L’union fait la force: ce slogan convient parfaitement à la cyberdéfense. Lorsque des organisations privées et publiques collaborent dans le domaine de la cybersécurité, tout le monde en profite. Une telle coopération peut se faire à différents niveaux et avec différentes parties prenantes.
Texte: Andreas Heer, Photo: Swisscom
12 octobre 2023
«La protection de la Suisse contre les cybermenaces est une tâche commune de la société, des milieux économiques et de l’État.» C’est ce que stipulent les principes de la Cyberstratégie nationale(ouvre une nouvelle fenêtre) (CSN) d’avril 2023. Bien que cette affirmation soit axée sur la protection des institutions publiques, elle peut être généralisée sans problème: la cyberdéfense a besoin de coopération pour être efficace. Un objectif important de cette coopération est d’obtenir une vue d’ensemble de la situation actuelle en matière de menaces. Cela permet d’orienter les mesures de protection en conséquence et également de détecter et de bloquer les attaques à temps.
Pour atteindre ces objectifs, il est nécessaire que différentes organisations coopèrent, souligne Vincent Lenders, directeur du Cyber-Defence Campus(ouvre une nouvelle fenêtre) d’armasuisse: «Les organisations privées et publiques se complètent à merveille en matière de cyberdéfense. Les organisations publiques ont une bonne vue d’ensemble des menaces potentielles. Les organisations privées disposent quant à elles d’informations sur les risques qui sont typiques de leur entreprise ou de leur secteur.»
Le Cyber-Defence Campus renforce le lien entre l’économie et les institutions publiques sous forme de partenariat public-privé (PPP). Cette coopération prend en compte différents sujets: «L’échange d’informations sur de nouvelles failles de sécurité et technologies en est un aspect essentiel. Mais il existe également un grand potentiel d’échange dans les domaines de l’éducation, de la formation, de la recherche ou de l’innovation», commente Vincent Lenders.
Afin de renforcer la cyberdéfense, les spécialistes de la sécurité eux-mêmes actifs dans la cyberdéfense se mettent en réseau, en rassemblant par exemple différentes CERTs (Computer Emergency Response Team). «Nous échangeons avec d’autres exploitants d’infrastructures critiques, mais aussi avec d’autres prestataires de Managed Security Services», explique Marco Bruno, responsable Incident Response pour la clientèle de Swisscom.
L’objectif de ces échanges professionnels est de partager des connaissances afin d’être mieux armés pour faire face aux futures cyberattaques. «Nous discutons par exemple des cas de ransomware (ou rançongiciel) et des failles de logiciels», ajoute Marco Bruno. «Ce qui nous intéresse, c’est le mode opératoire, mais aussi les traces laissées par les hackers.» Des termes tels qu’«Indicators of Compromise» (IoC) et «TTP» (tactiques, techniques et procédures) reviennent donc souvent dans ces conversations. Alors que les IoC montrent quelles traces indiquent des attaques de la part de certains auteurs, les TTP montrent les modes opératoires des agresseurs. Ces connaissances aident à leur tour le service d’Incident Response à faire face aux cyberattaques.
En cas d’incident proprement dit, la coopération se déplace à un autre niveau, celui des autorités judiciaires ou du Centre national de cybersécurité (NCSC). Souvent, les cybercriminels agissent depuis l’étranger, ce qui rend les poursuites pénales plus difficiles, selon l’expérience de Marco Bruno: «Le temps qu’un serveur compromis soit saisi à l’étranger, les pirates sont généralement déjà loin.»
La coopération stratégique internationale du Cyber-Defence Campus est plus fructueuse, comme l’explique Vincent Lenders: «Dans le cadre d’un partenariat public-privé, nous travaillons par exemple en étroite collaboration avec le Swisscom Outpost de la Silicon Valley et échangeons des informations sur les cyber-start-ups et les développements technologiques.»
Des spécialistes de cybersécurité qui échangent sur des incidents actuels: les informations échangées sont souvent confidentielles. N’est-ce pas délicat? Marco Bruno et Vincent Lenders affirment tous les deux que non. Les informations échangées sont réglementées. Les données telles que les adresses IP, qui permettraient d’identifier une organisation concernée, sont en outre anonymisées.
Pour Vincent Lenders, le défi se situe à un autre niveau: «Le principal défi consiste à trouver des modèles de partenariat dans lesquels les deux parties peuvent investir autant et profiter autant l’une de l’autre.» Dans le domaine, les organisations concernées doivent développer un modèle qui garantisse ce principe du donnant-donnant.
Les deux spécialistes s’accordent à dire que l’effort mis dans cet échange en vaut la peine. «Les deux parties devraient mutualiser leurs ressources pour mieux coordonner leur défense. Cela permet une cyberdéfense plus efficace», conclut Vincent Lenders.