Votre panier est actuellement vide !
Le Centre national pour la cybersécurité est passé aux mains du DDPS en début d’année. Une grande partie de ses collaborateur·ices hautement qualifié·es a depuis démissionné, car ils et elles ne voulaient pas travailler pour l’armée. Un exemple parfait qui montre que l’armée n’apporte pas plus de sécurité, au contraire.
Selon le magazine alémanique Republik, quasiment tous les offices de la Confédération étaient, à la base, contre le fait que ce nouvel Office fédéral fasse partie du DDPS. En effet, avant, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI, d’après l’acronyme allemand, ndlt) faisait partie du Dé- partement des finances (DFF). C’est également ce dernier qui avait le lead au sein du Conseil fédéral lorsqu’il s’agissait de cybersécurité. Selon Republik, le DFF prenait également en compte la perspective de l’économie et de la société sur la cybersécurité.
Le DDPS, lui, n’a pas fait ses preuves en matière de défense contre les cyberattaques. Un échec particulièrement cuisant : en 2016, pendant six mois, des données du DDPS et de RUAG ont fuité sans que quiconque ne s’en rende compte. Ce n’est que lorsqu’un service de renseignements partenaire a fait remarquer l’attaque, perpétrée probablement par des hackers russes, que RUAG a reconnu le problème.
C’est probablement grâce à un deal entre Mme Amherd, le PLR et l’UDC que ce nouvel Office est revenu en mains du DDPS – c’est du moins ce que supposent plusieurs médias. Amherd aurait donc reçu un nouveau sujet en vogue pour son Département et, en échange, elle aurait renoncé au DETEC. C’est là qu’Albert Rösti construit aujourd’hui de nouvelles autoroutes, projette de nouvelles centrales nucléaires, freine les efforts pour le climat et fait tirer des loups.
SINTÉRÊTS CONTRADICTOIRES
Les expert·es du domaine et de l’économie étaient choqué·es par cette décision. Sur Lin- kedIn, Roger Halbheer, Chief Security Advisor chez Microsoft écrivait, selon Republik : « Tous les acteurs économiques que je connais, sans exception, se sont prononcés contre le DDPS. »
Au fond, quel est le problème si l’Armée est responsable de la cybersécurité ? La cybersé- curité est, en principe, un jeu permanent du chat et de la souris entre des hackers mal-in- tentionnés d’une part et les développeurs·euses de logiciels et responsables de la sécurité d’autre part. Pour mener à bien une attaque sur une organisation professionnelle, les malfaiteurs doi- vent exploiter une faille de sécurité d’un logiciel qui n’était pas encore connue avant.
Les connaissances sur ces failles inconnues – que l’on appelle aussi Zero-Day-Exploits – sont donc très précieuses. Les développeurs·euses et les expert·es en sécurité veulent combler ces failles, alors que les hackers, les services secrets et l’armée veulent les ajouter à leur arsenal. La conclusion qu’un expert suisse en cybersécurité tirait dans Republik est donc tout à fait logique : personne ne signalerait volontairement des failles de sécurité à une institution faisant partie du DDPS et dont l’un des voisins sont les services secrets.
LES SPÉCIALISTES NE VEULENT PAS TRA- VAILLER POUR LE DDPS
Le Conseil fédéral a oublié un détail dans toutes ces tractations autour des Office fédéraux et des Départements: au final, ce ne sont pas les Conseiller·ères fédéraux et les politicien·nes qui s’occupent de la cybersécurité, mais les spé- cialistes en la matière, qui suivent une déontologie stricte. Les employé·es du NCSC avaient, pour leur part, signalé en amont ne pas vouloir travailler au DDPS. Entre-temps, un·e employé·e sur cinq a déjà démissionné, et au sein de gov- CERT, un groupe d’intervention rapide qui in- tervient lorsque des infrastructures critiques sont attaquées, ce sont même deux tiers. Selon la radio-télévision suisse-alémanique SRF, ces personnes ont des années d’expérience et sont très recherché·es dans leur domaine. Leur départ est donc particulièrement douloureux.
Cette situation nous montre bien qu’il vaut mieux que la sécurité soit entre les mains de ci- vils et que l’armée renforce plutôt les menaces au lieu de nous protéger.