Souveraineté numérique: la Suisse se mobilise enfin!

Cédric Moret - ELCA 4 commentaires

La Suisse a, dans son Histoire, creusé des trous dans les Alpes pour assurer sa sécurité et préserver son indépendance et voilà que, sans combattre, le pays a confié le stockage d’une partie des données de l’Administration fédérale à des sociétés étrangères. L’appel à la chinoise Alibaba et aux américaines Amazon, IBM, Microsoft et Oracle, a surpris tous ceux qui s’inquiètent de la perte de souveraineté du pays, dans un des domaines clé de sa sécurité digitale. La Suisse, colonie numérique de la Chine et des États-Unis?

 

La décision a eu pour conséquences, heureuses, de réveiller les consciences. Une initiative parlementaire a été déposé à Berne, signée par tous les partis. En Suisse romande, la présidente du gouvernement vaudois, la Conseillère d’État Nuria Gorrite, a lancée l’idée d’un cloud souverain romand, un projet qu’elle entend mener avec la conférence latine des directeurs cantonaux du numérique. Et au bout du lac, un groupe de travail teste désormais la faisabilité d’un cloud sécurisé à l’intention de la Genève internationale.

Mais pourquoi est-ce important?

On ne connaît pas les détails des contrats cadres négociés par l’Administration fédérale avec les sociétés étrangères, mais une chose est certaine : sans réaction des nations européenne et de la Suisse, les GAFAM américains et les BATX chinois, qui gèrent déjà une partie de notre vie privée, vont faire main basse également sur les données publiques. «Imaginerait-on nos archives d’État en mains chinoises?», a demandé Nuria Gorrite. La Confédération avait jusqu’à présent une approche très libérale du dossier, estimant qu’il ne relevait pas du rôle de l’État. Or, on le sait désormais, il s’agit d’un aspect prioritaire de notre sécurité. Imaginez que la Suisse, au siècle passé, ait laissé des privés creuser leurs propres tunnels à travers les alpes, pour y faire passer des routes, trains et canalisations de gaz, sans aucun contrôle!

A ce stade, la bonne question à se poser est celle de savoir si le secteur IT du pays, privé ou public, est en mesure de prendre en charge le stockage de ces données en Suisse.

La réponse est non et oui!

Non, car il est illusoire d’imaginer, en Suisse, une entreprise de la taille des géants du net. Aucun prestataire helvétique n’a été retenu par la Confédération pour le contrat à 110 millions de francs, conclu en juillet. Même Swisscom a annoncé confier ses données à Amazon. Tout faire en CH jusqu’au dernier boulon, n’est pas réaliste, coûteux et surtout pas nécessaire.

Oui, si l’on considère qu’il y a plusieurs segments de marché possible: le marché grand public, dont l’offre relève nettement des géants du net, les commandes étatiques, avec des demandes de mise à disposition de stockage de donnée et finalement les «oubliés», à savoir tous les services sensibles pour la population, les entreprises et les organisations non gouvernementales et étatiques. C’est dans ce domaine clé que le secteur High Tech suisse a un rôle important à jouer, en partenariat avec le secteur public. Il est impératif que le stockage et le traitement des données, notamment, de santé, bancaires ou d’infrastructures sensibles, se fassent sur le territoire suisse, sous contrôle suisse. Bien entendu des coopérations avec les géants internationaux est nécessaire, mais de manière contrôlée.

Une prise de conscience nationale

La prise de conscience nationale, dans les milieux politiques et le grand public, de l’importance de la digitalisation au 21e siècle, pour éviter d’être dépendants d’infrastructures, plateformes et outils de fournisseurs étrangers, est salutaire. En ce sens, le projet de la conférence latine des directeurs cantonaux du numérique, et celui de la Genève Internationale, représentent une très bonne nouvelle.

Elca, comme société qui accompagne la transition digitale de la Suisse, est intéressée en premier chef par ce dossier et a développé 3 entités dédiées à ces sujets, avec une société offrant un cloud hybride, en collaboration avec les acteurs internationaux, une société dédiée à la cybersécurité et un nouveau centre d’opération de sécurité (SOC). Comme le dit très justement la Conseillère d’État Nuria Gorrite, «c’est aussi une formidable opportunité pour des sociétés locales, avec des créations d’emploi à la clé».

La Suisse doit relever le défi de sa politique d’industrialisation numérique, pour ces trente prochaines années. Elle doit soutenir un écosystème d’innovation locale. La Chine, en 20 ans, a rattrapé son retard, avec une feuille de route et des investissements clairs. Notre pays peut le faire, si les volontés publiques et privées s’y engagent. Pour cela, il faut que Confédération et cantons s’engagent à soutenir un secteur crucial pour l’avenir du pays.

La Suisse risque de perdre la bataille des talents

Yves Pitton - ELCA 3 commentaires

L’Accord-cadre entre la Suisse et Bruxelles a été enterré, le 26 mai 2021, et il n’y aura pas d’accord-cadre 2.0. Le Conseil fédéral vient de privilégier une approche sectorielle pour l’accès au marché européen et la réponse de l’Union européenne est attendue avec beaucoup d’impatience. Car l’éviction de la Suisse du programme Horizon, dont elle n’est plus qu’un état tiers, se fait sentir, avec des effets immédiats pour le secteur académique, avec des effets à moyen terme pour l’économique suisse.

La semaine dernière, le président de l’EPZ, Joël Mesot, invité à un débat à l’université de Genève, n’a laissé aucune ambiguïté sur les conséquences de ce déclassement: «Wir sind stark betroffen». Ainsi donc l’une des voix les plus importantes du monde académique suisse, à la tête de l’une des 10 meilleures écoles du monde, déclare que nous pourrions très vite perdre pied au niveau international.

Et qu’en est-il de toutes les sociétés, qui comme Elca, sont actives dans des domaines de pointe, comme l’IT? Pour citer une autre invitée de ce débat, la Rectrice de l’Université de Fribourg, nous disons: «Nous ne sommes pas en soucis pour demain mais pour après-demain».

La course au talent

Elca emploie environ 1’700 personnes, essentiellement des ingénieurs, spécialistes de secteurs comme le développement de logiciel, l’infrastructure cloud ou la cybersécurité. On y parle beaucoup de compétences et de confiance et le premier risque que fait courir à notre société le blocage actuel des discussions entre Berne et Bruxelles, est celui de perdre, à terme, l’accès aux talents. Nous le disons franchement, nous qui sommes l’une de plus grosses entreprises de la place à engager des ingénieurs de pointe, nous sommes suisses et fiers de l’être, mais nous irons là où se trouvent les bonnes personnes.

Actuellement, la qualité des universités et des hautes écoles suisses attire les meilleurs cerveaux de la planète. Nous n’avons aucun intérêt à voir le secteur académique suisse perdre de son attractivité. Or celui-ci se trouve relégué dans le deuxième wagon du nouveau programme “Horizon Europe”, décidé par la Commission européenne, doté d’un budget total de 100 milliards d’euros pour la période 2021-2027.

Un de nos défis est de garder dans nos sociétés et notre pays, les meilleurs talents dans les domaines stratégiques que sont, notamment, l’intelligence artificielle, le quantique, la cybersécurité, les développements technologiques. C’est une priorité.

Conserver l’attractivité de la place académique et économique

Elca a lié des partenariats, notamment avec l’EPFL où nous avons des bureaux, avec la Trust Valley, qui fédère le monde académique et les prestataires privés. Le «Center for digital trust» de l’EPFL est également très important pour toutes nos prestations. Nous ne sommes pas inquiets pour le court terme mais à moyen terme, nous craignons une perte d’attractivité de nos Hautes écoles. Google n’a pas choisi par hasard Zurich pour y installer son centre européen, avec 5’000 emplois à la clé pour de très nombreux informaticiens, formés dans nos hautes écoles. La Suisse attire des étudiants, professeurs, chercheurs du monde entier. Que se passera-t-il lorsque la Suisse aura perdu de sa force d’attractivité.

Tous les talents ont besoin d’être stimulés, confrontés à d’autres compétences. Les fonds européens permettent à de nombreuses sociétés suisses, engagées dans les secteurs de pointe, de financer des emplois, avec un effet multiplicateur. Ces employés travaillent avec des homologues européens et boostent des projets, qui avancent plus vite et profitent à la Suisse.

Cohérence politique

La Suisse a un système politique d’une très grande stabilité et cohérence, et cela est un atout pour l’économie. Nous ne devons pas perdre ces deux qualités. Ainsi la souveraineté du pays est fréquemment avancée pour refuser l’Accord-cadre et ses dispositions sur la Cour européenne de justice. Pourquoi dès lors, dans le même temps, la Confédération a-t-elle confié la gestion de ses données à 5 entreprises étrangères?

Les Hautes écoles comme l’économie suisse ont besoin d’une stratégie claire et inventive dans la gestion du dossier européen, pour éviter la marginalisation de la Suisse, dont nous aurions tous beaucoup à perdre.

Sommes-nous prêts pour la cyberguerre?

Christophe Gerber - ELCA 5 commentaires

La cybermenace est en train de changer de visage, à un rythme accéléré. Aux crimes crapuleux et demandes de rançon de ces dernières années, s’ajoutent, de plus en plus souvent, des opérations à buts politiques contre des personnes ou des états. Deux événements récents l’illustrent.

 

En janvier, le CICR, a été victime d’un piratage massif, sans demande de rançon, selon les annonces officielles. Rien d’étonnant à cela, au vu de la nature des données volées, qui pourraient bien être récupérées par une organisation étatique malintentionnée, pour lancer des actions à l’encontre de personnes ou de groupes de personnes.

 

L’Ukraine, de son côté, subit depuis quelques jours une attaque militaire conventionnelle, précédée par des années d’actions dans le cyberespace. Voilà bien là, l’un des nouveaux visages de la guerre en ce 21ème siècle. Ces attaques interpellent tous les citoyens, y compris en Suisse. Serions-nous prêts, si des infrastructures vitales pour le fonctionnement de notre pays étaient visées par un sabotage informatique? Ces derniers mois des régies, des administrations publiques, des commerces, des communes ont été piratés. Et si c’était, par exemple, notre approvisionnement en énergie ou notre système de transactions bancaires?

 

Le scénario du pire en Ukraine

L’Ukraine apparaît comme un véritable laboratoire à ciel ouvert pour les opérations cyber, au point que l’OTAN a affirmé une première forme de coopération avec elle en ce domaine. Les attaques que Kiev a subies, au cours de ces dernières années, ne se comptent plus. Tous les domaines stratégiques du pays ont été touchés, comme en 2015, lorsque la centrale électrique d’Ivano-Frankivsk avait privé une partie de la région d’électricité en plein mois de décembre.  Ou à la mi-janvier de cette année, lorsque des sites web et plusieurs agences gouvernementales ont été bloqués.

 

Des dizaines, voire des centaines de milliers d’attaques sont détectées chaque jour dans le monde. Toutes n’ont pas la même gravité ou les mêmes conséquences mais les cyberattaques et les désinformations sont bien les armes de la déstabilisation, en complément ou préparation à des attaques plus conventionnelles.

 

Nous sommes tous concernés

Il y deux sortes d’attaques informatiques:

  • celles qui visent le vol de données, qui peuvent toucher toutes les entreprises, organismes publics ou particuliers
  • celles qui visent à paralyser les services essentiels d’une entreprise ou d’un État, ce que l’on appelle la cybercoercition. Lorsque les tensions augmentent entre pays, ce sont ces infrastructures critiques, centres de distribution de services, d’énergie, banques, bourses, notamment, qui sont désormais ciblées par les cyberattaques. Pour contrer ce type d’infiltrations, il faut mettre en place une défense à la hauteur de l’intérêt stratégique des infrastructures et les anti-virus ne suffisent plus. Il faut être capable de détecter à temps des attaques furtives et complexes mais surtout de pouvoir y répondre, de remettre en état l’infrastructure affectée et possiblement de contre-attaquer.

 

Est-on prêts en Suisse?

La réponse est non. Il y a encore une grande naïveté dans notre approche, en ce domaine. Imaginons, le piratage informatique d’un service industriel, responsable de la distribution électrique de tout un canton. Des centrales électriques, des barrages, des éoliennes, voire des centrales nucléaires, pourraient être paralysés. Ce scénario est -il possible? Oui. La bonne question à poser désormais est la suivante: quels sont les moyens dont la Suisse veut se doter pour arriver à une protection adéquate?

 

Notre pays a finalement pris conscience de ce type de danger et des mesures de protection à prendre. La Commission de la politique de la sécurité du Conseil national s’est prononcé, il y a peu, en faveur de la mise en place d’un cloud souverain suisse. Un tel service servira comme une sorte de zone protégée afin d’y stocker des données sensibles et d’y faire fonctionner des services nécessitant un haut degré de protection. Le tout mis en place en collaboration publique-privée mais surtout sous la seule juridiction suisse.

 

Il est important aussi que la Suisse se dote d’une réelle capacité intégrée de cyberdéfense. Ce qui se met en place au niveau de la confédération est une première étape mais ne protégera pas notre économie ni les particuliers. Il faut pour ceci accélérer la mise en place d’un écosystème industriel de cyberdéfense. Ce réseau local d’entreprises spécialisées permettra de mieux détecter les attaques et surtout d’y répondre avec une réelle capacité d’intervention.

 

Dans le monde physique, le rôle et l’efficacité de l’armée, de la police et des entreprises de sécurité privées ont été démontrés. Il manque aujourd’hui ce même type de réseau dans le monde virtuel. Il est temps de passer à la vitesse supérieure afin d’assurer la survie numérique de nos infrastructures.

Des stades de football plus sûrs, grâce à la blockchain

Marc Mazzariol - ELCA 2 commentaires

Le hooliganisme n’est plus un phénomène réservé aux stades étrangers. Rencontres après rencontres, des débordements viennent entacher les matchs de football en Suisse et menacent la sécurité de ceux qui aiment le sport. Les derniers en date ont eu lieu après le match de quart de finale de la Coupe de Suisse, entre Yverdon et le Lausanne-Sport, avec des heurts à l’extérieur du stade et des dommages au matériel urbain. En décembre dernier, après des incidents à Zurich, Lucerne et Saint-Gall, la Conférence des directrices et directeurs des départements cantonaux de justice et police et la Conférence des commandants des polices cantonales de Suisse ont estimé que le maintien du statu quo n’était plus une option. En 2019 déjà, la Conseillère fédérale Viola Amherd, ministre des sports, avait promis de durcir le ton, face à ceux qui cherchent «la castagne».

Des billets personnalisés pour entrer dans les stades 

On s’achemine vers l’introduction de billets personnalisés pour entrer dans les stades. Cela dit, la perspective provoque des réactions enflammées, du côté du noyau dur des fans de football. Le blocage est historique. Même la Swiss Football League, n’y est pas favorable, mettant en doute l’efficacité de ces mesures et redoutant qu’elles ne dissuadent les supporters de se rendre aux stades. Des réactions qui se comprennent, à la sortie d’une période de pandémie qui a mis les nerfs de tout un chacun à rude épreuve. Cependant, il faut savoir que la blockchain peut réconcilier tout le monde. Aujourd’hui déjà, le groupe ELCA, via sa solution TIXnGO, peut assurer le traçage des billets délivrés lors des plus grandes manifestations sportives internationales de football. Et permettre à l’organisateur de connaître l’identité de dizaines de milliers de supporters qui remplissent un stade. Le système SecuTix a été adopté par de grands clubs comme l’Ajax Amsterdam.

Qu’apporte la blockchain?

Les utilisateurs achètent leurs billets comme d’habitude sur le site internet du club et reçoivent un courriel pour télécharger une application. Les billets sont accessibles dans l’application une fois que l’utilisateur s’est identifié. L’application permet à l’utilisateur de transférer un ou plusieurs billets à des proches. Les destinataires reçoivent à leur tour un courriel, téléchargent l’application, s’identifient et obtiennent les billets.

Toutes les personnes qui ont reçu des billets sont connues de l’organisateur. Ce dernier peut à tout moment révoquer un billet. A noter que cela permet aussi à l’organisateur d’envoyer une notification en temps réel à tous les possesseurs de billets. Fonctionnalité qui a d’ailleurs été très utile en cette période de COVID.

Le système est parfaitement sécurisé et évite la copie et la fraude de billet. En effet, le code-barre qui permet de passer le portique d’entrée n’apparait que quelques minutes avant l’événement, limitant ainsi les possibilités de transactions frauduleuses. La blockchain privée basée sur Ethereum garantit la traçabilité de tous les transferts de billets.

La sécurité des données personnelles (nom, prénom, email) est assurée par un stockage des données sur une zone sécurisée de la mémoire du téléphone et sans stocker aucune donnée personnelle en clair dans la blockchain.

Est-ce que cela pourrait fonctionner chez nous?

Le système ELCA, via sa solution TIXnGO, est déjà adopté par de nombreux acteurs internationaux majeurs du monde du football, du golf, du cricket, du tennis ou de la culture. En Suisse romande, le Paléo a été l’un des pionniers. Mais peut-on demander à tout un chacun de s’enregistrer, me direz-vous? Les supporters ne vont jamais vouloir télécharger l’application? Faux. Le système marche pour de grandes manifestations et des stades de plus de 40’000 places ont été remplis quasi exclusivement sur la base de cette technologie. Question de génération alors? Faux encore, sa simplicité la met à la portée de tout un chacun, quel que soit son âge.

L’organisateur d’une manifestation sportive a tout intérêt à connaître son public, si on lui prouve que la technologie pour le faire est simple et fonctionnelle et qu’elle ne va pas dissuader les fans de venir au stade. Ces derniers souhaitent également, sans doute, participer à des matchs, en toute sécurité. Seuls les casseurs et les fraudeurs seront impactés par ce supplément de contrôle. Ce qui, avouez-le, n’est pas un problème.

Soyons clairs: Toutes les mesures prises n’éviteront pas les incidents. Les contrôles aux aéroports ne suppriment pas le terrorisme. Il le limite. C’est déjà un grand progrès.

Cyberattaque: il est urgent de se protéger!

Christophe Gerber - ELCA 1 commentaire

Plus personne n’est à l’abri! Qu’on se le dise. Le phénomène des cyberattaques a pris une ampleur telle que plus personne ne peut parier qu’il ne verra un jour ses données personnelles, bancaires ou médicales, jetées en pâture sur la place publique.

 

Il y avait eu l’an dernier les cyberattaques contre les villes de Morges ou de Montreux. Puis contre des PME, chaînes de magasins, régies immobilières, administrations. Et voilà qu’un nouveau palier a été franchi, la semaine dernière, avec la cyberattaque contre le CICR. Les pirates numériques ont plongé cette fois-ci dans les serveurs de l’organisation pour voler les données de plus de 500’000 personnes vulnérables, séparées de leur famille, dans des situations de crise, disparues ou détenues. Ce que redoutait l’organisation, une des craintes majeures de l’organisations depuis des années, est devenu réalité, au point que l’ancien directeur général de l’organisation, Yves Daccord, parle de «risque réputationnel majeur». Le CICR s’est engagé, sur une base de confiance, à conserver la confidentialité absolue des données qu’il collecte. Même si l’on ne semble pas connaître les auteurs de l’opération, même si l’on ne sait si ces données seront publiées et à quelle fin, il se pourrait bien que les motivations des pirates ne soient pas forcément financières mais politiques. On tremble à l’idée qu’elles ne tombent dans des mains hostiles, d’organisation ou de gouvernement, avec des vues géostratégiques précises. C’est une mine d’or.

 

Nous sommes tous concernés

Il faut penser de toute une urgence à un cadre légal, des réponses diplomatiques, une nouvelle grammaire de la sécurité, à l’heure du grand banditisme numérique. La Suisse, terre d’accueil des organisations humanitaires, état neutre et dépositaire des grandes conventions internationales, a un rôle central à jouer. Il semble que le ministre de affaires étrangères Ignazio Cassis s’y emploie.

 

L’attaque contre le CICR est un point de bascule. Elle met en évidence, pour tous ceux qui en doutaient encore, la valeur inestimable des données publiques ou privées. Elle exige des actions sur le plan politique, légal et technologique pour résoudre le problème de stockage et de sécurisation des services numériques.

 

Concernant les ONG, on évoque un traité international pour un espace humanitaire numérique. Mais les entreprises et les particuliers sont tout autant concernés. Imaginons l’attaque d’une PME travaillant avec des outils connectés. Sa production pourrait être bloquée durant des semaines voire des mois, au risque de la faire disparaître. Imaginons une famille classique, qui possède comme tout un chacun aujourd’hui un pc, téléphone mobile, connexion internet, dont les enfants font du «gaming», les parents du télétravail, des achats en ligne etc. Cette famille est à la merci des pirates.

 

Une chance pour la Suisse?

Le phénomène des cyberattaques a poussé des sociétés comme ELCA, jusqu’à présent plutôt orientée vers les grosses entreprises, à développer des propositions de sécurisation des données pour PME et collectivités. Un état de lieux et des propositions d’amélioration de la protection que l’on peut considérer comme une sorte de check up de l’outil numérique, à l’heure du banditisme sur le net. Pour les particuliers, ELCA agit désormais en partenariat avec des assurances cyber. Les besoins sont énormes, tant du côté des particuliers que des PME, notaires, médecins ou tous les autres acteurs sociaux.

 

A tous les niveaux, du particulier aux grandes organisations, il faut une mobilisation massive pour répondre aux cyberattaques. L’enjeu est de transformer la catastrophe en opportunité, pour la Genève internationale, pour la Suisse et pour ses entreprises de la High tech.