Cybersecurity Guards

Les choses se passent bien et nous sommes très heureux de la situation actuelle», déclare Martin Blatter. Il peut en effet l’être. Car le service de messagerie Threema, dont il est le CEO, connaît une croissance lente mais régulière. Il compte désormais plus de 10 millions d’utilisateurs et chaque fois que le leader du marché, WhatsApp, modifie ses conditions d’utilisation, un flot de nouveaux clients arrive. Comme à la fin du mois de mai. «Nous avons enregistré presque cinq fois plus de téléchargements quotidiens», assure Martin Blatter. L’annonce des nouvelles conditions de WhatsApp avait déjà apporté à Threema 1 million de nouveaux clients en janvier.

Parce que, pour la jeune pousse suisse, la protection des données et la confidentialité des utilisateurs sont une priorité absolue. Threema peut en effet être utilisé de manière totalement anonyme. Vous n’avez même pas besoin de donner votre numéro de téléphone portable ou votre adresse électronique lors de l’inscription. L’entreprise exploite ses propres serveurs dans deux centres de données situés dans l’agglomération zurichoise et ne sous-traite aucune donnée à Amazon, Google ou Microsoft. De toute façon, elles sont cryptées de l’expéditeur au destinataire, et même Threema ne peut les lire. Puis elles sont supprimées des serveurs après une transmission réussie.

«La vie privée est un droit de l’homme. Chacun devrait décider lui-même de ce qu’il révèle sur lui-même», explique Martin Blatter, qui ne se dit pas militant, mais cohérent: il évite les réseaux sociaux et il n’y a même pas de photos de lui en ligne.

Martin Blatter a étudié l’informatique à l’Université de Zurich et a ensuite fondé une société de logiciels appelée Relog. Puis, il a développé le moteur de recherche Search.ch, qui a été repris par La Poste. Par la suite, il est devenu CTO de la start-up Olmero, qui numérisait les appels d’offres de la construction et qui est devenue Renovero. En 2012, il a fondé Threema avec Silvan Engeler et Manuel Kasper.

Récemment, les trois entrepreneurs ont lancé Threema OnPrem, qui permet aux entreprises clientes d’utiliser les services de Threema sur leurs propres ordinateurs plutôt que sur les serveurs de Threema. «Cela a déjà suscité beaucoup de réactions, et des engagements fermes ont été pris par les premiers clients», assure Martin Blatter. D’autres suivront probablement. Les entreprises représentent déjà 70% du chiffre d’affaires de Threema, estimé à 60 millions de francs.

Theodora Dragan est avocate. Elle a travaillé sur des questions de protection des données pour le croisiériste MSC, à Genève, puis pour un cabinet d’avocats italien avant de rejoindre le CyberPeace Institute en Suisse. Sa spécialité est d’assurer la protection des données personnelles des consommateurs et des particuliers tout en maximisant la valeur de ces données pour les entreprises. Ce qui n’est pas une tâche facile. «La nouvelle législation en Suisse pose des défis majeurs aux entreprises et aux employés», explique Theodora Dragan.

L’objectif est d’aligner le droit suisse de la protection des données sur celui de l’UE. Mais la Suisse ira encore plus loin: «A l’avenir, les particuliers, et pas seulement les entreprises, seront également tenus responsables des violations de la loi sur la protection des données.» Une amende pouvant aller jusqu’à 250 000 francs sera infligée en cas d’infraction. Au niveau de l’UE, seules les entreprises sont sanctionnées, et non les particuliers.

En tant que présidente de la section suisse de l’International Association of Privacy Professionals et cofondatrice de la Swiss DPO Association, Theodora Dragan a un objectif principal: «Protéger les données tout en sécurisant les systèmes informatiques face aux cyberattaques, car ce sont les deux faces d’une même médaille.» Un but qui implique une obligation de déclaration pour les entreprises en cas de cyberattaque.

La numérisation, la gestion basée sur les données, les serveurs ayant une mémoire de plusieurs centaines d’années, tout cela est formidable. C’est moins bien lorsque ces systèmes sont attaqués ou piratés, en particulier si une entreprise n’a pas fait auparavant son bilan de santé informatique. C’est là qu’intervient l’association privée Cyber-safe.ch, fondée en 2018. Avec un label qui certifie, après un audit, que les PME et les municipalités disposent d’un équipement de cybersécurité approprié.

«C’est comme une ceinture de sécurité dans une voiture qui garantit une sécurité minimum», explique Christophe Hauert, cofondateur de Cyber-safe.ch, basé au Mont-sur-Lausanne. Pour ce politologue, actif depuis plus de dix ans dans le domaine des normes internationales et européennes, «Cyber-safe.ch ne vend pas de solutions informatiques, mais formule des recommandations en matière de sécurité sur la base d’un inventaire et vérifie leur mise en œuvre».

Les audits, dont les coûts varient entre 3000 et 10 000 francs suisses, sont généralement réalisés tous les deux ans. Il n’existe aucune garantie contre les attaques de pirates, mais les clients devraient être dans une position telle, au moment où ils obtiennent le label, qu’ils maîtrisent leurs mécanismes de sauvegarde, ont établi une sécurité de base et n’ont plus de lacunes critiques dans leur architecture informatique. Et donc qu’ils peuvent aussi reconnaître les e-mails de phishing.

Actuellement, 15 petites et moyennes entreprises suisses ainsi que des communes ont obtenu le label Cyber-safe.ch. Quinze autres communes devraient s’y ajouter dans un avenir proche. Christophe Hauert fonde de grands espoirs sur un partenariat avec une compagnie d’assurances qui proposera des polices de cybersécurité à prix réduit.

La défense commence dans la tête. C’est ainsi que l’on pourrait décrire la mission de Solange Ghernaouti. Cette professeure de cybersécurité, reconnue à l’international, donne des conférences, écrit et conseille les autorités, notamment l’ONU, le Département suisse de la défense et la Chancellerie fédérale, sur la manière de se défendre contre les menaces sur internet. Elle lance des avertissements et des mises en garde, mais sans grand effet puisque les choses se dégradent sur le plan international, qu’il s’agisse du logiciel espion Pegasus, des cyberattaques entre la Chine et les Etats-Unis ou des groupes de pirates informatiques russes, ce que Solange Ghernaouti appelle le «côté pervers» de la numérisation.

Pourtant, l’espoir était grand en 1987, lorsqu’elle a été nommée première professeure au département d’économie de l’Université de Lausanne. Auparavant, elle avait travaillé chez Rank Xerox, l’inventeur du réseau Ethernet. Solange Ghernaouti était déjà professeure avant qu’Apple, Google et Facebook ne deviennent énormes. Au début, elle a trouvé le monde numérique fascinant. Aujourd’hui, elle tente de sensibiliser les politiques, les entreprises et le public aux dangers de ce monde. Selon elle, il existe des moyens de défense relativement simples contre les attaques des entreprises par ransomware, comme ce fut le cas récemment chez Comparis. Les entreprises devraient mettre en place une sauvegarde des logiciels et du hardware afin de ne pas être vulnérables en cas d’extorsion. «Plus un système informatique est robuste et redondant, mieux c’est», telle est sa devise.

Parce qu’elle se rend compte que le public est difficile à convaincre avec seulement des rapports techniques, elle publie actuellement un blog de «fables de l’ère numérique». Avec des événements et des personnages fictifs. Il est plus facile de faire comprendre aux gens les problèmes de cybersecurité sous forme de récit qu’avec des cas abstraits, assure-t-elle. Les cyberattaques sont une sorte de guerre que personne ne déclare, car il n’y a pas de frontières claires dans le cyberespace. Selon Solange Ghernaouti, un pays qui tolère des attaques depuis son territoire ou qui permet à des particuliers de vendre des logiciels d’espionnage est un exportateur de matériel de guerre. Et cela devrait être interdit.

Ne vous bercez pas d’illusions. A un moment donné, l’attaque se produira, avec une plus grande probabilité qu’un accident industriel. C’est ainsi que commencent les présentations d’Öykü Isik, professeure de cybersécurité à l’IMD. Sa solution? Faites des exercices d’urgence avec vos cadres au cas où tous les systèmes informatiques seraient en panne. Son étude de cas «Faites cet exercice avec votre équipe aujourd’hui pour vous préparer à une attaque par ransomware» est une lecture obligatoire pour tous ses étudiants. Öykü Isik est spécialisée dans l’implémentation de techniques de résilience dans les entreprises. Car ce n’est pas tant la défense qui compte que la capacité à se remettre sur pied rapidement après une attaque, sans payer de rançon.

Cette quadragénaire a étudié l’informatique à Istanbul en 2000, dans une classe de 15 étudiants, dont trois femmes. En 2005, elle a obtenu un doctorat à l’Université du North Texas et, en 2010, elle a enseigné à la Vlerick Business School de Gand, en Belgique. Öykü Isik y a beaucoup expérimenté. C’est ainsi qu’elle a attiré l’attention de l’IMD. Elle y enseigne depuis l’année dernière. Elle se considère comme une vraie nerd, mais sans le côté introverti. Elle conseille d’ailleurs aux entreprises d’être «extraverties» après une cyberattaque. La transparence totale, c’est la seule façon de créer la confiance.

L’éthique du big data, c’est aussi son truc. Selon elle, il vaut la peine de dire la vérité aux clients sur l’utilisation de leurs données, en respectant le principe d’un «échange équitable», c’est-à-dire que vous recevez quelque chose pour vos données. Cela devrait être l’objectif de toute entreprise.

Alina Matyukhina veut améliorer la sécurité opérationnelle des bâtiments intelligents, connue dans le métier sous le nom d’«operational technology cybersecurity». Chez son employeur Siemens, elle associe les personnes aux processus et aux technologies, ainsi que le hardware et les micrologiciels aux technologies du cloud, afin de mieux protéger les infrastructures critiques, comme les hôpitaux, contre les cyberattaques.

Car ce ne sont pas seulement les logiciels qui sont vulnérables aux attaques informatiques, mais aussi le matériel. «Les capteurs, les contrôles et les passerelles connectés à internet qui n’ont pas été développés en tenant compte de la cybersécurité peuvent servir de porte d’entrée aux pirates et, dans le cas de cyberattaques contre des hôpitaux, peuvent mettre la vie des patients en danger», explique Alina Matyukhina, licenciée en sécurité des logiciels et en protection des données.

Elle a acquis ses connaissances théoriques et pratiques en Suisse, en Autriche, au Canada et aux Etats-Unis. Aujourd’hui, elle s’emploie à sensibiliser les entreprises et le public aux cyberattaques, qui non seulement corrompent les systèmes logiciels, mais mettent aussi en danger la sécurité et les finances des gens. Elle est également présidente du groupe de travail Smart Infrastructures du Swiss Cyber Forum, qui vise à créer un écosystème de cybersécurité en Suisse, et experte en cybersécurité auprès de Digitalswitzerland.

L’informaticien Raphael Reischuk est une des chevilles ouvrières de tout ce qui touche à la cybersécurité en Suisse. Il porte de nombreux casquettes. Son rôle le plus récent est celui d’initiateur et de cofondateur du National Test Institute for Cybersecurity (NTC). En collaboration avec le canton de Zoug et le gouvernement fédéral, il a mis sur pied l’année dernière un groupe de travail qui a élaboré un projet pour la création d’un institut suisse de test pour les appareils en réseau. Après un premier financement, le projet est maintenant réalité, depuis le début de 2021. Le démarrage a été réussi et la nécessité de tests indépendants ne se discute plus guère, assure Raphael Reischuk. Un projet important, par exemple, concerne les apps touchant le certificat covid, qui ont été testées à fond.

Raphael Reischuk est également associé et responsable des services de cybersécurité au sein de la société de conseil Zühlke, qui emploie environ 1500 personnes. Avant de rejoindre Zühlke en 2017, il était chercheur à l’EPFZ, où il a mené des recherches sur les architectures internet sécurisées et codéveloppé l’architecture internet SCION. Il est membre de plusieurs comités internationaux pour la sécurité de l’information et vice-président du comité de cybersécurité de Digitalswitzerland.

Les stratégies de Florian Schütz sont conçues pour aider à repousser les pirates et les criminels en ligne dans tout le pays. En tant que chef du Centre national pour la cybersécurité (NCSC), il gère un budget de 11,2 millions de francs suisses pour une meilleure sécurité de l’internet et des infrastructures en Suisse. Car comme toutes les nations, la Suisse est vulnérable dans ce domaine. Il n’est pas rare que l’on tente de faire du pays une plaque tournante des «cybermachinations» internationales. Plus de 80% des cyberincidents relèvent de la criminalité organisée, par exemple pour miner des bitcoins sans autorisation ou pour espionner des services de recherche.

Florian Schütz veut donc accroître la sensibilisation aux risques et les compétences en la matière dans toutes les institutions particulièrement exposées – des propriétaires d’entreprise aux exploitants ferroviaires en passant par les fournisseurs d’électricité. Et cela non seulement en formant des cyberspécialistes, mais aussi en promouvant les cybercompétences dans les professions et les secteurs économiques traditionnels. Un mécanicien automobile, par exemple, devrait être parfaitement au courant des aspects cybernétiques d’un ordinateur embarqué dans le véhicule. Florian Schütz souhaiterait former «une main-d’œuvre de pointe, possédant de vraies compétences, qui pourrait partir à l’étranger, acquérir de nouvelles expériences et revenir en Suisse pour aider les PME». Car encore trop d’entreprises n’ont même pas mis en place de simples protections de base dans les domaines informatiques critiques et non critiques, assure-t-il.

Can Yildizli a commencé à étudier la sécurité informatique à l’âge de 13 ans. En 2011, il a participé à un concours de cybersécurité du Ministère américain de la défense, qu’il a remporté. Can Yildizli, qui est né en Turquie, a commencé son doctorat aux Etats-Unis, à l’Institut polytechnique de Rensselaer, dans l’Etat de New York. Mais au bout de deux ans, il change de voie et fonde avec des amis la société de cybersécurité Prodaft, basée à Yverdon-les-Bains. Pour Can Yildizli, la sécurité et la neutralité de la Suisse en font le meilleur endroit pour une entreprise de cybersécurité qui doit traiter des affaires sensibles dans le monde entier.

«Depuis dix ans, mon équipe et moi-même travaillons au développement de nouvelles technologies pour surveiller les cybercriminels et nous défendre contre les cybermenaces potentielles avant qu’elles ne se produisent réellement», explique-t-il. Sur le plan personnel, basé à Lausanne, il consacre une partie de son temps libre à la lutte contre la maltraitance des enfants en ligne et d’autres formes de cybercriminalité. «Nous avons maintenant une petite équipe au sein de l’entreprise qui sacrifie son temps libre pour cela.»