Recherche sur les cyberrisques en Suisse - Rapport d'experts 2017 sur les thèmes les plus importants pour la recherche - isb.admin.ch
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Département fédéral des finances DFF
Unité de pilotage informatique de la Confédération UPIC
Organe de coordination de la SNPC
Recherche sur les cyberrisques
en Suisse
Rapport d’experts 2017 sur les thèmes les
plus importants pour la rechercheRapport d’experts sur les thèmes les plus importants pour la recherche
Publication Novembre 2017
Auteurs Isabelle Augsburger-Bucheli, Endre Bangerter, Luca Brunoni,
Srdjan Capkun, Eoghan Casey, Jacques De Werra, Myriam
Dunn Cavelty, Martin Eling, Sébastian Fanti, Solange
Ghernaouti, David-Olivier Jaquet-Chiffelle, Markus Kummer,
Vincent Lenders, Gustav Lindstrom, Martin Gwerder, Rolf
Oppliger, Evelyne Studer, Manuel Suter
Mandat Secrétariat d’État à la formation, à la recherche et à
l’innovation SEFRI
Unité de pilotage informatique de la Confédération UPIC
Responsable de Département fédéral des finances DFF
la publication
Unité de pilotage informatique de la Confédération UPIC
Schwarztorstrasse 59
CH-3003 Berne
Tél. +41 (0)58 462 45 38
info@isb.admin.ch
2Rapport d’experts sur les thèmes les plus importants pour la recherche
Sommaire
1 Introduction ................................................................................................... 4
2 Mandat, objectifs et approche ..................................................................... 5
2.1 Contexte.................................................................................................................. 5
2.1.1 Contexte national: stratégies et exigences politiques ............................................... 5
2.1.2 Contexte international: agendas de recherche d’autres pays et d’organisations
internationales .......................................................................................................... 6
2.2 Objectifs.................................................................................................................. 6
2.3 Approche ................................................................................................................ 7
3 Thèmes de recherche ................................................................................... 7
3.1 Classification des thèmes de recherche .............................................................. 8
3.2 Domaines de recherche ......................................................................................... 8
3.2.1 Protection de la sphère privée et des données personnelles .................................... 9
3.2.2 Sécurité des réseaux informatiques ....................................................................... 10
3.2.3 Cadre juridique ....................................................................................................... 11
3.2.4 Prévention et répression de la cybercriminalité ...................................................... 12
3.2.5 Détection des incidents et réaction, forensique informatique .................................. 13
3.2.6 Gestion des cyberrisques ....................................................................................... 15
3.2.7 Économie de la cybersécurité ................................................................................ 16
3.2.8 Sécurité des systèmes cyber-physiques ................................................................ 17
3.2.9 Cybersécurité dans les relations internationales..................................................... 18
3.2.10 Facteurs humains et sociaux de la cybersécurité ................................................... 20
3.3 Thèmes prioritaires: domaines, technologies et applications revêtant une
importance particulière........................................................................................ 21
3.3.1 Mégadonnées ........................................................................................................ 21
3.3.2 Cyberrisques et informatique en nuage .................................................................. 22
3.3.3 Sécurité dans les FinTech ...................................................................................... 23
4 Conclusion .................................................................................................. 24
3Rapport d’experts sur les thèmes les plus importants pour la recherche
1 Introduction
Les cyberrisques ont cessé depuis longtemps d’être assimilés à une hypothétique menace à
venir. Ils constituent pour les États comme pour les institutions publiques, pour les
entreprises ou les particuliers une réalité qui entraîne des coûts élevés, tout en ébranlant la
confiance générale envers les nouvelles technologies. Le spectre des cyberrisques s’étend
aujourd’hui de la simple défiguration de sites Web aux actes d’espionnage ou de sabotage
ciblés commis aux dépens d’États, d’infrastructures d’importance vitale ou d’entreprises, en
passant par les activités criminelles comme le phishing ou le chantage basé sur des
attaques par déni de service (DoS).
Au vu de l’évolution rapide des cyberrisques, il n’est pas aisé aux hautes écoles et aux
autres institutions de recherche d’organiser leur activité scientifique pour contribuer à une
meilleure compréhension de cette problématique. Beaucoup de hautes écoles ont certes
réalisé l’importance de l’enjeu et intensifié leurs travaux. Mais force est de constater que
dans bien des domaines, les connaissances spécialisées laissent encore à désirer. Ces
lacunes ne sont pas seulement dues à la dynamique propre aux cyberrisques, mais tiennent
aussi à la difficulté de maîtriser un thème aussi résolument interdisciplinaire. L’analyse des
questions touchant aux cyberrisques est traditionnellement du ressort des sciences
informatiques. Cette recherche technique demeure importante pour bien comprendre le
problème. Cependant, les connaissances techniques sur les cyberrisques ne suffisent pas
pour appréhender ce thème dans toute sa complexité. Il importe encore de savoir à quelles
incitations économiques ou politiques est due l’augmentation rapide des cyberrisques,
comment on pourrait apprendre à la société à bien gérer les cyberrisques, et quelles sont les
mesures juridiques à prendre pour atténuer le problème.
La recherche des hautes écoles, fortement structurée par discipline, peine à s’approprier les
nouveaux thèmes interdisciplinaires. D’une part, il manque souvent une compréhension
commune du thème en question, d’autre part, la politique de recherche n’incite guère à la
recherche interdisciplinaire. Pourtant, il serait crucial pour la société, pour l’économie et l’État
que les compétences existantes soient renforcées dans les différents domaines et dûment
mises à profit, conjointement avec le savoir d’autres disciplines, afin que la recherche
contribue à une meilleure compréhension des cyberrisques.
Le présent rapport entend apporter sa contribution sur ce terrain. Il passe en revue les
thèmes de recherche jugés particulièrement prometteurs par un groupe interdisciplinaire
d’experts issus des hautes écoles suisses. Ces experts ont brièvement décrit chaque thème,
puis identifié les champs de recherche importants avec une série de questions de recherche.
Il ne s’agissait pas seulement de signaler aux chercheurs des différentes disciplines les
questions de recherche potentiellement intéressantes que posent les cyberrisques, mais
d’encourager également leur compréhension commune de la recherche interdisciplinaire
dans ce contexte. Enfin, le rapport entend donner une impulsion à la politique de recherche,
afin qu’à l’avenir les projets interdisciplinaires menés dans le domaine des cyberrisques
bénéficient eux aussi d’encouragements ciblés.
4Rapport d’experts sur les thèmes les plus importants pour la recherche
2 Mandat, objectifs et approche
Avant la présentation des thèmes et questions de recherche identifiés, le présent chapitre
explique dans quel contexte le présent rapport d’experts a vu le jour et quels objectifs il
poursuit. On y voit encore comment le rapport a été réalisé et quels ont été les principaux
défis rencontrés pour l’identification des principaux thèmes de recherche en matière de
cyberrisques.
2.1 Contexte
2.1.1 Contexte national: stratégies et exigences politiques
Le présent rapport marque l’aboutissement d’un projet lié à la stratégie nationale de
protection de la Suisse contre les cyberrisques (SNPC). Cette stratégie mise sur
l’acquisition des compétences requises. Elle définit dans son champ d’action 1 la mesure
suivante:
«Les nouveaux risques en lien avec la problématique de la cybernétique doivent être
étudiés pour que les milieux de la politique, de l’économie et de la recherche puissent
être informés et prendre des décisions à temps. Le domaine de la recherche focalise
ses activités en fonction des tendances technologiques, sociales, politiques et
économiques pouvant avoir un impact sur les cyberrisques.»
Le Secrétariat d’État à la formation, à la recherche et à l’innovation (SEFRI) a été chargé,
avec l’organe de coordination de la SNPC, de la mise en œuvre de cette mesure. Or il est
apparu, après discussion avec les autres services fédéraux intéressés par la recherche sur
les cyberrisques, que la première chose à faire était d’identifier les principaux thèmes de
recherche, avec l’aide d’experts. Le présent rapport est le résultat de ces travaux.
Outre la SNPC, d’autres stratégies ou programmes de la Confédération ont une incidence
sur la recherche liée aux cyberrisques.
- Stratégie «Suisse numérique» du Conseil fédéral: cette stratégie vise notamment
à promouvoir la recherche et la formation dans le domaine de la numérisation.
Concrètement, on y lit ceci: «Pour répondre aux besoins de notre société et de notre
économie numériques […], il convient, dans le respect de la répartition des
compétences et de l’autonomie des hautes écoles, de promouvoir activement les
nouvelles offres de formation et de perfectionnement, mais aussi de soutenir les
centres de recherche et la création de chaires dans les universités. Le but est de
développer des compétences spécifiques dans l’analyse des données, l’innovation
basée sur les données, l’intelligence artificielle, la robotique et l’internet des objets.
L’examen des conséquences et des effets sociaux de ces technologies doit toutefois
aussi faire l’objet d’une observation particulière sous la forme d’une évaluation des
choix technologiques.»
- Stratégie nationale pour la protection des infrastructures critiques: l’un des
objectifs de la stratégie consiste à acquérir des connaissances scientifiquement
fondées en vue de la protection intégrale des infrastructures d’importance vitale. À ce
titre, il s’agit en particulier de suivre «les évolutions technologiques et celles de
l’environnement naturel et social susceptibles d’être à l’origine de nouveaux risques».
5Rapport d’experts sur les thèmes les plus importants pour la recherche
2.1.2 Contexte international: agendas de recherche d’autres pays et
d’organisations internationales
Divers pays ont déjà publié des stratégies, des programmes ou agendas de recherche sur le
thème des cyberrisques. Les récents exemples mentionnés ci-après montrent quels sont,
selon d’autres pays, les thèmes particulièrement importants dans le domaine des
cyberrisques:
- Allemagne: Sécurité et autonomie dans le monde numérique 2015-2020, programme-
cadre de recherche du gouvernement fédéral, publié en janvier 2016.
- Pays-Bas: Agenda national de la recherche en cybersécurité (II), rapport confié à un
groupe d’experts issus du monde académique par le gouvernement, publié en 2014.
- États-Unis: Plan stratégique fédéral sur la recherche et le développement en
cybersécurité, Conseil national de la science et de la technologie, publié en 2016.
Au niveau de l’UE également, différents projets visent à encourager la recherche sur les
cyberrisques. Deux projets surtout sont utiles pour identifier des thèmes de recherche:
- Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA):
Agenda stratégique de la recherche en cybersécurité, publié en 2015.
- Projet CyberROAD de la Commission européenne: inventaire en cours des travaux
de recherche consacrés à la cybercriminalité.
2.2 Objectifs
Selon le mandat figurant dans la SNPC et compte tenu du contexte décrit plus haut, le
présent rapport comporte trois objectifs:
1) Identifier les besoins de recherche dans les disciplines concernées: une liste de
thèmes et questions de recherche pertinents doit inciter les chercheurs des diverses
disciplines à mener les projets de recherche correspondants. Le rapport entend
inspirer et motiver professeurs, chercheurs et étudiants à s’occuper de l’un des
nombreux aspects des cyberrisques.
2) Motiver à développer la recherche interdisciplinaire: la liste de questions de
recherche faisant appel à différentes disciplines doit contribuer à créer une
compréhension commune du thème des cyberrisques, et par là encourager la
recherche interdisciplinaire. Comme le présent rapport aborde son sujet de diverses
perspectives, il aide les spécialistes à comprendre dans quelles autres disciplines
des questions similaires sont étudiées et où une collaboration interdisciplinaire serait
possible et judicieuse.
3) Sensibiliser la politique de recherche au thème des cyberrisques: le thème
ayant un caractère résolument interdisciplinaire, il incombe à chaque discipline de
déterminer où et pourquoi la recherche dans ce domaine est pertinente. Le rapport
cherche à donner une vue d’ensemble, afin de bien montrer au monde politique que
la recherche sur les cyberrisques requiert une approche large et dans la mesure du
possible interdisciplinaire, et qu’il faudrait encourager la communauté scientifique
dans cette voie.
Tous les acteurs concernés sont bien conscients que le rapport n’est qu’une première étape
en vue de la réalisation des objectifs définis. Mais il est important de la franchir pour parvenir
à une plus grande cohérence en Suisse dans la recherche consacrée aux cyberrisques, ainsi
que pour renforcer le réseau des chercheurs issus des différentes disciplines.
6Rapport d’experts sur les thèmes les plus importants pour la recherche
2.3 Approche
Pour mener à bien le mandat d’encouragement de la recherche figurant dans la SNPC, un
comité interdépartemental créé sous la direction du Secrétariat d’État à la formation, à la
recherche et à l’innovation (SEFRI) coordonne à l’échelon de la Confédération la promotion
de la recherche consacrée aux cyberrisques. Les membres de ce comité ont rapidement
réalisé qu’il leur fallait faire appel à des experts issus du paysage suisse des hautes écoles,
afin d’identifier les thèmes de recherche les plus féconds. La plupart des experts interrogés
ont accepté de collaborer au projet. Le groupe d’experts est formé de seize personnes:
- Isabelle Augsburger-Bucheli, Prof. Dr, Haute école de gestion Arc, Neuchâtel (HES-
SO)
- Endre Bangerter, Prof. Dr, Haute école spécialisée bernoise
- Luca Brunoni, LL.M / MA, Haute école de gestion Arc, Neuchâtel (HES-SO)
- Srdjan Capkun, Prof. Dr, EPF Zurich
- Eoghan Casey, Prof., Université de Lausanne
- Jacques De Werra, Prof. Dr, Université de Genève
- Myriam Dunn Cavelty, Dr, EPF Zurich
- Martin Eling, Prof. Dr, Université de Saint-Gall
- Sébastian Fanti, avocat, Canton du Valais
- Solange Ghernaouti, Prof. Dr, Université de Lausanne
- Martin Gwerder, Prof., Haute école spécialisée de la Suisse du Nord-Ouest
- David-Olivier Jaquet-Chiffelle, Prof. Dr, Université de Lausanne
- Markus Kummer, diplomate, conseil d’administration de l’ICANN
- Gustav Lindstrom, Dr, The Geneva Centre for Security Policy
- Rolf Oppliger, Prof. Dr, Université de Zurich
- Evelyne Studer, LL.M, Université de Genève
Un grand soin a été apporté à la prise en compte de différentes disciplines, ainsi qu’à la
participation tant des universités que des hautes écoles spécialisées. En outre, il importait
que les communautés linguistiques et les deux sexes soient représentés de manière
équilibrée dans le groupe d’experts. Lors de quatre séances communes organisées en 2016,
les experts se sont d’abord entendus sur les principaux thèmes de recherche, qu’ils ont
ensuite approfondis et soumis à des contrôles réciproques (examen par les pairs).
3 Thèmes de recherche
La numérisation, omniprésente dans la société et dans l’économie, fait que les cyberrisques
sont devenus un enjeu majeur dans beaucoup de domaines différents. Autrement dit, il
existe d’innombrables thèmes de recherche possibles sur ce terrain. Le défi le plus ardu du
groupe d’experts a consisté à sélectionner les plus importants et à les classer d’une manière
logique. Les thèmes exposés ici sont le résultat des discussions ouvertes menées au sein du
groupe interdisciplinaire. La liste ne prétend nullement être exhaustive ou définitive. Elle vise
toutefois à donner un aperçu des thèmes intéressants et pertinents, et par là à être une
source d’inspiration pour les chercheurs et une source d’information pour les décideurs du
monde politique ou économique.
Le chapitre 3.1 expose la méthode utilisée pour structurer les thèmes de recherche. Pour
bien comprendre le rapport, il est important de connaître les raisons ayant conduit à
distinguer et à classer dans une liste différente deux types de thèmes. La première partie de
cet inventaire (chap. 3.2) aborde les thèmes de recherche généraux, alors que les thèmes
de recherche figurant dans la seconde partie (chap. 3.3) se rapportent à des applications ou
technologies spécifiques.
7Rapport d’experts sur les thèmes les plus importants pour la recherche
3.1 Classification des thèmes de recherche
Les thèmes de recherche dans le domaine des cyberrisques se prêtent à toutes sortes de
classements. Le groupe d’experts les a passés en revue, avant d’opter pour une structure en
deux volets. Une première partie renferme les thèmes généraux de recherche; on y trouve
tous les domaines généraux et transversaux (par ex. la recherche sur la gestion des risques
ou celle sur la protection des données et de la sphère privée). La seconde partie – portant
sur les thèmes prioritaires – indique des thèmes touchant à des technologies ou applications
spécifiques et que le groupe d’experts a identifiés comme primordiaux, dans l’optique des
cyberrisques (par ex. la recherche sur les FinTech ou sur l’informatique en nuage).
Trois raisons expliquent la systématique choisie:
1) Interdisciplinarité de la recherche sur les cyberrisques
Une structure de classement typique correspondrait aux disciplines académiques
traditionnelles. Une telle délimitation aurait toutefois un caractère artificiel. En effet,
les cyberrisques étant un phénomène aux retombées multiples dans des domaines
variés, des approches interdisciplinaires s’imposent pour les analyser. Par exemple,
de nombreux thèmes de la recherche technologique soulèvent des questions
juridiques, et vice-versa. Le groupe d’experts a donc décidé de ne pas se référer aux
disciplines académiques pour établir sa liste de thèmes de recherche.
2) Recoupements inévitables entre les thèmes
Une autre possibilité consisterait à classer les thèmes par champ d’application et par
technologie. Il en résulterait toutefois de nombreuses redondances, parce que des
thèmes similaires se retrouvent dans beaucoup de champs d’application ou de
technologies. De tels recoupements subsistent même en cas de structuration par
champ thématique; il est vrai qu’on peut les signaler par des renvois au chapitre
concerné, afin que le lecteur sache où sont traités quels thèmes.
3) Degrés de spécification différents: domaines de recherche et thèmes
prioritaires
De nouveaux thèmes de recherche liés aux cyberrisques apparaissent d’ordinaire
lorsqu’une technologie voit le jour, quand une technologie existante donne lieu à de
nouvelles applications concrètes, ou encore quand de nouvelles applications
amènent à employer différemment des technologies existantes (par ex. informatique
en nuage, Internet des objets, analyse des mégadonnées). Le présent aperçu se
devait d’aborder aussi de tels développements. En l’occurrence, le groupe d’experts
a décidé de les examiner, avec les questions de recherche spécifiques qu’ils
soulèvent, dans des chapitres spécifiques intitulés «Thèmes prioritaires».
3.2 Domaines de recherche
Le groupe d’experts a identifié dix domaines généraux de recherche:
1) Protection de la sphère privée et des données personnelles
2) Sécurité des réseaux informatiques
3) Cadre juridique
4) Prévention et répression de la cybercriminalité
5) Détection des incidents et réaction, forensique informatique
6) Gestion des cyberrisques
7) Économie de la cybersécurité
8) Sécurité des systèmes cyber-physiques
9) Cybersécurité dans les relations internationales
10) Facteurs humains et sociaux de la cybersécurité
8Rapport d’experts sur les thèmes les plus importants pour la recherche
Ces dix thèmes font tous l’objet ci-après d’un sous-chapitre séparé. Chaque sous-chapitre
débute par une description générale du domaine de recherche, suivie d’explications sur sa
pertinence, puis d’une liste des principales interfaces avec d’autres domaines. Enfin, des
thèmes de recherche envisageables sont indiqués dans toutes les disciplines possibles, avec
des exemples de questions de recherche intéressantes. Ni la liste de thèmes, ni celle des
questions ne prétendent être exhaustives ou définitives. Il s’agit plutôt de donner une
impression des projets de recherche envisageables.
3.2.1 Protection de la sphère privée et des données personnelles
Description du domaine de recherche:
La forte augmentation des capacités de collecte, de conservation et d’analyse des
données pose de nouveaux défis pour la protection de la sphère privée et des données
proprement dites. En utilisant les services en ligne, les internautes partagent une grande
quantité de données – parfois consciemment (par ex. sur les médias sociaux) – souvent
aussi à leur insu, parce que leurs données sont subrepticement collectées, stockées et
exploitées à des fins commerciales. Les grandes entreprises, et parfois aussi les États,
ont la possibilité de surveiller de près le comportement des utilisateurs. Pour aggraver les
choses, les données ne disparaissent pas: les utilisateurs ont toutes les peines du monde
à faire valoir leur «droit à l’oubli» – soit à l’effacement d’informations les concernant.
La recherche ayant pour objet la protection des données et la sphère privée intéresse de
très nombreuses disciplines. Les thèmes évoqués ici relèvent des sciences informatiques
et de la cryptographie. Dans ces disciplines, le défi majeur tient à ce que les données
sont enregistrées et gérées de façon toujours plus décentralisée. La protection physique
des systèmes ne suffit donc pas à garantir une protection adéquate de la sphère privée. Il
faut lui substituer une protection logique, par des procédés cryptologiques servant à
l’authentification et au contrôle tant des accès que de l’usage fait des données.
Pertinence:
La protection de la sphère privée et des données pâtit de la numérisation toujours plus
poussée. Il est aisé d’utiliser de manière abusive les données souvent personnelles, et
l’absence de transparence quant à leur enregistrement et à leur gestion décentralisés
désécurise les utilisateurs. La recherche s’impose donc à tous les niveaux, pour
découvrir des solutions permettant d’améliorer la situation actuelle.
Domaines de recherche apparentés:
Détection des incidents et réaction, forensique informatique; cadre juridique; prévention
et répression de la cybercriminalité; gestion des cyberrisques; sécurité des systèmes
cyber-physiques.
Thèmes de recherche possibles:
Recherche cryptologique: la mise au point de procédés cryptologiques visant à
garantir l’anonymat ou le pseudonymat demeure un important domaine de recherche.
Ces procédés constituent la base offrant aux utilisateurs des solutions pour protéger
leurs données. Le développement du réseau Tor et les applications de vote
électronique reposent sur ces technologies.
Gestion de l’identité selon le principe de réduction des données: les systèmes
actuels d’identification reposent sur des certificats où figurent quantité d’informations
sur les utilisateurs (par ex. certificats PKI). Pour améliorer la protection des données,
il convient de mettre au point de nouvelles méthodes d’identification, renfermant un
minimum de données sur les utilisateurs.
Respect de la vie privée dès la conception (privacy by design): la protection de la
sphère privée et des données devrait déjà être envisagée lors du développement de
nouvelles technologies ou applications. Il s’agit pour la recherche d’élaborer les bases
correspondantes et de montrer les possibilités technologiques.
9Rapport d’experts sur les thèmes les plus importants pour la recherche
Exemples de questions de recherche:
- Quelles nouvelles technologies pourraient-elles aider les utilisateurs à reprendre le
contrôle de leurs données?
- Comment peut-on garantir la traçabilité de l’usage fait des données?
- Quelle importance l’informatique quantique revêt-elle pour les techniques de cryptage
existantes?
- Comment pourrait-on davantage insister sur la protection de la sphère privée et des
données, lors de la conception de systèmes?
- Quelles normes techniques pourrait-on développer et appliquer dans le domaine de la
protection des données?
3.2.2 Sécurité des réseaux informatiques
Description du domaine de recherche:
Internet a révolutionné notre société au cours des 30 dernières années. L’industrie, les
particuliers et les gouvernements sont devenus toujours plus dépendants
d’infrastructures de communication constamment opérationnelles et sûres. Or à l’heure
actuelle, tant les protocoles de communication que le matériel et les logiciels des
systèmes informatiques sont très fragiles, et des acteurs malveillants parviennent à les
compromettre avec des moyens rudimentaires. Les attaques par déni de service, le vol
de données ou le chantage sont le lot des organisations comme des particuliers.
La vulnérabilité des réseaux, combinée à notre forte dépendance de ces infrastructures,
s’avère un défi essentiel pour la cybersécurité. La recherche a ici pour tâche d’indiquer la
manière de renforcer sur ce plan la résilience et la robustesse des réseaux informatiques.
Il s’agit de déterminer quelles composantes des réseaux pourraient devenir plus sûres
avec quelles méthodes, et quelles sont les composantes devant être entièrement
repensées et conçues à neuf.
Pertinence:
La recherche peut apporter une contribution importante au développement de réseaux
informatiques résilients et résistants. Il s’agit à la fois de développer de nouvelles
technologies réseau intégrant la sécurité dès le stade de la conception, et de trouver des
méthodes propres à protéger les réseaux informatiques existants, faute de pouvoir
remplacer du jour au lendemain les infrastructures installées.
Thèmes de recherche possibles:
Architectures de réseaux sécurisés: l’architecture des réseaux doit être organisée
et gérée de façon à garantir la surveillance du trafic des données, afin de pouvoir
détecter rapidement une activité indésirable. Les exigences auxquelles l’architecture
est confrontée dépendent du degré de complexité des réseaux. Il s’agit donc pour la
recherche de montrer quelles solutions conviennent à quels réseaux, et de mettre au
point des architectures novatrices.
Sécurisation des protocoles réseau existants: beaucoup des protocoles utilisés
aujourd’hui ne cryptent pas les données transmises, d’où le risque que les données
soient lues, voire manipulées par des tiers non autorisés. Mais comme ces protocoles
sont très répandus, leur remplacement exigera beaucoup de temps. Il importe donc
de rechercher des solutions techniques permettant de sécuriser ces protocoles.
Nouveaux protocoles réseau sûrs: la mise au point de nouveaux protocoles réseau
sûrs est une contribution importante de la recherche à l’amélioration de la sécurité du
transfert des données au sein des réseaux et entre eux.
Réduction du rôle joué par le matériel informatique: la création de couches
d’abstraction et la virtualisation du matériel informatique atténuent en partie les
problèmes de sécurité des terminaux. Autrement dit, la moindre dépendance du
matériel constitue un moyen de renforcer la sécurité du réseau. Il s’agit d’analyser
plus en détail les possibilités et les limites de cette approche.
Intégration en toute sécurité des applications: la sécurité du réseau implique aussi
de se demander comment intégrer en toute sécurité les différentes applications. La
10Rapport d’experts sur les thèmes les plus importants pour la recherche
recherche développera de nouvelles méthodes destinées à valider et surveiller les
données transférées par les applications, à en limiter l’utilisation ainsi qu’à restreindre
les groupes d’utilisateurs.
Exemples de questions de recherche:
- Comment peut-on rendre nos infrastructures de communication plus robustes face aux
attaques par déni de service?
- Comment peut-on contrôler les logiciels et le matériel destinés aux applications et aux
systèmes, pour prévenir les failles de sécurité?
- Comment peut-on développer de manière sûre les logiciels destinés aux applications et
à l’infrastructure de communication?
- Comment pourrait-on mieux protéger les réseaux informatiques contre les maliciels et le
vol de données?
- Comment détecter plus rapidement les cyberattaques?
3.2.3 Cadre juridique
Description du domaine de recherche:
Face au vide réglementaire du monde numérique, les questions juridiques se posent
avec une acuité accrue et confrontent les législateurs à un casse-tête. La complexité et la
diversité des thèmes touchant à la cybersécurité font qu’il est très difficile d’anticiper au
niveau légal les développements, d’identifier à temps l’émergence de nouveaux thèmes
et de les traiter de manière exhaustive.
La recherche peut toutefois apporter ici une contribution importante, en enregistrant et en
analysant les données fondamentales. Elle aide à mieux comprendre les défis actuels et
les développements à venir. À partir de là, on voit comment on pourrait améliorer les lois,
où il faut en édicter de nouvelles et quel est l’impact à prévoir des changements apportés
aux bases juridiques. Les efforts de la recherche devraient viser à l’adoption d’un cadre
légal adéquat dans le domaine des cyberrisques.
Pertinence:
Le cadre juridique a une influence directe sur la gestion des cyberrisques. L’absence ou
l’insuffisance des bases légales, ainsi que les difficultés inhérentes à leur mise en œuvre
dans le contexte des cyberrisques engendrent l’insécurité juridique. D’où l’importance des
travaux de recherche sur les possibilités offertes par la législation. Une analyse du besoin
de légiférer a en outre une utilité pratique immédiate.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; prévention et répression de la
cybercriminalité; gestion des cyberrisques; cybersécurité dans les relations
internationales.
Thèmes de recherche possibles:
Aspects juridiques touchant à la protection de la sphère privée ainsi que des
données: la collecte automatique des données est d’ores et déjà au cœur de
nombreux modèles d’affaires. Or le cadre juridique en la matière laisse à désirer. Il
faut donc analyser comment les bases légales devraient être aménagées afin
d’accroître la transparence et l’obligation de rendre des comptes.
Bases juridiques de l’action étatique: les possibilités ou les limites des réactions
étatiques aux cyberattaques sont un sujet amplement débattu. Il est notamment
question des critères juridiques à remplir et des conséquences juridiques possibles
des activités de surveillance étatique ou des contre-mesures engagées par l’État en
cas de cyberespionnage. Dans le contexte helvétique, on se référera pour une telle
analyse à la nouvelle loi fédérale sur le renseignement (LRens) et à la loi fédérale sur
la surveillance de la correspondance par poste et par télécommunication (LSCPT).
Répartition des responsabilités: de nombreuses questions complexes liées au
partage des responsabilités se posent dans le domaine de la cybersécurité. Il faut
examiner qui sera tenu responsable le cas échéant (soit ce que peut en dire le droit
civil ou pénal). Cela suppose des décisions politiques sur les incitations économiques
11Rapport d’experts sur les thèmes les plus importants pour la recherche
et juridiques à prévoir pour les divers acteurs. Par ex., il convient de déterminer dans
quelle mesure les victimes d’une attaque pourront être tenues pour responsables (en
cas de vol de données notamment), ce qui pose encore la question des normes
minimales à édicter dans un but préventif.
Méthodes (alternatives) de résolution des conflits: la Suisse possède une longue
tradition d’arbitrage. Elle est ainsi prédisposée à jouer un rôle de premier plan dans
les litiges liés à la protection des données et de la personnalité. La recherche pourrait
fournir ici des idées et proposer des méthodes globales pour la résolution des conflits.
Exemples de questions de recherche:
- À quelles conditions juridiques un régime d’obligation de signaler les cyberincidents
devrait-il satisfaire? Quelles seraient les conséquences d’un tel devoir?
- Sur quelles bases légales des prescriptions pourraient-elles être édictées dans le
domaine des technologies de cryptage?
- Quelles incitations juridiques pourrait-on envisager afin qu’à l’avenir, la sécurité soit
mieux prise en compte lors du développement de logiciels?
- Comment devrait se faire la répartition des questions de responsabilité entre les
utilisateurs, les producteurs et les tiers?
- Faut-il obliger les producteurs de logiciels à faire preuve de transparence sur leurs failles
de sécurité potentielles?
- Quels sont les moyens légaux de repousser les cyberattaques? Où se situent les limites?
3.2.4 Prévention et répression de la cybercriminalité
Description du domaine de recherche:
Le préfixe «cyber» est devenu omniprésent à notre époque, quand il est question de
criminalité. Les ordinateurs et les réseaux offrent aux escrocs de nouveaux modes
opératoires, et du même coup les processus de poursuite pénale évoluent. Les nouvelles
technologies offrent constamment de nouvelles possibilités aux cybercriminels. Or il reste
crucial, d’un point de vue juridique et notamment pour préserver la sécurité juridique, que
les actes criminels fassent l’objet d’enquêtes, de poursuites et de sanctions dans ce
nouveau contexte également.
Un cadre juridique solide s’avère indispensable pour réduire la cybercriminalité. Mais il
faut aussi une bonne stratégie de prévention. Les recherches effectuées dans le champ
de la psychologie, de l’anthropologie, de la criminologie ou de la sociologie peuvent
contribuer à la mise en place de campagnes de prévention adaptées aux divers groupes
de la population.
Enfin, la collaboration s’avère décisive en cas de poursuite pénale. Elle implique
l’échange de renseignements entre les victimes et les autorités, ainsi que la coopération
au niveau international.
Pertinence:
Une prévention et une répression efficaces de la cybercriminalité requièrent des efforts
constants, de la part de tout le monde. Le précieux éclairage de la recherche s’avère
également nécessaire ici.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; cadre juridique; détection des incidents et
réaction, forensique informatique; gestion des cyberrisques; cybersécurité dans les
relations internationales; facteurs humains et sociaux de la cybersécurité.
Thèmes de recherche possibles:
Actualisation du droit pénal: alors que de nombreuses infractions commises dans
le cyberespace tombent sous le coup d’articles en vigueur du code pénal, d’autres se
situent dans la zone grise ou exploitent à dessein le vide juridique. Bien souvent, il
suffirait d’étendre l’interprétation du droit en vigueur à de tels cas. Cela vaut par
exemple pour le vol d’identité, qui n’est pas directement traité dans le code pénal,
mais que les dispositions en vigueur permettent néanmoins de sanctionner. Or une
12Rapport d’experts sur les thèmes les plus importants pour la recherche
telle approche n’est pas toujours envisageable. Il reste par conséquent à déterminer
quand et à quelles conditions de nouveaux articles de loi sont nécessaires.
Adaptation des poursuites pénales: les autorités doivent avoir les moyens
d’enquêter aussitôt sur les infractions commises par des cybercriminels, et de les
poursuivre de manière efficace. Il faut par ailleurs trouver un équilibre entre cette
exigence et les libertés individuelles des citoyens. Ce défi se pose notamment pour la
collecte et la conservation des preuves dans le monde numérique. Il importe donc
d’examiner quelles seraient les adaptations nécessaires, au niveau des processus
régissant les poursuites pénales.
Coopération internationale: la cybercriminalité ne s’arrête pas aux frontières. La
collaboration internationale dans le cadre des poursuites pénales s’avère dès lors
primordiale. Il convient d’en réexaminer les modalités pour rationaliser les efforts
entrepris. La Convention du Conseil de l’Europe sur la cybercriminalité, signée par la
Suisse en 2001, constitue ici un bon sujet de recherche. Les études comparatives
des mesures prises par d’autres pays dans le domaine de la cybercriminalité livrent
également un aperçu intéressant des activités envisageables pour l’éradiquer.
Réseau Internet invisible (darknet): les réseaux pair à pair (P2P), isolés à l’origine
du réseau public, offrent un marché attrayant pour les activités criminelles. Ils sont
difficiles d’accès aux autorités de poursuite pénale, et l’anonymat des acteurs y reste
préservé dans une large mesure. Un thème de recherche consisterait à examiner
l’influence qu’a le réseau Internet invisible sur les activités criminelles, avec les
possibilités qu’ont les enquêteurs pénaux de poursuivre lesdites activités déployées
dans le «darknet».
Exemples de questions de recherche:
- Faut-il définir de nouvelles infractions pour traiter les nouvelles formes de criminalité,
comme par ex. le vol d’identité, ou les bases actuelles sont-elles suffisantes?
- Les processus en place dans le domaine des poursuites pénales permettent-ils de faire
toute la lumière sur les actes cybercriminels?
- Jusqu’à quel point la coopération internationale actuelle est-elle efficace, dans la lutte
contre la cybercriminalité?
- Quelles possibilités les nouvelles technologies vont-elles ouvrir aux criminels?
- Quels sont les moyens déployés par d’autres États contre les cybercriminels?
3.2.5 Détection des incidents et réaction, forensique informatique
Description du domaine de recherche:
La spécialisation et la complexité croissantes des cyberattaques font qu’il est toujours
plus difficile de détecter et d’analyser les incidents. Les méthodes d’attaque et les
maliciels modernes parviennent à déjouer les mécanismes de sécurité, y compris les
antivirus et les systèmes de détection d’incidents. Même les organisations très sensibles
aux questions de sécurité, comme les banques ou les institutions étatiques, sont à tout
moment victimes de cyberattaques réussies.
Il est donc crucial de découvrir les incidents et d’y apporter une réponse rapide et
efficace, afin de circonscrire les cyberrisques. Aussi la recherche sur la cybersécurité a-t-
elle cessé de se concentrer sur les mesures de défense et de protection, pour mettre au
point des méthodes de détection, de gestion et d’analyse des incidents. Ces méthodes
apportent elles aussi une précieuse contribution à la prévention, dans la mesure où les
informations recueillies sur l’identité des agresseurs et sur leur mode opératoire sont
déterminantes pour adopter des mesures de protection adéquates.
La forensique informatique et l’analyse des incidents sont deux disciplines très proches.
Traditionnellement, la forensique informatique s’occupe de cas où les agresseurs ont
commencé leurs activités criminelles dans le monde réel. De telles investigations se
concentrent sur l’examen des supports de données. L’analyse des incidents, par contre,
s’occupe des attaques visant les infrastructures informatiques. Le lieu de l’infraction est
l’infrastructure informatique, et donc les données à examiner sont de nature technique,
13Rapport d’experts sur les thèmes les plus importants pour la recherche
par ex. le fichier journal, le trafic réseau, le code malveillant, les modifications apportées
au système, etc.
Ces deux disciplines ont en commun d’exiger une compréhension approfondie des
technologies. Dans les deux cas, le principal défi de la recherche est qu’il faut analyser et
contextualiser de gigantesques quantités de données issues de sources différentes. La
recherche en forensique informatique et en analyse des incidents joue un rôle majeur
dans différents domaines (appareils mobiles, réseaux, supports de données, systèmes
de santé).
Beaucoup de marchés clandestins ou d’activités illégales ont désormais un équivalent
numérique: de faux papiers, des médicaments falsifiés, des contrefaçons de montres,
etc. sont proposés dans le réseau Internet invisible. De tels produits causent un préjudice
direct tant à la protection des frontières qu’à la qualité des soins ou à la compétitivité de
l’économie suisse. Ces phénomènes appellent une réponse technique: il s’agit de
combiner les méthodes de forensique numérique avec d’autres méthodes fondées sur les
sciences sociales et humaines, qui recourent de façon systématique aux sources
accessibles au grand public (open source intelligence, OSINT).
Pertinence:
La pertinence découle de la numérisation croissante de la société. Les cyberattaques sont
devenues un réel problème et emploient des méthodes toujours plus raffinées. Or la
recherche et l’enseignement sur la gestion et les analyses d’incidents en sont restés à un
stade embryonnaire en Suisse, alors même que cette dernière constitue une cible
attrayante pour les cybercriminels.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; mégadonnées; informatique en nuage;
cadre juridique; gestion des cyberrisques.
Thèmes de recherche possibles:
Automatisation: une automatisation (partielle) des activités de détection et d’analyse
des incidents a pour effet d’accélérer sensiblement les processus. Elle peut aussi
conduire à la détection immédiate d’attaques et à l’exploitation de nouveaux
systèmes de sécurité, permettant une défense évolutive face aux nouvelles attaques
ou variantes de maliciels.
Consolidation, corrélation et présentation des données: comment peut-on
enregistrer et décrire de manière adéquate les incidents, au-delà de la simple collecte
des indicateurs usuels (indicators of compromise, IOC)? Il convient notamment de
citer ici les méthodes ou systèmes d’analyse qui détectent les attaques sur la base de
modes opératoires et non à partir d’indicateurs particuliers. De même, les systèmes
qui analysent les liens cachés entre différentes cyberattaques peuvent présenter un
intérêt ici.
Partage et utilisation du savoir: comme les technologies et les méthodes d’attaque
évoluent très rapidement, il est difficile de connaître toutes les nouvelles possibilités
forensiques, ou de retrouver celles déjà connues. La recherche pourrait contribuer à
la mise au point d’une systématique pour l’enregistrement des nouvelles
connaissances et pour la conservation du savoir existant.
Intégration de la forensique informatique dans les poursuites pénales et dans
les investigations de services de renseignements: il faut intensifier encore l’usage
des méthodes d’analyse les plus raffinées pour acquérir des connaissances utiles sur
les agresseurs. La forensique informatique permet d’identifier les agresseurs à partir
de leurs traces numériques, en établissant des profils comportementaux.
Forensique et analyse des incidents en phase avec les nouvelles technologies:
en réponse aux nouvelles technologies, comme l’Internet des objets, il faut prévoir de
nouvelles méthodes de forensique numérique.
Monitorage: bien des technologies ou des activités criminelles seraient mieux
comprises, à condition de surveiller systématiquement les échanges des groupes de
malfaiteurs sur les forums Web, sur les réseaux sociaux ou dans le réseau Internet
invisible. Le volume d’informations disponibles sur les diverses plateformes est en
hausse constante, d’où l’importance de prévoir une procédure systématique pour
14Rapport d’experts sur les thèmes les plus importants pour la recherche
l’analyse de ces informations.
Identification: des schémas comportementaux permettent d’identifier les
caractéristiques des agresseurs. En combinant de telles méthodes à la forensique
usuelle, on pourra identifier les auteurs des attaques.
Visualisation: l’analyse des incidents implique de parcourir de grandes quantités
d’informations. La visualisation aide les analystes à repérer les schémas typiques et
les anomalies.
Exemples de questions de recherche:
- Comment peut-on identifier la tactique des agresseurs, leur mode opératoire et leurs
processus respectifs?
- Comment les schémas comportementaux et d’autres caractéristiques propres aux
agresseurs peuvent-il servir à identifier les auteurs de cyberattaques?
- De quelle manière pourrait-on accélérer l’analyse des incidents? Quels sont les
processus susceptibles d’être automatisés?
- Comment pourrait-on tirer un meilleur parti de l’analyse des incidents et de la forensique
informatique, dans le cadre de la gestion des risques?
- Comment le savoir tiré de l’analyse des incidents pourrait-il être mieux exploité, à des
fins de prévention?
- Comment pourrait-on recueillir de manière systématique et ciblée (forums en ligne,
réseaux sociaux, réseau Internet invisible) des informations sur les acteurs de la
cybercriminalité et sur leurs tactiques?
3.2.6 Gestion des cyberrisques
Description du domaine de recherche:
Les cyberrisques connaissent une évolution très dynamique, tout en étant d’une extrême
complexité. Cette dynamique découle de la rapidité du développement technologique:
certains risques peuvent très vite devenir majeurs (ou alors insignifiants). Quant à la
complexité, elle tient aux multiples interdépendances des systèmes modernes, qui
rendent difficile sinon impossible d’évaluer les conséquences d’attaques fructueuses.
Ces deux caractéristiques constituent les principaux défis de la gestion des cyberrisques.
Toute recherche en la matière devra donc commencer par se familiariser avec la théorie
et les méthodes de gestion des risques. Il s’agit d’examiner s’il y a lieu d’adapter, et le
cas échéant dans quelle mesure, les méthodes existantes d’analyse des risques, afin de
tenir compte de la dynamique des cyberrisques et de leur complexité.
Au niveau opérationnel, des recherches s’imposent sur les instruments d’analyse et de
gestion des risques (cartographie des menaces potentielles, matrices des risques,
planification par scénario, etc.). De tels travaux serviront encore au développement
d’indicateurs destinés à rendre mesurables tant les risques proprement dits que
l’efficacité des mesures introduites pour y remédier.
Enfin, la gestion des cyberrisques comporte un niveau stratégico-politique. Il s’agit à ce
stade de savoir comment réagir collectivement aux cyberrisques. Entre autres thèmes
importants, il convient d’étudier le potentiel des partenariats public-privé, les limites et les
possibilités de l’échange d’informations, ainsi que des questions de réglementation
comme par exemple l’option d’introduire une obligation de signaler les incidents.
Pertinence:
Il est impossible de déjouer toutes les cyberattaques, d’où la nécessité d’une gestion des
risques, qui aide à évaluer la situation de manière réaliste et à fixer les bonnes priorités.
Or les méthodes éprouvées de gestion des risques font face, dans le domaine des
cyberrisques, à de nouveaux défis. Les travaux de recherche à ce sujet sont d’autant plus
importants que c’est à la gestion des risques de définir le cadre de toutes les actions
visant à protéger des cyberrisques.
Domaines de recherche apparentés:
Protection de la sphère privée et des données; cadre juridique; économie de la
cybersécurité; facteurs humains et sociaux de la cybersécurité.
Thèmes de recherche possibles:
15Vous pouvez aussi lire
