Les conflits conventionnels s’intensifient aux portes de l’Europe. Qu’en est-il du cyberespace : les cyberattaques se sont-elles multipliées ou, au contraire, apaisées ?
Myriam Dunn Cavelty : Nous n’avons pas observé d’augmentation marquée au sens d’une escalade des cyberattaques. Au contraire, depuis des années, le cyberespace est utilisé de manière ciblée en dessous du seuil de guerre, dans le cadre d’une guerre hybride. Nous sommes donc confrontés à un état d’insécurité permanent que nous connaissons désormais relativement bien.
Les États-Unis et Israël ont brouillé les communications du régime de Téhéran pour lui faire perdre le contrôle de ses troupes avant de lancer les frappes aériennes.
Dunn Cavelty : Ce n’est pas nouveau. Depuis toujours, lorsqu’une armée envahit un endroit, elle essaie de perturber les communications de l’adversaire. La plupart du temps, ces activités relèvent de la guerre électronique, alors qu’aujourd’hui, des éléments cybernétiques s’y ajoutent. Par exemple, des caméras de surveillance ont été piratées afin d’identifier les schémas de déplacement des dirigeants. Les capacités cybernétiques américaines et israéliennes sont parmi les meilleures au monde.
À quoi le reconnaît-on ?
Dunn Cavelty : Ils ont les plus grandes compétences dans ce domaine et les ont très bien intégrées dans les processus existants. En effet, de bonnes compétences ne suffisent pas. On l’a vu avec la Russie, par exemple. Les Russes sont certes considérés comme une puissante cyberpuissance, mais en Ukraine, ils n’ont pas réussi à associer leurs capacités cybernétiques à leurs activités militaires.
En Iran, même les outils de surveillance les plus sophistiqués, utilisés par exemple pour reconnaître les femmes non voilées, n’échappent pas aux pirates. Une application de prière a également servi à diffuser de la désinformation ciblée à grande échelle. Comment un régime obsédé par le contrôle peut-il être aussi exposé ?
Dunn Cavelty : Parce que personne, pas même l’État le plus puissant, ne peut garantir une sécurité absolue dans le cyberespace, c’est tout simplement impossible. Il existe toujours des moyens de pénétrer dans un système informatique, si l’on y consacre suffisamment de temps et de ressources. Tout logiciel complexe présente inévitablement des vulnérabilités. On peut même trouver une porte dérobée dans des réseaux isolés de haute sécurité. C’est ce qu’a montré la cyberattaque la plus connue, Stuxnet, en 2010, qui a également touché l’Iran.
Vous voulez parler de l’attaque contre le programme nucléaire iranien, attribuée au Mossad et au Pentagone ?
Dunn Cavelty : En effet, le système n’était pas connecté à Internet : l’attaque a été introduite physiquement, via une clé USB. Comme nous l’avons évoqué, même les systèmes isolés ne sont pas totalement sûrs. Par ailleurs, un dispositif de surveillance à grande échelle, reposant sur un réseau de caméras, constitue un ensemble extrêmement complexe, composé d’éléments hétérogènes — et donc intrinsèquement vulnérable aux failles de sécurité. Cela vaut d’autant plus pour une application de prière, qui ne repose pas sur des technologies où la sécurité est prioritaire. La sécurité est toujours une question d’arbitrage, notamment en raison de son coût. Or, les systèmes mentionnés ont été conçus avant tout pour surveiller ou pour un usage religieux — et non pour garantir une cybersécurité maximale. Dans ces conditions, il n’est guère surprenant qu’une telle attaque ait pu se produire.
Quelle est la situation en Suisse ? Nous sommes régulièrement la cible d’attaques de pirates informatiques. Comment pouvons-nous nous protéger ?
Dunn Cavelty : La question reste toujours la même : qui est responsable de quoi ? Dans la Suisse fédérale comme dans d’autres pays, les responsabilités sont réparties : La lutte contre la criminalité et le maintien de la sécurité publique incombent aux cantons, la protection des infrastructures critiques aux opérateurs, mais dans le domaine cybernétique, chacun est en principe responsable de sa propre protection. Le rôle de l’État se limite donc en grande partie à l’évaluation de la situation, à la coordination et à l’aide en cas d’événements dépassant les capacités des différents acteurs – comme le montre également la Cyberstratégie nationale (CSN).
De quelle manière ?
Dunn Cavelty : Avec la stratégie nationale de cybersécurité (SNC), la Confédération et les cantons définissent des objectifs qu’ils entendent mettre en œuvre en collaboration avec l’économie, le monde scientifique et la société. Un point central consiste à renforcer l’autonomie de l’ensemble des acteurs — y compris celle de la population. En matière de cybersécurité, l’État ne dispose en effet que de leviers d’intervention limités. L’un des rares instruments à sa disposition est l’obligation de notification introduite l’an dernier par le Conseil fédéral. Celle-ci vise à améliorer la base de données disponible, mais aussi, indirectement, à inciter les exploitants d’infrastructures critiques à renforcer leurs capacités de détection et de gestion des cyberattaques majeures.
Il y a cinq ans, vous avez déclaré que la protection des infrastructures critiques en Suisse était insuffisante. Où en sommes-nous aujourd’hui ?
Dunn Cavelty : De manière générale, il est très difficile d’évaluer la situation, faute de données suffisantes. On peut toutefois partir du principe que, sur une base volontaire, les investissements en matière de sécurité restent insuffisants. La mise en place d’une réglementation uniforme se heurte en outre à la grande diversité des secteurs. Les normes minimales constituent une aide, mais elles ne permettent jamais d’éliminer totalement les risques. Au cours des cinq dernières années, une prise de conscience s’est néanmoins opérée : il ne suffit plus de se protéger, il faut aussi renforcer sa résilience. L’enjeu central est désormais de pouvoir rétablir ses activités le plus rapidement possible après un incident. Autrement dit, l’accent s’est déplacé de la seule défense vers la capacité à restaurer rapidement les fonctions essentielles.
Quelle est la position de la Suisse en comparaison internationale ?
Dunn Cavelty : Globalement, elle est comparable à celle d’autres pays. Mais là encore, les données fiables sont rares, notamment parce que le domaine est extrêmement vaste et complexe. En tant que pays riche, la Suisse permet à de nombreuses entreprises d’investir dans des solutions de cybersécurité performantes — et donc coûteuses. Le principal défi se situe plutôt au niveau des ressources humaines : le manque de personnel qualifié reste un problème important. À l’échelle mondiale, les plus grandes vulnérabilités se trouvent d’ailleurs dans les petites et moyennes entreprises, un segment particulièrement représenté en Suisse.
Quel est leur plus gros problème ?
Dunn Cavelty : Aujourd’hui, la plupart des entreprises dépendent, à un degré ou à un autre, des systèmes informatiques, jusqu’au boulanger, dont les processus de cuisson sont souvent hautement automatisés. Les petites entreprises, en particulier, disposent rarement des moyens nécessaires pour investir massivement dans la cybersécurité, et elles manquent souvent de spécialistes qualifiés. Cela relève aussi d’une logique de gestion des risques : les entreprises ne font pas face uniquement aux cybermenaces, mais à une multitude de risques différents. Dans ce contexte, il est difficile de déterminer précisément où et combien investir, car les arbitrages entre sécurité, coûts et priorités opérationnelles restent complexes.
Les ressources limitées sont-elles aussi la raison pour laquelle les municipalités sont toujours victimes de cyber-attaques?
Dunn Cavelty : Oui, les communes sont comparables à une PME en termes de taille et de ressources. Elles sont donc des victimes potentielles d’acteurs criminels qui tentent de les faire chanter avec des ransomwares.
Que conseillez-vous aux municipalités et aux entreprises qui souhaitent améliorer leur sécurité ?
Dunn Cavelty : Penser la sécurité de manière globale ! Ce n’est pas un problème purement technique. Et il faut absolument investir dans la résilience.
Quels sont les nouveaux thèmes à l’ordre du jour ?
Dunn Cavelty : Cette année, au Center for Security Studies de l’ETH Zurich, nous nous intéressons notamment à la souveraineté numérique, c’est-à-dire à la manière dont les États et les sociétés peuvent acquérir plus d’autonomie et de choix dans l’espace numérique, par exemple grâce à des solutions open source ou à une politique industrielle. Dans nos études, nous montrons les approches adoptées par d’autres pays et fournissons ainsi aux autorités suisses des bases de décision scientifiquement fondées.
Avec l’intelligence artificielle, les cyber-attaques sont devenues plus faciles, plus fréquentes et plus professionnelles. Le danger s’en est-il trouvé considérablement accru ?
Dunn Cavelty : L’équilibre entre sécurité et insécurité n’a en tout cas pas été complètement bouleversé. L’IA offre justement de grands avantages pour la défense : les systèmes de sécurité basés sur l’IA détectent les modèles et les anomalies dans le réseau bien plus efficacement que les programmes de protection traditionnels. De nouveaux risques apparaissent surtout dans la génération d’images et de voix dans la cybercriminalité. Par exemple, les tentatives d’escroquerie par deepfakes, où un prétendu parent en manque d’argent appelle.
Ce qui est certes grave pour les personnes concernées, mais pas pour la collectivité ?
Dunn Cavelty : Exactement. En matière d’intelligence artificielle, il faut rester particulièrement vigilant, car les émotions ont tendance à s’emballer. Une certaine panique a ainsi émergé lorsque des acteurs chinois auraient utilisé le modèle de langage Claude pour automatiser une attaque. Or, il est apparu par la suite que ces attaques étaient très mal conçues et, par conséquent, peu susceptibles de causer des dommages significatifs. Il faut donc rester prudent : ce n’est pas parce qu’une technologie est nouvelle qu’elle entraîne nécessairement un bouleversement majeur. Dans le cas des technologies émergentes en particulier, les effets réels diffèrent souvent des attentes initiales.
A quoi cela est-il dû ?
Dunn Cavelty : C’est parce que les gens développent et utilisent la technologie et qu’il y a tout simplement des limites à ce que l’on peut faire avec. Par exemple, nous avons appris au fil des ans à quel point il est difficile d’obtenir des effets physiques avec des moyens cybernétiques – par exemple, détruire quelque chose de manière irréversible. Les moyens tels que les drones y parviennent beaucoup plus facilement. Le cyberespace a donc perdu une partie de son caractère effrayant d’antan. Sa force réside surtout dans sa combinaison avec d’autres attaques, comme la reconnaissance ou la localisation de personnes. C’est dans le domaine du renseignement qu’il est le plus utilisé – et c’est sans doute là que réside le plus grand danger.
Vous disposez d’un savoir-faire considérable. Les tentatives de débauchage par des entreprises mondiales ou des petits États financièrement puissants sont-elles fréquentes ?
Dunn Cavelty : Très rare ! Mes connaissances sont probablement trop spécifiques. Je ne me laisserais pas non plus débaucher. Le Center for Security Studies de l’EPFZ m’offre des conditions idéales : Je vois ce qui préoccupe les acteurs politiques, tout en restant proche du développement technique d’une université de pointe. Il n’y a pas beaucoup d’endroits où cela est possible. Pour une expertise solide, il faut en outre un environnement comme la Suisse, où l’on a aussi la liberté de penser.
Vous êtes marié à l’écrivain à succès Gion Mathias Cavelty. L’envie vous prend-elle parfois d’utiliser vos connaissances et votre expérience pour écrire un roman qui se déroule dans l’espace numérique ?
Dunn Cavelty : Je le ferai peut-être quand je serai à la retraite ! Pour l’instant, je n’en ai pas le temps. Je suis occupée par des tâches de gestion et je fais beaucoup de coaching et de mentoring pour de jeunes collaborateurs. Le temps qu’il me reste, je dois le consacrer à mon propre contenu scientifique. Mais si j’écrivais un jour quelque chose, ce serait plutôt un roman historique.
Comment occupez-vous votre temps libre – à l’abri du cyberespace ?
Dunn Cavelty : Je me promène souvent avec notre Xoloitzcuintle, et le week-end, j’aime faire de longues randonnées. J’aime aussi cuisiner. Dans notre famille, nous regardons avec beaucoup d’enthousiasme toutes les émissions de cuisine, comme MasterChef Italia ou Top Chef France. Cela me donne parfois envie de faire quelque chose de plus difficile. Je fais aussi de la musique : je joue du piano et de la batterie, parfois avec ma fille. Et je ne suis pas non plus totalement paresseuse ou cyberprotégée pendant mon temps libre : je fais partie depuis de nombreuses années d’une communauté en ligne qui écrit des histoires sous des pseudonymes. Mais pas sur des sujets cybernétiques.
https://influence.ch/wp-content/uploads/2022/12/influence_Verlaeufe_V01_7.png
2169
2442
Matthias Halbeis
https://influence.ch/wp-content/uploads/2025/02/influence_Logo_FR_weiss-1030x277.png
Matthias Halbeis2025-05-26 13:52:072025-05-28 10:17:44La politique discutée dans des chats secrets
