Article
L’avenir de la cybersécurité dans le secteur public : où en est la Suisse ?
L’Enquête mondiale sur l’avenir de la cybersécurité en 2023 de Deloitte montre que la cybersécurité joue un rôle de plus en plus important en matière de résultats commerciaux, tant dans le secteur privé que public. La qualité des résultats dépend fortement de la capacité des décideurs à comprendre l’environnement actuel de la cybersécurité et à anticiper à l’avenir.
Les cinq points forts suivants de l’étude mondiale illustrent l’état actuel et les tendances de l’avenir de la cybersécurité :
La cybersécurité est un voyage sans fin de la transformation numérique et doit être ancrée de manière cohérente et généralisée.
Lorsqu’il s’agit d’ancrer la cybersécurité dans la modernisation, les autorités suisses sont parfois à la traîne. Différentes cyberattaques ont mis en évidence la vulnérabilité des systèmes à l’été 2023, lorsque des sites web de l’administration fédérale et d’entreprises proches de l’État comme les CFF et la Poste, ainsi que des administrations cantonales de Zurich, Bâle, Lausanne, Montreux et Genève, ont été paralysés pendant des heures par des attaques dites DDoS1. Suite à une attaque de ransomware, des données de l’Office fédéral de la police (Fedpol) et de l’Office fédéral des douanes et de la sécurité des frontières (OFDF) ont même été volées et publiées sur le darknet2. La modernisation et le remplacement des anciens systèmes doivent donc être une priorité permanente. La cybersécurité ne doit plus être une idée à laquelle on songe seulement après la mise à disposition de nouveaux systèmes ou la mise à jour d’anciens systèmes. L’Étude Deloitte 2023 sur le gouvernement numérique en Suisse a en outre montré que les autorités devaient réfléchir à des solutions de transition judicieuses pour garantir le fonctionnement des principales prestations même en cas de cyberattaque destructrice.
La nécessité de trouver et de promouvoir des talents en cybersécurité devient de plus en plus importante, et les approches écosystémiques sont plus utiles à long terme que l’externalisation à court terme.
Le manque de talents en cybersécurité reste également un problème pour les autorités suisses. Selon une estimation de l’association mondiale d’experts certifiés en cybersécurité ISC2, il y a 4,7 millions d’employés en cybersécurité dans le monde, mais il en faudrait environ 3,4 millions de plus3. ICT-Formation professionnelle Suisse estime que, d’ici 2030, il manquera près de 40’000 spécialistes dans le domaine des TIC en Suisse4. Dans cette optique, l’Armée suisse a spécialement lancé une offensive de formation afin d’identifier et de promouvoir les talents en cybersécurité à un stade précoce5. Les autorités, les établissements d’enseignement et les entreprises doivent collaborer encore plus étroitement afin de mettre en place des programmes pour la prochaine génération de talents en cybersécurité.
La gouvernance reste le plus grand défi ; elle peut être assurée par une consolidation et une centralisation accrues des responsabilités.
Le financement est le moteur de la cybersécurité ; un processus de budgétisation centralisé et simplifié aide à allouer les ressources financières de manière judicieuse.
La cybersécurité axée sur la mission devient de plus en plus importante et doit comprendre des ordres, un contrôle et une communication clairs ainsi qu’une structure de direction définie.
Dans les domaines de la gouvernance, des investissements et de la planification, les choses ont déjà beaucoup évolué ces dernières années au sein des autorités suisses. La création du Centre national pour la cybersécurité (NCSC) en 2020 a permis de mettre en place un point de contact unique pour les autorités, les établissements d’enseignement, les entreprises et le grand public sur les questions de cybersécurité, ainsi qu’un pool d’experts pour soutenir les départements et les offices dans l’élaboration et la mise en œuvre de normes de cybersécurité. La transformation du NCSC en un office fédéral en 2024 renforcera encore la gouvernance de la cybersécurité au sein des autorités6.
En outre, la révision de la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) 2018-2022 est actuellement en cours ; elle ne met pas seulement l’accent sur la protection et la défense, mais aborde aussi davantage la manière et les domaines où la Suisse devrait investir à l’avenir dans la cybersécurité7.
La coopération en matière de cybersécurité fonctionne déjà assez bien au niveau national, mais le fédéralisme complique la coopération à l’échelon cantonal et communal.
Les efforts de divers cantons (notamment Zurich8 , Saint-Gall9 et Bâle10 ) pour investir davantage dans la cybersécurité et créer leurs propres centres cantonaux de cybersécurité constituent un pas en avant important.