Il est directeur de l'Office fédéral de la cybersécurité. Pour Blick, Florian Schütz s'exprime sur la débâcle de Xplain, les manquements des entreprises et pourquoi il ne faut surtout pas payer les hackers. Interview.
Florian Schütz, à quel animal pensez-vous lorsque vous êtes confronté à des cyberattaques?
De nombreux groupes de hackers utilisent des animaux comme symboles. Lors de leurs attaques, les activistes prorusses ont par exemple utilisé l'ours comme symbole de la Russie. Les aigles ou les éperviers sont également fréquents. Je pense que l'éléphant est une bonne métaphore. La cyberdéfense est l'éléphant dans la pièce: tout le monde sait que la cybersécurité est importante, mais les mesures concrètes se font attendre.
La Confédération a confié des documents classifiés à l'entreprise privée Xplain, qui ont ensuite été dérobés et divulgués lors d'un vol de données. C'est plutôt dramatique, non?
La bonne nouvelle est que sur les 121 objets classifiés, aucun n'a été classé au niveau de confidentialité le plus élevé. Mais le simple fait que des documents confidentiels et internes aient été divulgués est inquiétant, bien entendu.
Quels sont les principaux enseignements que vous tirez de la débâcle de Xplain?
La Confédération doit améliorer la gouvernance des données. Nous avons besoin d'une vue d'ensemble centralisée pour savoir quel fournisseur dispose de quelles données. Nous avons un système très décentralisé, chaque office travaille différemment. Lors de l'analyse des données, il nous a fallu beaucoup de temps pour déterminer qui était concerné par la fuite. Pour en savoir plus, nous devons attendre la fin de l'enquête administrative.
Que font des documents secrets chez un fournisseur privé?
La Confédération est tributaire de fournisseurs informatiques externes, car si elle voulait développer elle-même chaque logiciel utilisé, nous aurions besoin d'un énorme service de développement. Il est logique d'acheter certains produits informatiques. Mais la question se pose alors de savoir de quelles données le fournisseur a réellement besoin. Il faut aussi s'assurer que les données sont ensuite effacées.
La fuite de données concerne également les listes de noms de hooligans. Celles-ci continuent-elles à circuler sur le Darknet?
Je pense que oui. Vous ne pouvez pratiquement rien effacer sur le Darknet. Certes, des serveurs de groupes de hackers sont saisis lors de raids internationaux. Mais on ne peut pas partir du principe que les données ne se trouvent plus sur le Darknet. Ce qui a été publié est publié.
Qu'est-ce qui fait un bon mot de passe?
De nos jours, un mot de passe seul ne suffit plus. Nous avons besoin d'une authentification à deux facteurs, c'est-à-dire par exemple un mot de passe, plus un code via un smartphone.
Néanmoins, quel serait un bon exemple?
Je recommande de mémoriser une phrase et d'utiliser la première lettre de chaque mot. On peut remplacer un e par un 3 ou un s par un signe dollar, c'est-à-dire «3$» au lieu de «es». Ainsi, le mot de passe est plus difficile à craquer.
Les vols de données et les sabotages de serveurs nuisent-ils à l'image de la Suisse?
Aucun pays n'est à l'abri des cyberattaques. 95% des incidents sont de nature criminelle. En tant que pays riche, la Suisse est particulièrement vulnérable. Les pirates le savent: elle peut payer.
Les entreprises suisses doivent donc payer et accepter les fuites?
Nous déconseillons vivement de répondre aux exigences des maîtres chanteurs. Car chaque attaque finance six à dix autres attaques et aggrave ainsi le problème. Si aucune entreprise ne payait, nous aurions nettement moins d'attaques de pirates.
Vous a-t-on déjà signalé une attaque aujourd'hui?
Les cyberattaques se produisent tous les jours, toutes les heures, toutes les minutes. Il est 9h30: jusqu'à présent, nous avons eu 21 messages, par exemple dans le domaine du phishing Paypal. Mais aussi plusieurs e-mails de chantage du type: «Nous avons piraté votre caméra vidéo et vous avons filmé pendant que vous regardiez du porno.» Dans la plupart des cas, il s'agit d'une invention. Malgré tout, certains se sentent pris au piège et, pris de panique, paient. Mais tous les cas qui nous ont été signalés n'étaient pas des attaques réussies.
Pourquoi les cyberattaques sont-elles si difficiles à maîtriser?
De nombreuses entreprises ne font pas leurs devoirs. Elles savent qu'il faudrait faire quelque chose, mais n'agissent pas de manière conséquente.
Comment l'expliquer?
D'une part, il y a souvent des problèmes plus urgents. La cybersécurité est un danger invisible. Elle ne se concrétise que lorsqu'il y a un problème aigu. Mais les intérêts économiques jouent également un rôle. La cybersécurité coûte de l'argent.
L'armée suisse discute des risques du nouveau Microsoft Office, car Word, Excel et autres seront à l'avenir basés sur le cloud...
D'un point de vue technique, il est tout à fait judicieux d'externaliser les données vers un fournisseur qui fait des investissements de sécurité conséquents. Toutefois, il convient aussi de considérer les aspects organisationnels de la sécurité. De cette façon, des données provenant de fournisseurs des États-Unis peuvent par exemple se retrouver sur un serveur américain. Et dans un cas pareil, les tribunaux américains pourraient contraindre ces entreprises à remettre les données.
La Russie a intercepté une conversation entre des représentants de haut rang de l'armée allemande, qui se sont entretenus entre eux via Webex. Des programmes comme Webex ou WhatsApp sont-ils rédhibitoires pour vous?
Au sein de la Confédération, nous avons des directives claires: nous utilisons Threema comme messagerie. Pour les échanges secrets, nous avons des systèmes spéciaux.
Vous avez travaillé auparavant pour Zalando. Qu'est-ce qui différencie la Confédération d'une entreprise de vente par correspondance de prêt-à-porter?
Zalando a d'autres priorités. Les délais de livraison sont très importants dans le commerce en ligne. Nous avons tout fait pour que les délais de livraison ne puissent pas être affectés par des attaques de hackers.