Évidemment que non. Même si l’on augmentait fortement la partie “cyber” du budget du DDPS, cela n’apporterait aucune protection. Et il ne faut pas énormément de connaissances techniques pour comprendre pourquoi l’armée n’est pas en mesure de garantir cette sécurité. Voici une petite explication pour les non-expert·es.
D’un point de vue technique, il est impossible de protéger la population et les systèmes économique et politique suisses par une organisation centrale de défense. Car les attaques venant du cyberespace ne respectent pas les frontières géographiques ou à des fortifications protégées par des cyber-soldats. En effet, internet a été construit sans égards aux frontières géographiques, ce qui est positif. La version numérique de cet article sur gssa.ch est fournie par un serveur suisse et malgré cela, vous ne pourriez probablement pas lire cet article si tous les câbles autour de la Suisse étaient sectionnés. De même, la plupart des autres applications numériques que nous utilisons au quotidien, dans notre vie privée ou au travail, ne peuvent pas fonctionner sans connexion internet mondiale. Cela signifie aussi que chaque appareil disposant d’une connexion internet peut être attaqué du monde entier.
Si l’armée devait pouvoir nous défendre, elle devrait pouvoir accéder à chacun de ces appareils et agir de l’intérieur, un véritable cauchemar d’un point de vue démocratique ! Qui plus est, l’économie privée propose déjà ce service sous la forme d’antivirus comme Microsoft Defender Antivirus, un logiciel préinstallé sur chaque ordinateur Windows. Et bien que ces offres viennent des plus grandes entreprises de technologie du monde, on enregistre chaque jour des piratages. Cela n’est pas surprenant, car ce type de logiciel ne peut que réagir en se disant “J’ai déjà vu ce genre de choses lors d’une attaque, je vais le bloquer.” En tant qu’utilisateur devant son écran, on ne peut ensuite qu’espérer que ce qu’on voulait faire ne sera pas bloqué.
La véritable sécurité doit faire partie de l’architecture d’un système. Car un ordinateur ne peut rien faire si on ne l’a pas programmé à le faire. Si un ordinateur a été programmé pour donner accès à un “Lukas Bürgi” et qu’ensuite, un de mes homonyme tente de se connecter, il pourrait s’agir d’une attaque. Il s’agirait surtout d’une erreur de programmation, car l’idée n’est pas que toutes les personnes qui ont le même nom puissent se connecter. Ce n’est qu’un exemple et la réalité est beaucoup plus complexe,mais le principe reste le même : les dévelopeur·euses ont fait une erreur et c’est pour cette raison que l’ordinateur fait quelque chose d’inattendu.
Il semble peu réaliste de simplement demander aux développeurs·euses de ne plus faire d’erreurs. Ce n’est d’ailleurs même pas nécessaire. Il faut simplement que leurs erreurs soient rares et sans grandes conséquences. Plus les erreurs graves sont rares, plus il est difficile et cher pour les pirates informatiques de les trouver. Idéalement, il deviendrait pratiquement impossible de trouver une faille qui permettrait une attaque. Faire aussi peu d’erreurs que possible et en trouver autant que possible fait partie de la formation de tout·e informaticien·ne. Comment faire en sorte qu’il devienne plus facile pour les informaticien·nes de faire moins d’erreurs ? Eh bien, des chercheur·euses dans des institutions publiques et privées se penchent sur la question et font des progrès réguliers dans ce domaine.
Pourquoi donc une entreprise informatique devrait-elle engager des informaticien·nes mieux formé·es et donc mieux rémunéré·es ? Pourquoi devrait-elle payer du temps supplémentaire pour que les expert·es évitent des erreurs et en trouvent ? Pourquoi devrait-elle investir beaucoup de moyens pour changer d’infrastructure afin de mettre en œuvre les résultats des recherches les plus récentes concernant les logiciels sûrs ?
Une entreprise n’a pas pour but de faire toutes ces choses puisque son but est de dégager un bénéfice et non pas d’augmenter la sécurité du pays.
Nous avons donc le choix : voulons-nous créer des incitations pour que les entreprises produisent des produits plus sûrs même si cela n’est pas lucratif ? Ou voulons-nous mettre l’armée en charge de la sécurité, elle qui pourrait tout au plus réagir ou créer une escalade de tensions dans le domaine cyber, mais certainement pas défendre la population ?