Des attaques ciblées contre des infrastructures critiques pourraient entraîner des dommages consécutifs de plus de 1’000 milliards de dollars américains dans le monde entier. La lacune d’assurance en cas de cyberattaques de grande envergure reste très importante en Suisse et dans le monde. Le secteur de l’assurance doit continuer à promouvoir la pénétration des polices cyber sur le marché. Une sensibilisation complète des utilisatrices et utilisateurs ainsi que la mise en place d’une résilience maximale au niveau des entreprises et chez les particuliers sont la base de la lutte contre les cybercriminels. Il est impératif de renforcer la coopération et la coordination entre tous les acteurs concernés, tels que les entreprises, les milieux scientifiques et les pouvoirs publics. La Suisse pourrait jouer le rôle de médiatrice dans la lutte pour des solutions internationales.
Le nombre de cyberattaques dans le monde entier a augmenté de manière significative en l’espace d’un an. Rien qu’au deuxième trimestre 2024, le nombre d’incidents signalés a augmenté d’environ 30% par rapport à la même période de l’année écoulée. En Suisse, on a même enregistré en 2023 une augmentation des cyberattaques de 61% par rapport à l’année précédente. Près de la moitié des grandes entreprises suisses ont été attaquées au moins une fois par des cybercriminels. Les enquêtes actuelles laissent craindre que cette tendance ne s’aggrave au cours de l’année.
Face à cette évolution, le Conseil fédéral a publié cet été un rapport qui, d’une part, souligne la nécessité de coordonner la prévention et la répression et, d’autre part, demande une collaboration encore plus étroite entre les différents acteurs et une intensification du travail de prévention pour protéger la population et les entreprises.
Helvetia Assurances avait déjà souligné très tôt la nécessité d’une coopération renforcée entre l’économie, la science et l’État, notamment pour réduire autant que possible les risques de cyberattaques systémiques de grande ampleur qui nécessitent une capacité de couverture élevée et dont seule une infime partie des dommages attendus serait réellement assurée.
Pénétration limitée des cyber-assurances sur le marché
Afin de discuter des possibilités de réduire cette lacune d’assurance au minimum et de présenter les perspectives possibles de développement d’une cyberrésilience durable en Suisse, des représentants renommés des domaines de l’économie, de la science et de l’État se sont donc réunis pour la deuxième fois depuis 2023 à l’initiative d’Helvetia pour un symposium intitulé «Développer la cyberrésilience – Tendances et perspectives».
Martin Jara, hôte et CEO d’Helvetia Suisse, s’est exprimé clairement lors de son allocution d’ouverture: «Des progrès ont certes été réalisés dernièrement dans la lutte contre la cybercriminalité, mais il subsiste encore des obstacles qui empêchent d’améliorer efficacement la cyberrésilience.» Martin Jara considère que les compagnies d’assurance elles-mêmes ont également une part de responsabilité à cet égard: «Ces dernières années, la branche a proposé des offres d’assurance équilibrées pour les entreprises et les particuliers et a beaucoup investi dans l’augmentation de la résilience, mais la pénétration du marché reste encore très limitée.» Pourtant, si un grand nombre d’entreprises étaient assurées, cela contribuerait fortement à réduire les dommages non couverts au minimum en cas d’événement de grande ampleur.
L’Association Suisse d’Assurances (ASA) a calculé à la fin de l’année dernière, en collaboration avec l’évaluateur de risques Moody’s RMS, l’ampleur du risque d’une cyberattaque systémique majeure pour la Suisse. Laurent Marescot, Senior Director et expert en gestion des risques de catastrophes chez Moody’s, estime actuellement qu’il existe en Suisse chaque année une chance sur cent pour qu’un cyberévénement entraînant un préjudice économique total de plus de 2,5 milliards de francs survienne. L’étalonnage d’un modèle de risque approprié s’est avéré particulièrement exigeant en ce sens qu’il n’est pas possible d’utiliser des événements historiques comparables pour les cyberincidents et que, contrairement aux dommages causés par les catastrophes naturelles, l’impact de ces événements ne peut pas être clairement délimité géographiquement.
Renforcer durablement la résilience de la société
Pour combler cette lacune, il est indispensable, du point de vue des représentants de l’économie présents, d’accroître durablement la résilience de la place économique suisse. Selon Klaus Julisch, associé chez Deloitte (Suisse) SA, l’un des obstacles à cette résilience est souvent la nature humaine. L’attitude selon laquelle «ce qui ne doit pas être ne peut pas être» et la foi naïve en la technologie facilitent fréquemment les cyberattaques. Dans la situation actuelle, il est toutefois absolument vital de contrôler la cybersécurité de tous les projets informatiques et de maintenir ce monitorage à jour en permanence. Les projets qui ne répondent pas à ces exigences ne sont plus défendables aujourd’hui ou, pour reprendre les termes de Klaus Julisch: «Les projets numériques qui ne peuvent pas se permettre la cybersécurité n’ont pas de business case.»
Marc Holitscher, National Technology Officer et membre du Comité de direction de Microsoft Suisse, mise avant tout sur les possibilités offertes par l’intelligence artificielle pour renforcer la résilience face aux cybercriminels: «L’IA permet d’ores et déjà une défense coordonnée sur tous les vecteurs de menace et de garantir en fin de compte une transparence totale et une lutte contre les menaces potentielles.» Du point de vue de Marc Holitscher, disposer d’un savoir-faire concernant les stratégies et les méthodes des cybercriminels est au moins tout aussi important. On peut aujourd’hui l’acquérir beaucoup plus efficacement grâce à des solutions d’IA génératives, ce qui permet de lutter de manière plus ciblée contre d’éventuelles attaques.
La responsabilité commence au niveau de chaque utilisateur informatique
Enfin, tous les intervenants s’accordent à dire que les utilisatrices et utilisateurs d’infrastructures informatiques sont le premier maillon d’une lutte efficace contre les cyberattaques. Christoph Guntersweiler, responsable Assurances techniques chez Helvetia, l’a également mentionné. Dans son intervention, il a notamment souligné l’importance d’une sensibilisation continue du personnel des PME et des grandes entreprises: «Seules celles et ceux qui, entre autres mesures, sensibilisent régulièrement et de manière exhaustive les utilisatrices et utilisateurs internes à l’entreprise aux cyberrisques peuvent se protéger rigoureusement contre les attaques.»
Potentiels de dommages gigantesques dans le monde entier
Malgré la forte sensibilisation aux cyberrisques, les attaques systémiques d’acteurs criminels ou politiques contre les infrastructures critiques restent un risque latent. Si l’on tient compte des lacunes d’assurance existantes, le potentiel de perte nette à l’échelle mondiale s’avère gigantesque. Kai-Uwe Schanz, Deputy Managing Director du think tank The Geneva Association, se concentre sur les dimensions mondiales des attaques coordonnées de logiciels malveillants ou des pannes de cloud mondiales, dont les dommages atteignent des montants entre 50 et 200 milliards de dollars américains. Si des attaques ciblaient des infrastructures critiques telles que l’approvisionnement mondial en électricité, les dommages consécutifs s’élèveraient même à plus de 1 000 milliards de dollars américains.
Les partenariats privés-public, une solution possible
Du point de vue de la Geneva Association, les partenariats public-privé (PPP) sont indispensables pour faire face à de tels incidents. La pandémie de COVID-19 a, selon elle, justement montré qu’on ne peut maîtriser les scénarios de risques internationaux et leurs coûts qu’en impliquant le plus grand nombre possible d’institutions et d’organisations étatiques et scientifiques et en recourant à des approches innovantes.
Les explications de Manuel Suter, directeur adjoint de l’Office fédéral de la cybersécurité (OFCS), de Bernhard Maissen, directeur de l’Office fédéral de la communication (OFCOM), et de Vincent Lenders, directeur du Campus de cyberdéfense à l’Office fédéral de l’armement, ont prouvé que l’État prenait au sérieux les dimensions des cybermenaces. Tous les experts sont unanimes: le risque de cyberattaques va continuer d’augmenter. Cela s’explique notamment par la disponibilité toujours plus large des offres de matériel et de logiciels dans le monde entier, par l’augmentation constante des capacités de calcul et par la mise en réseau de plus en plus poussée qui en découle. Dans le même temps, la possibilité de poursuivre les criminels reste limitée en raison d’obstacles internationaux.
La Suisse peut contribuer à la coopération internationale
Cependant, la Suisse officielle est prête – et c’est là le point positif du message – à contribuer à une plus grande cybersécurité. La proposition de l’OFCS à ce sujet est également intéressante: en s’appuyant sur son rôle de médiatrice dans les conflits internationaux, la Suisse doit mettre à disposition le lieu de négociation qu’est Genève pour l’organisation de débats internationaux sur le thème de la cybersécurité et s’engager activement au niveau opérationnel et stratégique pour un cyberespace ouvert, libre et sûr ainsi que pour la reconnaissance, l’application et le respect complets du droit international dans l’espace numérique. Dans son rôle de trait d’union entre les universités, l’industrie et la Confédération, le Campus de cyberdéfense exploite d’ores et déjà cinq modèles de PPP innovants qui pourraient servir de modèles pour d’autres initiatives de ce type.
Le monde politique doit créer des conditions-cadres optimales
En conclusion, il convient de noter que la Suisse fait beaucoup dans tous les domaines pour lutter contre la cybercriminalité. Mais pour être paré contre les cyberévénements majeurs, une coopération et une coordination renforcées entre tous les interlocuteurs concernés tels que l’économie, la science et l’État sont absolument nécessaires. Pour ce faire, nous avons besoin du soutien sans réserve des partenaires politiques. La table ronde réunissant les conseillers nationaux et responsables de la sécurité Michael Götte (UDC/SG) et Fabian Molina (PS/ZH) témoigne de l’actualité du sujet dans ces sphères. Malgré toutes les divergences dans l’organisation concrète, les deux membres de la commission de la politique de sécurité du Conseil national étaient d’accord pour dire que la Suisse doit urgemment combler son retard en matière de cybersécurité et qu’il incombe désormais au monde politique de créer le plus rapidement possible des conditions-cadres optimales pour les acteurs concernés. (Helvetia/hzi/ps)