Objectif: Détection, prévention, gestion et défense efficaces contre les cyberattaques

Description

Sachant qu'il n'existe pas de protection absolue contre les cyberincidents, l'une des priorités en matière de cybersécurité est d'instituer et d'exploiter une organisation chargée de traiter les incidents (incident management). À cette fin, il importe de détecter les cyberincidents le plus tôt possible, de les identifier et de prendre les contre-mesures de lutte appropriées. Il s'agit également d'analyser les incidents survenus et d'en tirer les conclusions nécessaires pour améliorer la prévention.

Afin de mener à bien ces tâches, faut des compétences spécialisées, des outils d’analyse, une organisation efficace dotée de compétences décisionnelles clairement définies et une collaboration étroite de tous les services concernés. Il est essentiel que des partenaires dignes de confiance échangent entre eux les informations dont ils disposent sur les incidents et les mesures de lutte possibles, car les incidents se produisent souvent à plusieurs endroits à la fois. Le partage des informations pertinentes permet une gestion plus rapide et efficace des incidents.

Contexte et actions requises

Beaucoup d'organisations en Suisse, mais de loin pas toutes les infrastructures critiques, ont créé ou mandaté des équipes spécialisées dans la gestion des cyberincidents. Celles-ci se nomment par exemple Security Operations Centers (SOC), Computer Emergency Response Teams (CERT) ou Computer Security Incident Response Teams (CSIRT), et leurs compétences spécifiques varient selon leur domaine d’activité. De nombreux cantons ainsi que la Confédération disposent également de telles équipes. La gestion des cyberincidents est assurée en premier lieu par ces unités. La Confédération apporte à titre subsidiaire un appui aux équipes des cantons, des villes et des communes ainsi qu'aux exploitants d'infrastructures critiques et à leurs prestataires en matière de sécurité par l'intermédiaire du NCSC, afin de procéder à l'analyse technique des incidents et soutient l'échange d'informations entre ces divers acteurs.

Le grand public peut également signaler des cyberincidents ou des cybermenaces au NCSC, qui lui fournira au besoin de premières évaluations et recommandations techniques quant aux actions à entreprendre. De telles annonces sont essentielles à l'évaluation des cybermenaces.

Fournies par la Confédération, ces prestations ne reposent pour l'heure sur aucune base légale. Il en va de même des échanges d'informations. Les projets de modification de la législation existante ont déjà été élaborés, mais n'ont pas encore fait l'objet de décisions.

La mise à l'échelle des capacités constitue un défi pour la gestion des incidents. Si plusieurs incidents majeurs se produisent simultanément, les ressources actuelles seront rapidement épuisées. Le cas échéant, il importe de déterminer comment faire intervenir des spécialistes supplémentaires dans les meilleurs délais. 

Priorités

• Renforcer les capacités des infrastructures critiques à détecter et à gérer des cyberincidents en développant à cet effet, la création et l'utilisation commune de centres opérationnels de sécurité (SOC).
• Développer le système de signalement des cyberincidents:
  Il est nécessaire qu'un maximum de cyberincidents soient signalés afin d'obtenir une bonne image de la situation actuelle en matière de menaces.
• Promouvoir l'échange d'informations:
  La plateforme existante du NCSC servant à l'échange d'informations entre les exploitants d'infrastructures critiques sera remaniée et développée, afin de faciliter les échanges et d'ouvrir progressivement l'accès à la plateforme à des milieux plus larges.
• Renforcement des capacités par la collaboration:
  Il est prévu d'intensifier encore la collaboration opérationnelle et d'améliorer l'harmonisation entre GovCERT, SWITCH-CERT et d'autres équipes de sécurité. On déterminera également quand et comment faire appel à des équipes de spécialistes volontaires afin de contribuer à la gestion d'incidents. Cet examen tiendra compte des organisations existantes.
• Renforcer la collaboration avec les services spécialisés:
  Le NCSC fournira aux services spécialisés des informations sur des incidents survenant dans leur secteur, afin de leur permettre d'évaluer la menace qui pèse sur celui-ci. Les informations qui permettent d'identifier les personnes concernées sont exclues, à moins que ces dernières ne soient d'accord d'informer les services spécialisés.

Acteurs principaux

• Confédération:
  NCSC, OFCOM, OFT, OFAC, OFEN, OFIT, MilCERT
• Cantons:
  équipes cantonales CERT, CSIRT et SOC (ou organisations similaires), services d'alerte des polices cantonales
• Milieux économiques et société:
  équipes CERT, CSIRT et SOC (ou organisations similaires) d'entreprises ou d'organisations, SWITCH

Description

L'attribution consiste à identifier les auteurs des attaques avec autant de précision que possible. Elle joue un rôle clé dans le choix des moyens à mettre en œuvre pour la suite des évènements. Les autorités suisses doivent être en mesure d’attribuer des cyberattaques dirigées contre notre pays ou importantes pour la politique de sécurité de la Suisse. Celles-ci comprennent aussi bien les cyberattaques visant des cibles suisses que l'utilisation des infrastructures suisses pour des attaques à l'étranger. L'attribution sert de base pour formuler les options d’action politique et juridique.

Contexte et actions requises

Pour pouvoir placer les auteurs d'une cyberattaque face à leurs responsabilités, il faut commencer par les identifier. C'est là un défi de taille dans le cyberespace, car les auteurs ne sont pas physiquement présents sur le lieu de l’attaque. Une telle identification n'a de chances d'aboutir que si les attaques ont été reconnues à temps et à condition d'être en mesure d'analyser leur contexte technique, opérationnel et stratégique.

L'attribution des cyberattaques est l'une des tâches du Service de renseignement de la Confédération (SRC). Pour pouvoir remplir sa mission, ce dernier a besoin de connaissances issues de ses propres recherches, mais il dépend aussi de la collaboration avec d'autres services de la Confédération et de l’échange d’informations avec des services partenaires. Il convient dès lors de réglementer cette collaboration et ces échanges.

L'attribution des cyberattaques est importante pour permettre aux décideurs politiques d’évaluer l’état de la menace. Elle sert notamment à déterminer si une action peut être attribuée en vertu du droit international et les possibilités de réaction que ce dernier autorise. C'est en outre la condition préalable aux décisions concernant les mesures techniques, politiques ou pénales.

Priorités

• Examiner et compléter les bases légales régissant l'analyse de cyberattaques visant la Suisse.
• Assurer la coopération entre le SRC et d'autres services.
• Développer les capacités du SRC à analyser les cyberattaques pertinentes pour la politique de sécurité.
• Définition des priorités stratégiques: il faut déterminer quelles attaques seront analysées de manière approfondie.

Acteurs principaux

• Confédération:
  SRC, DFAE, fedpol, NCSC, SG-DDPS
• Cantons:
  corps de police cantonaux, NEDIK

Description

Les cyberincidents peuvent entraîner de graves conséquences, au point d'exiger la mise en place d'une gestion de crise au niveau national. Il est essentiel, pour régler les crises, d'avoir une vision actuelle, cohérente et complète de la situation, de définir des processus efficaces de prise de décision et d'adopter une stratégie de communication. Il convient encore d'éprouver, de contrôler et de modifier régulièrement les capacités et les structures prévues.

Contexte et actions requises

Une bonne collaboration intersectorielle est déterminante en cas de crise. Dans une telle situation, le NCSC doit être en mesure de mettre en place rapidement la collaboration avec tous les partenaires. Il a établi à cet effet des contacts avec les organisations pertinentes au sein de l'administration fédérale et en dehors de celle-ci.

Le NCSC a de plus été intégré aux états-majors de crise de la Confédération. Lors d'une éventuelle évolution ou refonte de la gestion de crise au niveau de la Confédération, il faudra également veiller à intégrer directement la cybersécurité dans les structures de gestion de crise.

Quand le temps presse pour surmonter une crise, la collaboration entre les acteurs centraux de la Confédération, des cantons et de l'économie est compliquée. Des exercices réguliers s'imposent pour en assurer le bon fonctionnement. La Suisse participe aujourd'hui à des exercices internationaux et divers exercices de crise sectoriels ont été réalisés au niveau national. Il manque toutefois un concept général de planification et de mise en place d'exercices de crise dans le domaine de la cybersécurité. Il importe de l'élaborer et de l'intégrer dans la planification globale des exercices de gestion de crise.

Priorités

• Formuler un concept et mettre en œuvre des cyberexercices tant sectoriels (p. ex. approvisionnement énergétique, approvisionnement en eau, soins de santé) qu'intersectoriels. Il convient de coordonner leur planification et leur conception avec la planification générale des exercices de gestion de crise.
• Inclure des aspects relevant de la cybersécurité dans tous les exercices prévus de gestion de crise.
• Déterminer les règles de base en tenant compte des travaux, prioritaires, visant à organiser la gestion de crise: quels sont les critères de définition d'une crise de cybersécurité et les structures habilitées à en livrer une analyse politique ainsi qu'à introduire des mesures de gestion de crise?
• Garantir que la cybersécurité soit représentée dans le dispositif de gestion de crise (à l'échelon de la Confédération et des cantons).
• Déterminer le soutien (subsidiaire) à apporter à la gestion conjointe d'une crise, avec les moyens de communication à utiliser dans ce contexte.

Acteurs principaux

• Confédération:
  ChF, OFPP, NCSC, armée, OFCOM, OFT, OFAC, OFEN, OFAE, DFAE, SG-DDPS, RNS
• Cantons:
  états-majors de conduite, centres cantonaux de compétence en matière de cybersécurité
• Milieux économiques et société:
  exploitants d'infrastructures critiques, développeurs/vendeurs de logiciels critiques, organisations sectorielles (comme Swiss FS-CSC ou SWISS-CERT)

Description

Il importe de protéger la liberté d'action et l'intégrité de l'État, des milieux économiques et de la population dans le cyberespace et de les défendre en cas de conflit.

La cyberdéfense inclut la totalité des mesures prises par les services de renseignement et les militaires qui servent à atteindre les objectifs suivants: protéger les systèmes critiques pour la défense nationale, assurer la défense contre les cyberattaques, préserver la disponibilité opérationnelle de l'armée suisse en toute circonstance et mettre en place des capacités et des aptitudes pour le soutien subsidiaire des autorités civiles. Cela comprend notamment des mesures actives de détection des menaces, d'identification des agresseurs et de perturbation et d'arrêt des. cyberattaques. 

Contexte et actions requises

Le Service de renseignement de la Confédération (SRC) et l'armée suisse ont développé leurs capacités pour assumer leurs tâches en matière de cyberdéfense. « La Conception générale cyber » décrit les capacités dont l'armée devra se doter d'ici au milieu des années 2030 pour être à même de faire face aux menaces dans le cyberespace et l'espace électromagnétique. La loi sur le renseignement (LRens) et la loi sur l'armée (LAAM), désormais révisée, créent les bases légales nécessaires sur lesquelles la Confédération peut s'appuyer pour engager des contre-mesures actives dans le cadre de la cyberdéfense.

Or l'évolution des cyberattaques au cours des dernières années et leur complexité croissante mobilisent toujours plus de ressources, sur des périodes prolongées. Il reste par conséquent nécessaire de développer les capacités et la coordination avec les services compétents afin d'assurer le respect du droit international.

Priorités

• Développer les compétences centrales au niveau de l'armée. Ces capacités comprennent l'autoprotection dans le cyberespace et l'espace électromagnétique, l'anticipation, l'autonomie et l'acquisition de compétences de base en science des données.
• Développer des capacités à un niveau décentralisé. Celles-ci comprennent par exemple le traitement fiable et sûr de données au sein des bataillons et des compagnies. Une autre priorité consiste à améliorer la résilience de l'infrastructure essentielle en cas d'intervention dans le domaine de l'autoprotection dans le cyberespace et l'espace électromagnétique. Il convient aussi d'adapter l'organisation des associations.
• Affiner la gestion politique des cas pour mener des cybercampagnes jouant un rôle pour la politique de sécurité.
• Intégrer davantage encore les capacités de la Suisse afin d'obtenir un effet protecteur direct pour les acteurs suisses.
• Élargir les compétences de base du SRC et de l'armée pour qu'ils soient à même d'agir dans le cyberespace. 

Acteurs principaux

• Confédération:
  armée, CYD Campus, SG-DDPS, SRC
• Cantons:
  organisations cantonales de conduite