective économique pour montrer comment réduire les
coûts dus aux cyberrisques restent rares. Des connaissances approfondies du coût des
cyberrisques sont également indispensables pour permettre l’essor, dans ce domaine,
d’un marché des assurances efficace.
Domaines de recherche apparentés:
Cadre juridique; prévention et répression de la cybercriminalité; gestion des cyberrisques.
Thèmes de recherche possibles:
Coût des cyberrisques: les estimations du coût des cyberrisques varient fortement et n’offrent pas l’indépendance souhaitable, dès lors qu’elles sont publiées par les prestataires de mesures de cyberdéfense. Les chercheurs peuvent contribuer à la mise au point d’une meilleure systématique pour en évaluer les coûts, en jetant les bases de modèles de risque dans le domaine des cyberrisques.
Analyse de la cybersécurité en tant que bien public: il s’agit d’examiner dans quelle mesure la cybersécurité peut être décrite comme bien public, et quelles en sont les conséquences pour la gestion des cyberrisques.
Assurabilité des cyberrisques: il s’agit d’examiner de quelle façon les cyberrisques sont assurables, et à quelles conditions des cyberassurances pourraient être lancées. Les bases de données des incidents sont ici un précieux instrument. Or les chercheurs peuvent contribuer à la création de telles bases de données.
Réglementation: la recherche en sciences économiques examinera, dans une perspective coût-bénéfice, les effets des interventions réglementaires actuelles ou potentielles visant à promouvoir la cybersécurité.
Exemples de questions de recherche:
- Le lancement d’assurances contre les cyberrisques stimulerait-il les investissements
dans la gestion des cyberrisques?
- Comment pourrait-on améliorer la modélisation et le calcul des coûts des cyberrisques,
compte tenu du manque de données, de l’évolution dynamique propre aux cyberrisques
et de leur grande complexité?
- Dans quelle mesure des instruments comme le transfert alternatif des risques ou les
solutions ILS (Insurance Linked Strategies) peuvent-ils contribuer à une meilleure prise
en charge des cyberrisques par les assurances?
- Quels sont les coûts et les avantages économiques des interventions réglementaires?
- Comment la gestion des cyberrisques peut-elle faire face aux risques extrêmes?
3.2.8 Sécurité des systèmes cyber-physiques
Description du domaine de recherche:
Les systèmes cyberphysiques connaissent un essor foudroyant dans de multiples
champs d’application. De tels systèmes sont déjà très répandus dans la domotique, on y
recourt volontiers dans le secteur médical, et les véhicules sans conducteur en sont
l’exemple le plus connu.
Même si indéniablement tous ces systèmes offrent de grands avantages, leur diffusion ou
leurs possibilités sont à l’origine de nouvelles failles de sécurité. En effet, tous ces
systèmes dépendent, pour fonctionner, d’un grand nombre de capteurs enregistrant des
données en permanence. Bien souvent aussi, ils ne sont pas sécurisés ou du moins pas
assez, ce qui en fait des cibles de choix pour les cyberattaques. C’est pourquoi
Rapport d’experts sur les thèmes les plus importants pour la recherche
18
s’imposent des mesures de sécurité renforcées et une sensibilisation accrue des
utilisateurs, afin qu’à l’avenir ces systèmes soient mieux protégés contre les agresseurs.
Les systèmes cyberphysiques soulèvent par ailleurs de nouveaux défis en matière de
protection des données. Les données enregistrées par de tels systèmes livrent en effet
quantité d’informations exploitables sur leurs utilisateurs. Il faut donc analyser l’impact
d’une telle évolution sur la protection des données.
Pertinence:
En réponse au rapide essor des systèmes cyberphysiques dans tous les domaines (de
l’industrie à l’électronique de divertissement, en passant par le secteur de la santé), la
recherche sur la sécurité de ces systèmes s’avère cruciale. Il sera toujours plus difficile à
l’avenir d’établir des limites claires entre le monde physique et le cyberespace.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; détection des incidents et réaction,
forensique informatique; cadre juridique; prévention et répression de la cybercriminalité;
gestion des cyberrisques.
Thèmes de recherche possibles:
Sécurité dans l’Internet des objets: il s’agit d’analyser systématiquement les
principaux défis de la sécurité de l’Internet des objets et de formuler des propositions
sur la manière d’améliorer la situation. Outre les solutions technologiques possibles, il
s’agit de prendre en compte les mesures de sensibilisation des utilisateurs.
Sécurité dans des champs d’application spécifiques: des systèmes
cyberphysiques interviennent dans différents champs d’application. Différentes
questions de recherche se posent à chaque fois, selon leur contexte d’utilisation.
Sécurité des infrastructures d’importance vitale et de leurs prestations: la
sécurité est un enjeu collectif, dans le cas des infrastructures d’importance vitale. Il
faut donc étudier les effets du réseautage croissant de ces systèmes sur la sécurité. Il
s’agit notamment de prendre en compte l’interdépendance entre les infrastructures.
Exemples de questions de recherche:
- Quelles sont les nouvelles technologies susceptibles d’améliorer la sécurité des
systèmes cyberphysiques?
- Comment pourrait-on protéger les systèmes décentralisés face aux abus, sans introduire
pour autant des infrastructures centrales?
- Selon quels critères peut-on mesurer la sécurité des systèmes cyber-physiques, et
comment pourrait-on utiliser avec de tels systèmes les procédures de certification?
- Comment se font les mises à jour, dans le cas des systèmes cyberphysiques, et comment
pourrait-on automatiser ce processus?
3.2.9 Cybersécurité dans les relations internationales
Description du domaine de recherche:
La cybersécurité a fait irruption dans l’agenda politique et une des priorités est de
renforcer le rôle que jouent les États nationaux dans la sécurité du cyberespace.
Plusieurs possibilités sont évoquées: codes de conduite, conventions, normes et règles
propres au cyberespace. En complément à ces efforts, des mesures propres à créer un
climat de confiance sont prises afin de renforcer la coopération internationale et
d’identifier des mécanismes de réaction commune aux cybermenaces.
Pertinence
Dans le discours stratégique, le cyberespace apparaît à la fois comme cible (risk to
cyberspace) et instrument d’attaques (risk through cyberspace). Cette combinaison et les
innombrables incidents font que la cybersécurité est devenue un enjeu majeur des
débats tant nationaux qu’internationaux sur la sécurité. La cybersécurité ne peut être
résumée à un problème technique ou juridique, mais constitue aussi un enjeu de la
diplomatie et de la politique extérieure, ainsi que de la politique militaire.
En ce sens, on trouve aujourd’hui de nombreuses initiatives internationales sur la
cybersécurité. La plupart cherchent à réglementer le cyberespace pour en faire un
Rapport d’experts sur les thèmes les plus importants pour la recherche
19
environnement stable et fiable.
De tels développements fournissent à la recherche une excellente occasion d’étudier les
initiatives internationales, y compris celles restées informelles, en examinant de près les
lignes de conflit existantes. Il est indispensable de bien comprendre ces facteurs, afin de
trouver de bonnes solutions internationales au problème de la cybersécurité.
Domaines de recherche apparentés:
Cadre juridique; prévention et répression de la cybercriminalité; facteurs humains et
sociaux de la cybersécurité.
Thèmes de recherche possibles:
Cyberpouvoir: de nouveaux modèles théoriques serviront à définir le concept de
pouvoir dans le cyberespace et à en comprendre la dynamique propre. Il s’agit
d’analyser l’effet potentiel des capacités offensives (y compris comme moyens de
lutte contre la cybercriminalité et le cyberterrorisme) et de clarifier les questions
juridiques ou éthiques qui se posent.
Cyberdissuasion: il convient d’examiner si et comment la théorie de la dissuasion
réciproque s’applique à la politique de puissance déployée dans le cyberespace. À
cet effet, il faut encore prendre en compte le rôle-clé d’acteurs non étatiques dans
l’usage des cybercapacités.
Escalade des conflits: il faut mieux comprendre la dynamique propre aux conflits
dans le cyberespace.
Normes, traités, institutions et structures: la collaboration internationale a beau
n’en être qu’à ses balbutiements dans bien des domaines, des normes et traités, des
institutions et des structures sont déjà en place. Il est important d’entreprendre des
recherches sur leurs effets, leur mode opératoire et leurs faiblesses. La recherche
contribuera à identifier les diverses formes d’encadrement institutionnel envisageable
dans le domaine de la cybersécurité.
Gouvernance d’Internet: il s’agit de comparer les divers modèles de gouvernance
d’Internet et d’en décrire les avantages et inconvénients respectifs. L’accent sera mis
sur le rôle important joué par les acteurs privés.
Exemples de questions de recherche: - En quoi consiste le «cyberpouvoir», et comment peut-on le mesurer? - Quelles sont les particularités des conflits dans le cyberespace? Et quelle en est la
dynamique propre? Quels sont les développements à prévoir? - Quel est l’impact des cyberincidents sur l’évolution des relations internationales? - Comment évoluent les règles, les processus de décision et les positions de force, dans
les modèles de gouvernance d’Internet en place? Ces modèles sont-ils efficaces et rationnels?
- Quelles sont les mesures susceptibles de créer un climat de confiance, et comment peuvent-elles contribuer à la stabilité?
- Quel est le rôle joué par les acteurs privés, dans la gouvernance d’Internet et dans les institutions visant à promouvoir la cybersécurité?
- Qu’en est-il des «cybercapacités offensives»? Comment pourrait se présenter un contrôle des armements dans le cyberespace? Quelles seraient les technologies nécessaires à cet effet?
- Comment pourrait-on améliorer le processus d’attribution des cyberattaques?
Rapport d’experts sur les thèmes les plus importants pour la recherche
20
3.2.10 Facteurs humains et sociaux de la cybersécurité
Description du domaine de recherche:
De nombreux cyberincidents, sinon la plupart, sont directement ou indirectement
imputables au comportement inadéquat d’utilisateurs. On peut citer comme exemples les
mots de passe faibles, l’ouverture de courriels renfermant des maliciels, ou encore la
divulgation de données et d’informations en réponse à des demandes falsifiées.
La recherche sur les cyberrisques devrait donc prendre en compte le facteur humain de
la cybersécurité, dans le cadre d’études psychologiques, sociologiques et culturelles. La
recherche aura pour objet le comportement des victimes comme celui des agresseurs. Il
est important de comprendre les habitudes des deux groupes, afin de prendre les bonnes
mesures pour rendre plus difficile l’exploitation des vulnérabilités des utilisateurs.
Pertinence:
La recherche sur le comportement des victimes et des agresseurs potentiels dans le
cyberespace est importante, étant donné que des intentions humaines ou des erreurs
humaines sont à l’origine de chaque attaque. Ce n’est qu’en prenant dûment en compte
le facteur humain, à côté des questions techniques, économiques et juridiques, que l’on
parviendra à réduire les cyberrisques. Il est également important d’examiner dans quelle
mesure les cyberrisques, ainsi que le débat sur la sécurité d’Internet et sa surveillance,
sont susceptibles d’influencer le comportement des utilisateurs.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; prévention et répression de la
cybercriminalité; gestion des cyberrisques.
Thèmes de recherche possibles:
Perception des cyberrisques: il s’agit d’examiner comment les cyberrisques sont
perçus dans la société, et s’il existe des différences pertinentes entre les différents
groupes d’utilisateurs.
Comportement des utilisateurs: la recherche devrait chercher à expliquer le
comportement des utilisateurs face aux cyberrisques. Il s’agit d’analyser dans quelle
mesure ils ont conscience des cyberrisques, quelle en est l’influence sur leur
comportement d’utilisateurs, et comment on pourrait s’assurer qu’ils fassent preuve
de l’autonomie requise.
Motivation des agresseurs: la motivation des agresseurs n’est souvent pas de
nature purement économique. Il faut également examiner le contexte psychologique,
anthropologique et culturel dans lequel ils baignent, afin de mieux comprendre les
facteurs non économiques.
Éthique dans le cyberespace: il convient d’examiner l’éthique qui prévaut dans le
contexte largement anonyme du cyberespace, les normes dominantes ainsi que les
limitées transgressées.
Exemples de questions de recherche: - Comment pourrait-on mieux sensibiliser aux cyberrisques différents groupes-cibles? - De quelle façon pourrait-on intégrer dans la gestion des risques des facteurs de
psychologie comportementale? - Comment faudrait-il aménager les systèmes, afin que les utilisateurs comprennent mieux
les exigences de sécurité et les respectent dûment? - Quels sont les effets psychologiques des cyberattaques sur les victimes? - Comment les agresseurs s’influencent-ils mutuellement? Des modèles de rôles
permettent-ils de l’expliquer? - Comment les cyberrisques sont-ils thématisés dans la culture populaire (cinéma,
littérature, vidéos, musique, peinture)? Dans quelle mesure cela contribue-t-il à une prise de conscience des cyberrisques? Et quel en est l’impact sur les cyberpirates?
- Comment pourrait-on élaborer et faire appliquer, dans le cyberespace globalisé, des codes d’éthique universels?
- Comment peut-on empêcher Internet de contribuer à la radicalisation de certains groupes?
Rapport d’experts sur les thèmes les plus importants pour la recherche
21
3.3 Thèmes prioritaires: domaines, technologies et applications revêtant une importance particulière
Le présent chapitre aborde les thèmes prioritaires. Il s’agit de domaines ou applications qui,
dans la discussion sur les cyberrisques, ont retenu beaucoup d’attention. Eux aussi influencent
à leur manière les débats, et un aperçu des thèmes de recherche serait incomplet si on les
passait sous silence. Il n’était toutefois pas possible de les faire figurer directement dans un
des domaines décrits ci-dessus, car ils relèvent de plusieurs domaines simultanément. Le
groupe d’experts a donc décidé de décrire séparément, comme thèmes prioritaires, les trois
thèmes suivants:
1) Mégadonnées
2) Cyberrisques et informatique en nuage
3) Sécurité des FinTech
3.3.1 Mégadonnées
Description du thème prioritaire:
La notion de mégadonnées (big data) traduit le fait que les volumes de données collectées
et traitées sont gigantesques. Elle se réfère aux nouvelles technologies, qui permettent
d’effectuer de telles analyses en quelques instants, et plus généralement au phénomène
de transformation de la société numérique, où les analyses de données jouent un rôle
grandissant.
Des données sont en permanence recueillies et compilées, échangées, analysées et
exploitées (commercialement) via Internet. Sur le plan des cyberrisques, d’importantes
questions se posent quant à la protection de ces données, à leur cycle de vie et à leur
conservation. Mais les technologies d’analyse des données s’avèrent aussi précieuses
pour élucider des infractions et jouent souvent un rôle-clé dans l’identification des auteurs
de cyberattaques.
Pertinence:
Les nouvelles possibilités à disposition pour analyser de grandes quantités de données
en temps réel, ainsi que pour les comparer et les corréler à d’autres séries de données,
revêtent un grand intérêt pour toutes les recherches menées dans le domaine des
cyberrisques. Le thème marquera fortement l’avenir de la société numérique, et occupe
par conséquent une place importante dans la recherche sur les cyberrisques.
Thèmes de recherche possibles:
Mégadonnées et rôle des monopoles de données: il s’agit d’analyser dans quelle
mesure la création de monopoles de données affecte l’économie et la société, en
montrant notamment dans quelle mesure aujourd’hui, les États dépendent parfois du
bon vouloir des entreprises détentrices de tels monopoles.
Les mégadonnées comme instrument de cybersécurité: le potentiel des
mégadonnées dans la prévention et l’élucidation des cyberattaques est considérable.
La recherche devrait sonder ce potentiel et indiquer comment on pourrait exploiter à
l’avenir les possibilités correspondantes.
Défis juridiques des mégadonnées: il existe un quasi-vide juridique à propos des
possibilités de collecte systématique et d’analyse de vastes quantités de données.
Les infrastructures décentralisées des mégadonnées posent un défi supplémentaire.
Il s’agit d’examiner comment on pourrait aborder la problématique.
Contexte politique, social et économique: le phénomène des mégadonnées
s’inscrit dans un contexte politique, social et économique indispensable à sa bonne
compréhension. Il s’agit d’analyser qui utilise les technologies des mégadonnées,
comment et pour quelles raisons.
Exemples de questions de recherche: - Quelles sont globalement les conséquences des mégadonnées pour la cybersécurité?
Ces technologies améliorent-elles la situation, ou aggravent-elles encore les risques?
Rapport d’experts sur les thèmes les plus importants pour la recherche
22
- Quel rôle l’État devrait-il jouer dans le domaine des mégadonnées? Faut-il une réglementation plus poussée?
- Le libre marché fonctionne-t-il, ou les monopoles détenus par les grandes entreprises vont-ils trop loin?
- Quelles bases juridiques devrait-on prévoir pour les mégadonnées? - Quel est le potentiel des mégadonnées, sur le terrain de la prévention et de l’élucidation
des cyberattaques? - Comment les mégadonnées pourraient-elles influencer la gestion des cyberrisques?
3.3.2 Cyberrisques et informatique en nuage
Description du thème prioritaire:
Ces dernières années, les services en nuage sont devenus très populaires. Même si
beaucoup de services recueillent les données dans une mémoire centrale, afin que les
utilisateurs accèdent aux informations de partout, les données sont parfois conservées de
manière décentralisée, selon l’idée d’origine de l’informatique en nuage. On trouve dans
des domaines variés des applications basées sur des services en nuage, de la gestion de
systèmes cyberphysiques aux systèmes de vote électronique, en passant par les
applications de bureautique.
Le stockage de données dans un nuage n’est toutefois pas exempt de risques. En cas de
dysfonctionnement ou de manipulations non prévues, des tiers peuvent s’emparer de
données, ce qui en plus d’être gênant, peut poser de sérieux problèmes de protection
des données, voire entraîner des pertes financières.
Les services en nuage ont ceci de particulier que les données utilisant cette fonction de
stockage sont mobiles, et donc ne relèvent pas d’une juridiction spécifique. Les données
et les fonctions peuvent être réparties entre différents pays, d’où la difficulté de soumettre
à un contrôle juridique les services en nuage. On le voit par exemple avec les crypto-
monnaies (Bitcoin, Ethereum, Dodgecoin, Litecoin, etc.), ou avec les plateformes
d’information dépourvues d’infrastructures centrales.
Pertinence
L’informatique en nuage est devenue une technologie incontournable, qui a un impact
direct sur les cyberrisques et donc sur les mesures de protection envisageables. Dans le
cadre de la recherche sur les cyberrisques, il importe de savoir comment l’informatique
dans le nuage évolue, et quelles en sont les retombées concrètes sur la cybersécurité.
Thèmes de recherche possibles:
Protection de la sphère privée et des données dans le nuage: il faut analyser ici
les conséquences de l’essor des services en nuage pour la protection de la sphère
privée ainsi que des données personnelles. Des mesures techniques de sécurité
s’imposent (stockage des données, contrôle des accès, transmission). Beaucoup de
questions restent également à régler au niveau des droits et des devoirs respectifs
des usagers et des prestataires de services en nuage.
Forensique et informatique en nuage: l’informatique en nuage complique le travail
d’analyse forensique, faute d’accès physique à de grandes quantités de données qui
sont sauvegardées à divers endroits. Il faut donc mettre au point des instruments
techniques spécifiques et tirer au clair des questions juridiques.
Conscience des utilisateurs: beaucoup d’utilisateurs ne se demandent même pas
comment et où leurs données sont stockées. Il convient d’identifier les possibilités de
faire mieux comprendre aux utilisateurs la technologie du nuage informatique.
Exemples de questions de recherche: - Quelles sont les questions juridiques soulevées par l’informatique en nuage? - Comment peut-on repérer les activités illégales dans le nuage, et le cas échéant identifier
les coupables? - Quels sont les défis se posant dans l’optique de la protection des données? - Comment l’authenticité et l’intégrité des données stockées dans le nuage peuvent-elles
être garanties?
Rapport d’experts sur les thèmes les plus importants pour la recherche
23
3.3.3 Sécurité dans les FinTech
Description du thème prioritaire:
L’industrie financière a toujours assimilé de bonne heure ou anticipé les transformations
numériques de la société et de l’économie. L’introduction des technologies numériques et
de produits financiers complexes a chamboulé la branche dès les années 1970 et 1980.
Aujourd’hui, les technologies numériques sont devenues la norme depuis longtemps,
notamment pour les analyses et les modélisations économétriques, ou encore pour
l’enregistrement et l’exécution des transactions.
La prochaine grande étape de cette évolution est en cours, avec l’essor de l’industrie des
FinTech (mot issu de la combinaison des expressions «finance» et «technologie»). Les
principales applications sont à l’heure actuelle le «social trading» (conseil en placements
sur des plateformes sociales), le «robo-advisory» (services de conseil automatisés) ou le
«peer-to-peer (P2P) lending» (prêts d’argent entre particuliers).
Le potentiel de marché est souvent encore peu clair, et les risques de ces nouvelles
applications restent méconnus. Il reste donc un vaste travail de recherche fondamentale
à accomplir dans ce domaine pour connaître les effets des FinTech sur l’industrie
financière et sur les cyberrisques.
Pertinence:
Les FinTech suscitent un vif intérêt dans le monde entier, auprès des médias comme des
praticiens. La Suisse est résolue à jouer un rôle de premier plan dans ce secteur. Or
l’importance des FinTech a beau être reconnue des praticiens et du monde politique, il
n’y a pas encore de discours académique sur la place et l’influence de cette technologie.
Il existe donc un clair besoin de recherche dans ce domaine.
Thèmes de recherche possibles:
Effets des FinTech sur l’industrie financière: on ignore encore jusqu’à quel point et
dans quelle direction les nouvelles technologies vont modifier l’industrie financière. La
recherche peut contribuer à mieux cerner le phénomène des FinTech et à en montrer
les conséquences possibles.
Dépendance accrue: la numérisation accroît la dépendance de l’industrie financière
vis-à-vis de ses fournisseurs informatiques. En cas de panne informatique à grande
échelle, le système financier risque de s’effondrer à son tour. Il s’agit d’examiner
comment l’essor des FinTech accroît les risques systémiques.
Nouveaux risques: les nouvelles technologies comportent également de nouveaux
risques. Là encore, on sait peu de chose aujourd’hui. Or plus on identifie rapidement
leurs risques potentiels, mieux l’industrie financière pourra s’y préparer.
Exemples de questions de recherche: - Les FinTech risquent-elles d’évincer du marché les intermédiaires financiers comme les
banques ou les assurances? Quel est à cet égard le potentiel des chaînes de bloc (technologie «blockchain») ou du «peer-to-peer lending»?
- Comment les FinTech affectent-elles les risques systémiques du secteur financier? Ont-ils tendance à augmenter, du fait de la dépendance accrue des services informatiques, ou alors diminuent-ils du fait de la structure décentralisée des FinTech?
- Aura-t-on encore besoin dans l’industrie financière de conseils d’experts, donnés de vive voix? Dans quelle mesure les robots-conseillers sont-ils acceptés par les clients?
- Quelle est l’influence des analyses de mégadonnées sur le négoce? Au vu de la quantité de données disponibles, les algorithmes sont-ils plus performants que l’être humain dans le négoce?
Rapport d’experts sur les thèmes les plus importants pour la recherche
24
4 Conclusion
Le rapport d’experts visait à atteindre trois objectifs: donner un aperçu des principaux
thèmes de recherche dans les différentes disciplines, aider à comprendre les gains
potentiels de l’interdisciplinarité, et enfin sensibiliser la politique de recherche au thème des
cyberrisques. Au vu de la diversité et de la richesse des thèmes évoqués, des avancées ont
certainement été obtenues pour les deux premiers objectifs. Le rapport a su montrer à quel
point le thème est vaste, et combien d’ambitieuses questions de recherche il reste à régler
dans les différentes disciplines. Il faut espérer que de nombreux chercheurs voudront bien
creuser dans leur activité ces thèmes complexes, mais importants et intéressants. Il convient
de répéter ici que le rapport n’a aucune prétention à l’exhaustivité. D’autres questions,
absentes du rapport, seraient certainement tout aussi pertinentes. En outre, les mutations
technologiques rapides font à tout moment apparaître de nouveaux défis.
Ce rapport est également un précieux instrument de sensibilisation de la politique de
recherche, en faisant ressortir la riche palette de thèmes existants. On aurait tort de réduire
la recherche sur la cybersécurité à des questions techniques, sachant qu’une approche
résolument interdisciplinaire augmente d’autant les chances d’aboutir à des résultats
pertinents. Le rapport vise à guider les futurs encouragements de la recherche sur les
cyberrisques.
Enfin, on ne peut qu’en appeler à tout un chacun – aux chercheurs comme aux promoteurs
de la recherche – pour faire progresser la recherche sur les thèmes indiqués dans ce
rapport. Dès lors que notre société utilise les technologies numériques, nous sommes
tributaires de leur niveau de sécurité. Or cette sécurité suppose d’analyser en profondeur les
problèmes existants et de formuler des solutions novatrices. La Suisse possède des hautes
écoles remarquables, où des travaux de recherche sont déjà menés aujourd’hui sur
beaucoup des thèmes énumérés ici. Il s’agit d’exploiter et de faire fructifier ce potentiel, afin
que la Suisse joue un rôle essentiel dans le développement et l’utilisation de technologies et
de méthodes de pointe dans le domaine de la cybersécurité, tout en étant en mesure de
protéger ses propres infrastructures face aux cyberrisques.