Pour renforcer la responsabilisation de la Suisse dans la protection face aux cybermenaces, des mesures seront prises dans les domaines de la formation, de la recherche et de l'innovation, de la sensibilisation et de l'évaluation de la cybermenace, ainsi que de l'extension des capacités d'analyse des liens de dépendance et des risques.
Objectif: Responsabilisation
La Suisse renforce sa position de leader mondial en matière de connaissances, de formation et d'innovation, y compris dans le domaine de la cybersécurité. Elle utilise ces compétences pour évaluer de manière autonome les cyberrisques qui pèsent sur les chaînes d'approvisionnement, pour anticiper les développements technologiques et y réagir avec agilité. La population est informée des cyberrisques et gagne ainsi en confiance dans l'utilisation des services numériques.
Mesures
M1: Formation, recherche et innovation en matière de cybersécurité
Description
M2: Sensibilisation
M3: État de la menace
M4: Analyse des tendances, des risques et des dépendances
Description
Pour se protéger contre les cybermenaces, la Suisse a besoin de personnel spécialisé en suffisance. Il faut également s'assurer que la population possède les compétences de base pour faire bon usage des technologies et services numériques. Les établissements de formation et de recherche doivent privilégier la transversalité dans l'acquisition des compétences correspondantes, dans leur transmission et dans leur enrichissement.
La formation, la recherche et l'innovation ne sont pas seulement nécessaires pour renforcer la protection contre les cybermenaces. Elles doivent aussi et surtout contribuer directement au succès de la place économique suisse. État neutre possédant un niveau de formation élevé et un système d'innovation robuste, la Suisse entend tirer parti de ses atouts pour faire partie des leaders mondiaux des services et produits dédiés à la cybersécurité.
Contexte et actions requises
La Suisse dispose d'un réseau performant d'établissements de formation et de recherche. Elle a mis en place ces dernières années diverses possibilités de formation dans la lutte contre les cyberrisques. Ce n'est toutefois pas suffisant pour couvrir les besoins élevés de spécialistes de la cybersécurité au sein de l'économie, et la transmission des compétences dans le domaine de la cybersécurité n'est pas encore assurée à tous les niveaux de formation (école obligatoire, secondaire II et tertiaire, formation continue).
Ces dernières années, de nombreuses start-ups ont été créées en Suisse dans le domaine de la cybersécurité, et divers acteurs importants ont ouvert des succursales en Suisse. Une comparaison avec les régions leaders au niveau international ou avec la capacité d'innovation de la Suisse dans d'autres secteurs montre toutefois clairement qu'il faut continuer à améliorer les conditions cadres nécessaires à l'innovation en matière de cybersécurité.
Priorités
- Éducation:
Encourager à tous les niveaux la formation et le perfectionnement en matière de cybersécurité. Alors que la scolarité obligatoire doit avant tout permettre d'acquérir des compétences de base, la formation professionnelle (formation de base et formation professionnelle supérieure), l'enseignement supérieur et la formation continue nécessitent des offres ciblées, adaptées aux besoins du marché du travail. Afin d'encourager la formation en cybersécurité, il convient de tirer parti des instruments prévus dans la politique de formation de la Suisse qui ont démontré leur efficacité. Le personnel enseignant bénéficiera de matériel pédagogique adéquat et du soutien d'experts en vue de la transmission de compétences en cybersécurité et la coordination entre établissements de formation sera encouragée. Il s'agit de mettre en place en Suisse une offre plus large de cours et de filières de formation spécifiques (p. ex. pour le personnel des infrastructures critiques). - Recherche:
La recherche sur la cybersécurité est promue au travers des moyens actuels de la politique suisse en matière de recherche. Il est essentiel que les travaux de qualité menés en Suisse aient davantage d'effet sur les politiques, les milieux économiques et la société. À cet effet, il est nécessaire renforcer la coordination entre les différentes disciplines de recherche en matière de cybersécurité, dans le but de formuler et de communiquer des recommandations communes. - Innovation:
Mettre en réseau des acteurs afin de promouvoir l'innovation. Les échanges entre les hautes écoles, les entreprises et les autorités doivent encore être intensifiés. Les services fédéraux compétents encourageront, dans le cadre des possibilités légales, l'implication d'experts dans leurs diverses activités de cybersécurité, en tirant parti du programme Innovation Fellowship et des programmes similaires en place.
Acteurs principaux
- Confédération:
CYD Campus, NCSC, SEFRI - Cantons:
CCDJP, ISP, CDIP, CSHE - Hautes écoles:
toutes les hautes écoles suisses, SSCC, swissuniversities, Conseil des EPF - Économie / société:
Formation professionnelle suisse, associations du secteur des TIC, Innosuisse, ASST
Description
Des mesures de sensibilisation s'imposent, afin que la population suisse fasse usage des produits et services électroniques en ayant connaissance des risques qu'ils comportent. Le but est de parvenir à une réelle prise de conscience à grande échelle en matière de cybersécurité et de fournir des instruments qui encouragent une utilisation responsable des technologies et services numériques. Cela comprend également l'objectif en matière de protection des données, à savoir que les individus conservent le contrôle de leurs données personnelles, et les organisations garantissent la transparence quant à leurs méthodes de traitement de ces données.
Globalement, la sensibilisation vise à rendre la société plus résiliente face aux cyberrisques.
Contexte et actions requises
Beaucoup d'institutions, d'entreprises ou d'organisations sont déjà actives dans la sensibilisation à la cybersécurité, afin d'aider les entreprises et les particuliers à se prémunir contre les cyberrisques. Il faut toutefois une coordination accrue et une concentration des efforts actuels ou prévus, car il s'agit de sensibiliser les gens par groupe cible et par degré d’implication. À cet effet, il faut définir les groupes cibles et déterminer les mesures à prendre au plus près de chacun d'eux. Les expéditeurs coordonneront leurs messages, afin d'aider les destinataires à comprendre une matière parfois complexe par une communication équilibrée.
De nombreuses compétences existent déjà pour atteindre certains groupes cibles. Il s'agira par conséquent de continuer à tirer parti des comités et organisations en place et de leurs canaux de diffusion (p. ex. manifestations et revues spécialisées d'associations professionnelles, de groupes d'intérêt ou d'organisations faîtières).
Priorités
- Analyse des besoins:
Il convient de vérifier en permanence les besoins de sensibilisation et de prévention dans les différents domaines. Les incidents actuels et l'évolution de l’état de la menace serviront ici de point de départ, tout comme les estimations des autorités, des entreprises et des associations économiques sur le besoin de sensibilisation dans leurs secteurs respectifs. - Vue d'ensemble et coordination:
Les acteurs s'occupant de sensibilisation sont connus, et leurs échanges font l'objet d'encouragements ciblés. - Mesure des résultats:
Il convient de passer en revue les efforts consentis et les effets obtenus afin de déterminer le succès des mesures de sensibilisation adoptées et de les optimiser.
Acteurs principaux
- Confédération:
NCSC, OFPP, OFCOM, OFT, OFDF, OFEN, OFAS, OFAE, PFPDT, SRC - Cantons:
communes et villes, centres de compétence cantonaux en cybersécurité, corps de police cantonaux, CCDJP, PSC - Économie / société:
toutes les associations économiques ou professionnelles, les sociétés, les ONG et les entreprises qui le désirent pourront participer aux campagnes de sensibilisation, si c'est judicieux.
Description
Pour juger de l’état de la menace, il est nécessaire de déterminer quels acteurs exploitent ou pourraient exploiter quels vecteurs d'attaque et quelles vulnérabilités. On procédera à une pondération des menaces par la même occasion. L'évaluation de l’état de la menace qui s'ensuit doit fournir aux milieux économiques, à la société et à l'administration une base solide pour identifier et mettre en œuvre leurs mesures de réduction des risques de manière ciblée et à moindre coût. L'évaluation de la menace doit dès lors mettre en lumière non seulement les menaces globales et déployant des effets à large échelle, mais aussi les menaces spécifiques à certains processus ou domaines d'activité.
Contexte et actions requises
La Suisse a déjà défini les cybermenaces d'un point de vue tactique, opérationnel et stratégique et met à jour périodiquement les évaluations en question. Ces dernières se fondent sur l'observation des acteurs malveillants et des moyens effectifs et potentiels dont ils disposent, ainsi que sur les informations connues concernant les dégâts ou défaillances causés par les cyberincidents.
La progression de la transformation numérique des processus dans divers secteurs économiques augmente le besoin de procéder à des évaluations spécifiques de la menace qui pèse sur ces secteurs. En réponse à ce besoin, il convient d'assurer un traitement adapté des informations pertinentes sur les menaces. Ces informations relatives aux menaces sont ensuite transmises aux entreprises et aux autres organisations, en fonction de leurs besoins.
Priorités
- Développement du suivi de la situation, en se concentrant sur les acteurs représentant une menace tactique, opérationnelle ou stratégique pour la Suisse.
- Développement de l'évaluation et de la préparation des informations pertinentes concernant la situation. Mise à disposition à tous les niveaux pour les milieux économiques, pour la société et l'administration.
- Soutenir la création de centres de partage et d'analyse de l'information (ISAC) propres aux secteurs, et instaurer une collaboration étroite pour évaluer les menaces spécifiques.
Acteurs principaux
- Confédération:
SRC, NCSC - Cantons:
corps de police cantonaux, centres de compétence cantonaux en cybersécurité, offices informatiques, NEDIK - Économie / société:
CERT/SOC de l'économie, ISAC, prestataires de services de sécurité, SWITCH
Description
Il est essentiel pour la Suisse de comprendre l'ampleur de sa dépendance aux technologies numériques, son évolution et les risques qui en découlent. L'évolution dynamique des technologies numériques exige d'identifier de bonne heure les nouveaux développements et d'en comprendre les effets sur la sécurité. Une telle approche doit aussi aider la Suisse à se renforcer en tant que place économique développant et utilisant des technologies et des services numériques sûrs.
Une autre raison de procéder à des analyses vient de ce qu'aujourd'hui, les technologies numériques clés sont surtout produites à l'étranger. Or, il est important pour la Suisse de comprendre les dépendances qui existent par rapport à ces producteurs et les risques qui s'ensuivent. La Suisse doit pouvoir prendre des décisions souveraines, basées sur des analyses et des évaluations autonomes et indépendantes quant à l'usage qu'elle compte faire des technologies et services numériques.
Contexte et actions requises
Le Cyber-Defence Campus (CYD Campus) d'armasuisse a collaboré étroitement avec les hautes écoles et les milieux économiques afin de mettre en place un monitorage des technologies axé sur la cybersécurité. Les Académies suisses des sciences ont par ailleurs pour mandat d'évaluer les chances et risques des nouvelles technologies. La Suisse est par contre à la traîne dans l'analyse systématique des liens de dépendance et des risques inhérents aux produits informatiques.
Bientôt opérationnel, l'Institut national de test pour la cybersécurité (NTC) disposera des capacités d'examiner en détail l'exposition aux attaques des produits informatiques. Le NTC complétera et renforcera les capacités actuelles du CYD Campus et celles dont se dotent toujours plus souvent les entreprises de sécurité privées. De telles capacités sont nécessaires à toute évaluation indépendante de la sécurité des produits auxquels recourent par exemple les infrastructures critiques.
L'évaluation systématique des incidents recèle elle aussi un potentiel. Elle peut aider à mieux comprendre qui est visé par quelles attaques et à prévenir les attaques en question.
Cela suppose l'instauration d'échanges d'informations entre les autorités, les prestataires de services de sécurité et les hautes écoles, ainsi que la volonté des entreprises concernées d'informer de manière transparente sur les incidents survenus et leurs conséquences.
Priorités
- Mettre en place un monitorage des nouvelles technologies:
Le CYD Campus anticipe avec les hautes écoles les développements des cybertechnologies et partage les conclusions de cette veille avec les acteurs concernés.
Cyber-Defence Campus:
La surveillance des cybertendances gagne en importance chez armasuisse - Développer les compétences d'enquête sur les cyberincidents:
Examiner de plus près les causes et le déroulement des cyberincidents et exploiter systématiquement les résultats de ces investigations pour les caractériser. Encourager à cet effet, dans le cadre des possibilités légales, l’échange de données entre les autorités, les assureurs et les fournisseurs de services de sécurité. Les enquêtes seront facultatives pour les acteurs concernés et aideront à tirer les leçons des cyberincidents. - Faire examiner les produits TIC et les réseaux numériques par des centres de test basés en Suisse, comme le NTC, ou par des fournisseurs d'analyses de vulnérabilité et de tests d'intrusion. Le développement du NTC permettra de renforcer, conjointement avec les hautes écoles et le secteur privé ainsi qu'avec des partenaires internationaux, les compétences et les capacités de test présentes en Suisse pour l'analyse indépendante des risques inhérents aux produits TIC. Le CYD Campus renforcera également ses capacités à effectuer de telles analyses lors des préparatifs en vue d'un achat et de l'acquisition de produits TIC critiques pour la sécurité de la Confédération.
- Accélérer la mise en place du NTC qui fournira, avec le concours des hautes écoles et du secteur privé, des capacités d'analyse indépendantes des risques inhérents aux produits TIC.
- Analyser le degré de dépendance de la Suisse par rapport à des produits ou à des fournisseurs spécifiques. Les entreprises, les hautes écoles et les autorités définiront ensemble la manière d'effectuer ces analyses et de les mettre à jour en continu.
- Surveiller les applications de l'IA utilisées dans les infrastructures critiques:
Procéder à un monitorage régulier dans ce domaine, sur mandat de la Confédération et des cantons, afin de mieux comprendre les capacités de ces applications et leur impact sur la société. - Renforcer encore et mieux coordonner les échanges en place entre les centres de recherche dans le cadre du CYD Campus, des hautes écoles et de l’ASST.
Acteurs principaux
- Confédération:
CYD Campus, NCSC, TNI, SRC - Hautes écoles:
SSCC - Économie / société:
NTC, ASST, prestataires de services de sécurité
Dernière modification 05.03.2024
