Compte-rendu conférence “Cyberattack Reporting Obligation” du 23 septembre 2022
Le vendredi 23 septembre dernier s’est tenu à Lausanne la conférence « Obligation de déclaration des cyberattaques sur les infrastructures critiques« , organisée conjointement par le Center For Digital Trust (C4DT) de l’EPFL, la faculté de droit, des sciences criminelles et de l’administration publique de l’Université de Lausanne et la Trust Valley.
De nombreux intervenants ont partagé leur expérience et leur analyse concernant le projet de nouvelle loi du Conseil Fédéral sur l’obligation d’annonce pour les infrastructures critiques. En effet, le Conseil fédéral a décrit les cyberattaques comme » une menace sérieuse pour la sécurité et l’économie de la Suisse » et a proposé une loi pour une obligation de déclaration des cyberattaques sur les infrastructures critiques dans son communiqué de presse du 12 janvier 2022.
Cette conférence a réuni la Confédération, les secteurs public et privé et le monde universitaire pour discuter de l’obligation de déclaration proposée. Au travers d’études de cas de cyberattaques passées en Suisse et de simulations d’éventuelles attaques d’infrastructures critiques, la Trust Valley a souhaité sensibiliser les autorités communales, cantonales et fédérales, les fournisseurs d’infrastructures critiques ainsi que toutes les organisations impactées par cette loi aux cyber-risques et informer les PME et les organisations de Suisse Romande.
Pour le NCSC, il y a une nécessité d’avoir une base légale pour permettre aux institutions publiques d’agir en cas de cyberattaque. En effet, Manuel Suter, Coordinateur national pour la stratégie cyber à la Confédération, indique que le NCSC n’est pas autorisé à partager des informations avec qui que ce soit s’il n’y a pas de base légale pour cela. Il est, par conséquent, très important d’avoir des bases juridiques qui rendent transparentes où vont les informations que les victimes de cyberattaques partagent avec le NCSC.
1. Cyberdéfense et sécurité : mythes et réalités. Quelques leçons du terrain
Par Christophe Gerber, General Manager, ELCA Security
Dans son intervention, Christophe Gerber, General Manager chez ELCA Security, aborde les mythes et les réalités au cœur de la cybersécurité. Il énonce notamment que les premiers symptômes d’une attaque ne sont pas forcément évident à repérer. Les défaillances et ralentissements des systèmes, ainsi que d’autres événements qu’on ne parvient pas à expliquer, sont des signes potentiels annonciateurs d’attaques. Il évoque également l’idée que l’adversaire peut prendre des formes hybrides : une attaque peut être provoquée de l’extérieures comme de l’intérieur à une organisation. Les menaces internes ne doivent donc pas être négligées. Des incidents peuvent en effet être provoqués exprès, ou du fait d’une négligence. Au regard de ces éléments, pour se défendre efficacement, il faut avoir une approche holistique afin d’avoir une vision claire de son exposition aux risques, ceci pour être en mesure de se défendre en cas de crise. Il est important de mettre en place des suivis continus des équipes, ainsi que des formations, et d’avoir une vision claire de toute son infrastructure.
2. Les conséquences potentielles d’une cyberattaque sur le réseau électrique et comment faire face au risque associé
Par Gerald Hoschek, spécialiste de la sécurité, SwissGrid
Gerald Hoschek, spécialiste de la sécurité chez SwissGrid, lors de son intervention, insiste également sur l’importance de la formation en continue. Outre la montée en connaissances et compétences des personnes, il s’agit également d’analyser et de surveiller en continu l’infrastructure et le niveau de sécurité, pour s’adapter et l’améliorer en cas de besoin.
3. Au-delà de l’intervention d’urgence uniquement: fonctionnement de l’équipe d’intervention en cas d’urgence informatique de la Confédération suisse (GovCERT)
Par Reto Inversini, Head of GovCERT, NCSC
Reto Inversini, Head of GovCERT, du NCSC, a appuyé sur le fait qu’il est important d’investir dans les personnes, parce que ce sont elles – notamment les ingénieurs – qui créent des infrastructures résilientes. Il ajoute qu’il s’agit pour toutes les organisations de trouver un équilibre entre la prévention, la détection et la réaction. Il ne faut pas se focaliser uniquement sur un de ces aspects, mais sur les trois en même temps.
4. La révision de l’ISA du point de vue du NCSC
Par Manuel Suter, Coordinateur national cyber stratégie, NCSC
« Nous continuerons de dépendre de l’échange volontaire d’informations entre experts, et il est vraiment important pour nous que cela continue. Le partage obligatoire de l’information, l’obligation de reporter une cyberattaque , ne sert qu’à avoir une règle de base pour tout le monde afin que l’échange d’information continue de croître et que le niveau de confiance numérique augmente entre les acteurs suisses. C’est particulièrement important pour des cas tels que les ransomwares, où nous, Confédération constatons que de nombreuses entreprises sont touchées mais hésitent à partager, et nous ne voulons pas avoir cette situation. » explique Manuel Suter, coordinateur national cyber stratégie au NCSC.
5. Examen de l’obligation de déclaration au titre de l’ISA révisée
Par Pauline Meyer, Doctorante en cybersécurité, UNIL
Pauline Meyer, Doctorante en cybersécurité à l’UNIL, décortique le projet de loi sur l’obligation de déclaration pour apporter un éclairage sur qui est concerné par cette obligation, quelles sont les implications et comment se déroule le processus de déclaration. À la question “Suis-je soumis à cette obligation ?”, la réponse n’est pas forcément simple. En effet, l’ordonnance prévoit plusieurs critères et secteurs concernés pour définir les infrastructures critiques assujetties. La loi comprend des exemples de secteurs et entités. Il est par conséquent nécessaire de définir au cas par cas si une infrastructure est concernée ou non par cette obligation. Si elle l’est, elle a l’obligation de signaler les attaques qui 1) mettent en péril le bon fonctionnement de son infrastructure ou d’une autre, 2) sont parrainée par d’autres États, 3) entraînent des fuites ou des manipulations de l’information, 3) n’ont pas été détecté pendant plus de 30 jours ou 4) sont accompagnées de menaces ou chantage (e.g. ransomware). Lors d’une cyberattaque, l’entité devra fournir un rapport au NCSC, expliquant le type d’attaque, le déroulement et les conséquences (i.e. données, processus, etc.) de cette dernière, ainsi que les mesures de sécurité qui ont été prises. Et cela en parallèle à d’autres obligations de déclaration. La loi ne prévoit pas de délai pour la déclaration.
6. Création de plateformes fiables de signalement des incidents et de partage de l’information
- Dr. Markus Herren, Deputy CISO, Swiss Post
- Dr. Alain Mermoud, Scientific Project Manager, armasuisse
- Prof. Mario Paolone, Head of the Distributed Electrical Systems Laboratory (DESL), STI, EPFL
- Modération : Prof. Matthias Finger, C4DT, EPFL
La première table ronde s’est intéressée à la création de plateformes pour le signalement des incidents et le partage des informations. Il a été question du rôle des incitations pour encourager le signalement et l’importance de préserver la confidentialité dans le partage des informations. Les intervenants ont rappelé que le partage d’informations sur la cybersécurité est fortement lié au comportement humain et qu’il ne s’agit pas exclusivement de questions technologiques. Ils ont également relevé qu’il apparaît nécessaire de promouvoir le partage de bonnes pratiques pour éviter les attaques, et non pas seulement le signalement des incidents.
« La confiance doit se construire entre les êtres humains au fil du temps, lors de rencontres régulières, d’ateliers. Et je sais que le NCSC a fait un très bon travail en tant que ressource centrale pour créer cette confiance. Et sur cette confiance existante, nous pouvons construire un excellent partage d’informations. » explique Alain Mermoud, Scientific Project Manager chez armasuisse.
7. Relever les défis de la loi sur l’obligation de signalement des cyberattaques
- Alain Beuchat, responsable de la sécurité de l’information de Lombard Odier
- Sylvain Métille de l’Université de Lausanne
- Manuel Suter, Coordinateur national cyber stratégie, NCSC
- Modération : Prof. Matthias Finger, C4DT, EPFL
Les intervenants de la table ronde « Relever les défis de la loi sur l’obligation de signalement des cyberattaques » se sont penchés sur l’importance de promouvoir l’échange volontaire d’informations et données en lien avec les cyber attaques. L’échanges volontaires apparaît comme un moyen fiable d’obtenir une vue d’ensemble du paysages des menaces et des tendances existantes. Cela favorise, selon les intervenants, la prise de décision informées par les entités sur la mise en place de mesures de sécurité et les moyens de détection. Le NCSC, a quant à lui, rappeler qu’il est exempté de l’obligation de partager avec le parquet et les autorités de poursuite, ainsi que la loi sur la transparence des journalistes. C’est à dire que les informations et données en lien avec des signalements ne seront jamais partagées sans le consentement, au préalable, des entités concernées.
8. Partenariat pour la réponse aux incidents : le CNSC et le secteur privé
- Charlotte Lindsey Curtet, directrice des politiques publiques, CyberPeace Institute
- Olivier Spielmann, Vice President Global Managed Detection and Response, Kudelski Security
- Reto Inversini, Head of GovCERT, NCSC
- Modération : Prof. Matthias Finger, C4DT, EPFL
La troisième table ronde s’est intéressé aux collaborations dans les réponses aux incidents de cybersécurité. Les discussions ont porté sur le rôle complémentaire qu’apporte le secteur privé, la société civile en générale et le NCSC aux victimes de cyber incidents. Il est important que les différentes parties prenante – entreprises privées, NGO et institutions publiques — collaborent et travaillent ensemble, autant avant qu’après les incidents. L’étendue des collaborations privée-public est toutefois tributaire du politique et se limite généralement aux entreprises suisses, les entreprises étrangères n’étant pas forcément enclin à ce que leurs informations et données soient partagées avec le gouvernement suisse.
Message du Conseil fédéral au Parlement concernant l’obligation de signaler les cyberattaques contre les infrastructures critiques
Le 2 décembre dernier, le Conseil fédéral a soumis au Parlement un message concernant l’obligation de signaler des cyberattaques contre les infrastructures critiques. Dans ce message, il indique qu’à une large majorité, les participants à la consultation sur le projet de modification de loi se sont montrés favorables au projet. Il y est également indiqué que la mise en place d’une obligation de signaler et l’institutionnalisation du NCSC en tant que guichet national de signalement sont considérées comme des étapes importantes pour améliorer la cybersécurité en Suisse.
La préoccupation principale lors de la mise en œuvre de cette loi est de veiller à ce qu’elle n’entraîne pas de charge administrative supplémentaire importante pour les organisations concernées. Pour que les signalements soient aussi simples que possible à effectuer, le NCSC mettra à disposition un formulaire électronique qui pourra être rempli facilement. Au regard de la modification de cette loi, et à titre subsidiaire, le NCSC sera contraint d’offrir aux auteurs des signalements un soutien pour faire face aux cyberattaques.