Monsieur Schütz, l'usine intelligente est-elle en danger ?
Florian Schütz : Au contraire ! L'usine intelligente est une chance. Comment peut-on devenir compétitif autrement ? Il est toutefois essentiel que la gestion des risques correspondante ne se fasse pas seulement au niveau opérationnel, mais aussi au niveau stratégique. En outre, il faut des membres compétents de la direction qui puissent examiner ces risques de manière critique, adapter le cas échéant le modèle commercial et fixer des lignes directrices stratégiques. En bref, la cybersécurité est l'affaire du chef.
Comment évaluez-vous la situation dans les entreprises suisses ? Tout va bien ou y a-t-il lieu de s'inquiéter ?
Florian Schütz : L'éventail va des entreprises qui prennent le sujet très au sérieux à celles qui ne sont pas suffisamment protégées ou qui nient même le risque. Ce qui est plus grave, c'est qu'il y a des entreprises qui ont reconnu le problème, mais qui ne savent pas exactement ce qu'elles doivent faire. A cela s'ajoutent souvent des budgets serrés. Et le défi est encore plus grand du fait que le marché dans le domaine de la cybersécurité est très bruyant et que les fournisseurs n'utilisent pas seulement des arguments professionnels.
Que peuvent faire les entreprises pour maîtriser la sécurité de leurs systèmes numériques ?
Florian Schütz : Si la direction applique une gestion des risques rigoureuse en tenant compte des cyber-risques et prend en conséquence les principales mesures organisationnelles et techniques, une étape importante est déjà franchie.
Je recommande de commencer par les mesures techniques et organisationnelles là où peu d'efforts et de temps sont nécessaires. Dans un deuxième temps, il convient de s'attaquer aux risques les plus élevés. Il est également important de définir clairement les responsabilités, que l'on fasse appel à des spécialistes de la sécurité en interne ou que l'on externalise les tâches à une entreprise. Quelle que soit la solution choisie, la responsabilité de la cybersécurité est et reste du ressort de chaque entreprise ou institution.
"En tant que PME, nous ne sommes pas dans la ligne de mire des cyberattaques" - que répondez-vous à cela ?
Florian Schütz : Cette affirmation est fausse. Une PME ne dit quelque chose que sur la taille de l'entreprise, mais rien sur son domaine d'activité ou son degré de numérisation. Pour simplifier, on peut dire que les entreprises dont la numérisation est avancée sont aussi plus exposées en conséquence. L'importance géopolitique augmente le risque d'attaques par des acteurs étatiques ou parrainés par l'État, une valeur d'entreprise élevée augmente les attaques par des acteurs criminels. Mais des entreprises qui, à première vue, ne semblent pas attrayantes sont également concernées. En effet, certains attaquants sont actifs dans le commerce de masse. Ceux-ci essaient d'atteindre le plus grand nombre possible de cibles qui, certes, rapportent individuellement peu de bénéfices, mais qui nécessitent justement peu d'efforts pour l'attaque.
Actuellement, les médias parlent régulièrement de cybermenaces ou de cyberattaques. La situation s'aggrave-t-elle ?
Florian Schütz : Avec la numérisation croissante et les reportages qui en découlent, les entreprises et les particuliers sont de plus en plus sensibles au thème de la cybersécurité. En conséquence, les incidents sont plus facilement signalés et les victimes d'attaques sont plus souvent rendues publiques.
Outre la transparence accrue, le NCSC a effectivement enregistré une augmentation des annonces au cours des derniers mois. Celles concernant les attaques de ransomware ont notamment augmenté. Nous supposons que la raison en est d'une part que l'affaire est malheureusement rentable pour les pirates, car les victimes paient en partie, et d'autre part que les obstacles à la réussite des attaques sont trop bas.
Que fait la Confédération dans ce domaine ?
Florian Schütz : En créant le NCSC il y a un peu plus d'un an et demi, la Confédération a clairement montré que la cybersécurité est un sujet d'importance croissante.
La Confédération doit en premier lieu créer les conditions-cadres pour que les entreprises puissent mieux se protéger elles-mêmes, car en Suisse, la responsabilité de l'exploitation sûre des infrastructures informatiques incombe aux entreprises.
Le NCSC a par exemple mis en place l'année dernière un système de gestion des vulnérabilités qui sert d'intermédiaire entre les chercheurs en sécurité et les entreprises lorsque des vulnérabilités sont découvertes dans des produits.
Actuellement, une consultation est en cours sur l'introduction d'une obligation de notification pour les infrastructures critiques. Cela permettrait de mieux évaluer quelles infrastructures sont les plus menacées. De plus, les cyber-attaques pourraient être détectées à temps, leurs modèles d'attaque analysés et les exploitants d'autres infrastructures critiques avertis à temps. L'obligation de notification contribuerait de manière significative à l'augmentation de la cybersécurité en Suisse.
En résumé, on peut dire que beaucoup de choses ont été abordées. Mais il s'agit maintenant de consolider ces nouvelles structures et de les développer davantage. La politique devra en déterminer l'ampleur.
Où se trouvent les portes d'entrée des cyber-attaques ?
Florian Schütz : La liste est longue. Je vois toutefois les principaux dangers dans les systèmes qui ne sont pas tenus à jour, dans les grands systèmes informatiques parallèles dont on ne sait pas qu'on les a, dans les configurations erronées, dans les e-mails d'hameçonnage ou dans les fraudes au CEO et leurs variantes.
Notre secteur est fortement orienté vers l'exportation : Les chaînes d'approvisionnement internationales offrent-elles aux entreprises une plus grande surface d'attaque ?
Florian Schütz : Les chaînes d'approvisionnement n'entraînent pas nécessairement une baisse de la sécurité, selon la fiabilité des partenaires. Mais elles rendent le risque plus difficile à calculer et limitent la propre capacité d'action en raison des dépendances externes. Cela doit être pris en compte dans la gestion des fournisseurs.
Je suis en outre d'avis que tant les associations que les politiques doivent réfléchir aux domaines dans lesquels les entreprises suisses peuvent jouer un rôle clé dans les chaînes d'approvisionnement mondiales. En particulier dans les secteurs concernés par la géopolitique, cela peut constituer un levier pour garantir que les accords soient respectés. Un exemple intéressant est celui de l'entreprise néerlandaise ASML. C'est la seule entreprise au monde qui fabrique des machines pour la production de puces logiques ultramodernes. Bien que les Pays-Bas ne produisent pas eux-mêmes directement des puces, ils ont ainsi la possibilité de réagir si des livraisons leur sont refusées ou si des puces manipulées leur sont livrées.
Peut-on dégager des tendances en matière de cybercriminalité ? Quelles sont les dernières "arnaques" ?
Florian Schütz : Les cybercriminels sont très innovants et produisent sans cesse de nouveaux scénarios d'attaque. Chaque semaine, le NCSC fait état de nouvelles méthodes d'attaque dans ses rétrospectives sur son site Internet.
La professionnalisation des attaquants est également en hausse. Certains groupes se spécialisent dans des domaines partiels de l'ensemble de la cascade d'étapes criminelles. Certains groupes recherchent par exemple des points faibles de manière ciblée.
Tout comme les pirates informatiques s'adaptent aux circonstances actuelles, les entreprises doivent également vérifier et actualiser régulièrement leurs processus de sécurité.