Pas moins de 150 cyberattaques ont visé des infrastructures critiques en Suisse entre avril et août. C’est le premier bilan de la nouvelle obligation de déclaration, en vigueur depuis le 1er avril. Manuel Suter, directeur adjoint de l’Office fédéral de la cybersécurité (Bacs), a présenté ces chiffres lors d’une conférence à Berne.
Le secteur financier est le plus touché avec 19,7% des cas, devant l’informatique (9%) et l’énergie (7,8%). Suivent les télécommunications (5,3%), les autorités fédérales (4,9%), les communes (4,9%), le domaine de la santé (4,9%), les chemins de fer (2,9%), la Poste (1,2%), le transport aérien (0,8%) ainsi que les médias et les ONG (0,4% chacun). Les attaques les plus fréquentes sont les attaques DDoS (19,3%), le piratage (15,9%) et les ransomwares (12,5%). Viennent ensuite le vol d’identifiants (10,2%), les fuites de données (9,7%) et les logiciels malveillants (9,1%).
«La grande majorité des attaques continue d’être motivée par des raisons criminelles. C’est une question d’argent», explique Manuel Suter. Mais de nouveaux acteurs inquiètent: «Nous voyons aujourd’hui des attaquants qui n’agissent pas comme des criminels. Ils pénètrent dans les systèmes, puis ne font rien.» Selon lui, il pourrait s’agir d’acteurs étatiques qui développent des capacités offensives.
Des millions pour la cybersécurité
René Oester, directeur général d’Axpo Systems, a décrit la réalité du terrain. «Nous enregistrons environ un demi-million d’événements liés à la cybersécurité chaque mois.» Son équipe traite 9500 «non-conformités», 30 anomalies nécessitent une intervention directe, et dans 7 à 10 cas, des experts doivent se déplacer. Chaque mois, environ cinq failles dites zero-day (vulnérabilités encore inconnues des fabricants ou développeurs) sont corrigées.
Pour faire face à cette menace, Axpo a mis en place un Security Operations Center (SOC). La construction a duré un an et demi, pour un investissement de 7,5 millions de francs et l’exploitation coûte cinq millions par an. «C’est une organisation active 24h sur 24, sept jours sur sept, par roulement», précise René Oester. Le centre surveille plus de 50 installations et une centaine de centrales.
Coopération plutôt que sanctions
Selon le Bacs, l’obligation de déclaration vise à identifier les vulnérabilités et les technologies nécessaires pour mieux protéger les infrastructures critiques. Les entreprises doivent annoncer une attaque dans les 24 heures, puis fournir les détails dans les 14 jours. L’objectif est de permettre des alertes précoces aux autres acteurs du secteur.
Même si des amendes allant jusqu’à 100'000 francs sont prévues à partir du 1er octobre en cas d’infraction, l’Office mise avant tout sur la coopération. «Les entreprises sont des victimes. Elles ont déjà assez de problèmes comme ça», souligne Manuel Suter. Jusqu’ici, aucune n’a refusé de collaborer. Dans deux cas seulement, le Bacs a appris l’existence d’attaques par les médias et a dû relancer les entreprises, qui ont ensuite signalé l’incident.
