L’État aiguise sa défense contre les cyberrisques
Le monde numérique est devenu un véritable champ de bataille planétaire. La recrudescence des menaces et des attaques n’épargne aucun secteur. Et lorsque la sécurité est défaillante ou que les erreurs humaines se multiplient, les conséquences peuvent être désastreuses. L’État de Vaud s’y prépare très activement, notamment grâce à des exercices. Chef de l’État-major cantonal de conduite (EMCC), Denis Froidevaux fait le point sur la menace cyber.
Si la Suisse a longtemps pu penser qu’elle vivait à l’abri des menaces d’un monde devenu instable, dangereux et imprévisible, la donne a radicalement changé depuis l’apparition de ces virus aux noms étranges, Stuxnet, WannaCry ou encore Storm Worm… Et si leurs noms peuvent prêter à sourire, ils ne font pas rire du tout les informaticiens qui y sont confrontés au quotidien. C’est qu’ils peuvent attaquer à n’importe quel moment et n’importe où. Désormais, les cyberattaques n’épargnent pas même le canton de Vaud. En 2021, les communes de Rolle et de Montreux subissent une attaque en règle entraînant la perturbation des services administratifs et même la fuite de données privées pour Rolle. En 2023, c’est le tour de Bex; en septembre dernier, c’est le réseau informatique de l’État de Vaud qui est victime d’une virulente attaque provoquant des interruptions et des lenteurs temporaires du système.
Tester la nouvelle force d’intervention
Face à ces menaces croissantes, le Canton de Vaud a non seulement renforcé sa stratégie de cybersécurité (lire plus bas), mais il a également mis sur pied un exercice en deux phases, destiné à tester et aiguiser ses défenses en cas d’attaque. Pour la première phase, qui s’est déroulée le 5 décembre, la Direction générale du numérique et des systèmes d’information (DGNSI) s’est concentrée sur la gestion d’une cybercrise impliquant quelque 90 communes, le CHUV et l’Alarm Receiving Center(ARC) qui regroupe toutes les centrales d’urgences vaudoises.
Son chef, Denis Froidevaux, détaille les buts de l’exercice: «Sur la base d’un scénario de crise, il s’agissait dans un premier temps d’observer comment les processus d’alarme, d’intervention, de communication allaient être maitrisés, tout en identifiant les points forts et les axes d’amélioration dans la gestion de ce type d’événement. Le but était également d’analyser le fonctionnement de la communication tant interne qu’externe et définir le rôle de chacun.»
Denis Froidevaux, chef de l’EMCC: «La cyberattaque est au sommet de la pyramide des risques, parce qu’elle peut paralyser les activités essentielles de l’État, d’un hôpital ou d’une commune». Photo | Arnaud GilgenProvoquer des réflexions et des réflexes
Prévue l’année prochaine, la deuxième phase de cet exercice devrait impliquer plus d’une centaine de personnes réparties entre différents services des administrations cantonale et communales. «Le scénario imaginé permettra de tester le fonctionnement de différents services placés en situation de crise. Ces exercices ont avant tout pour but de sensibiliser et former les collaboratrices et collaborateurs à ce type de situation, de provoquer les réflexions et les réflexes nécessaires pour y faire face, voire pour identifier des problèmes que nous n’aurions peut-être pas forcément prévus.»
À titre d’exemple, Denis Froidevaux évoque le monde de la santé: «Il faut être conscient qu’aujourd’hui, l’ensemble des activités d’un établissement hospitalier est numérisé. Une attaque cyber pourrait avoir des conséquences désastreuses et paralyser toutes les activités, avec la nécessité d’arrêter les soins électifs (ndlr : qui peuvent être retardés ou annulés, sans danger pour le patient) afin de permettre au personnel hospitalier de se concentrer sur les urgences et les situations critiques. Pour y faire face le cas échéant, cela implique des plans de continuité qui doivent être réfléchis: comment faire si tous les hôpitaux sont touchés, faut-il transférer des patients, et comment le faire?» Ce scénario ne relève pas de la science-fiction… certains pays l’ont, hélas, expérimenté.
Paralyser les activités de l’État
Denis Froidevaux commente les trois principales raisons à l’origine de ces exercices: «Tout d’abord, la très récente révision de "l’analyse cantonale des risques" place, comme à chaque fois, la cyberattaque au sommet de la pyramide des risques, notamment parce qu’elle est susceptible, suivant son ampleur, de paralyser les activités essentielles de l’État, de l’administration cantonale et celles des communes, sans oublier toutes les organisations paraétatiques. Avec des conséquences majeures sur la vie des gens.»
La deuxième raison est la signature, au mois de juin 2023, de la Convention sur la cybersécurité (lire encadré) qui a permis la création d’une force d’intervention : «Mais aucune organisation, aucun concept n’est véritablement efficace s’il n’a pas été entraîné, souligne Denis Froidevaux. Surtout lorsqu’il s’agit de gestion de crise, un domaine qui laisse peu de place à l’improvisation.»
«Un enjeu colossal»
Enfin, le Conseil d’État a demandé que les services de l’administration développent leur résilience face à ce risque en élaborant un plan de continuité des activités (PCA), permettant le maintien des activités essentielles de l’État en l’absence de tout outil informatique pendant une période d’une semaine. «Si une cyberattaque devait survenir, le temps pour réparer les dégâts, remonter les bases de données et réaligner les systèmes peut même se compter en semaines, voire en mois.» Le temps d’analyser les réponses des services bénéficiaires de l’administration, un rapport sera prochainement transmis au Conseil d’État avec des propositions qui permettent à l’administration de fonctionner en «mode dégradé».
«L’enjeu est colossal, constate Denis Froidevaux. Ne serait-ce que par la numérisation croissante du service public, toutes entités confondues. Nous sommes devenus complètement dépendants, mais nous n’avons pas le choix. Une cyberattaque de grande ampleur pourrait pénaliser en profondeur le fonctionnement de l’État. Dans ce cas de figure, certes extrême, mais bel et bien réaliste, une décision politique déterminera ce qui doit impérativement continuer de fonctionner, et ce qui peut souffrir un arrêt momentané.»
Avancer un pas après l’autre
Pourquoi avoir découpé cet exercice en deux phases? «À l’origine, nous voulions faire un seul et unique exercice, précise Denis Froidevaux. Mais nous nous sommes rapidement rendu compte que cela aurait été trop délicat. Il valait mieux avancer un pas après l’autre. Aussi, nous avons décidé d’évaluer d’abord les processus à l’échelle communale et des spécialistes cantonaux, et d’étudier le processus décisionnel et sa mise en œuvre. Lors d’une crise, il est fondamental de garder une vue d’ensemble et de bien communiquer, de manière transparente.»
La communication est d’autant plus cruciale que le comportement de la population joue un rôle déterminant. «Par exemple, il est essentiel de ne pas surcharger le 117 dans la mesure où cela risque de créer un véritable effet domino, amplifiant les effets de la crise en générant des problèmes supplémentaires.»
Plus de la science-fiction
Denis Froidevaux ne le répétera jamais assez, quitte à le marteler: ces scénarios ne relèvent pas de la science-fiction: «Cela peut nous arriver demain parce que c’est déjà arrivé. L’espace cyber est un vrai champ de bataille. À travers le monde, il y a des bataillons de hackers, certains étatiques, qui ne font que cela, jour et nuit. Et il faut comprendre qu’ils ne vont pas viser, par exemple, la commune de Bex en particulier, mais dès qu’ils détectent une faille quelque part, ils s’y engouffrent. Avec à la clef, une demande de rançon ou la paralysie de systèmes critiques. Cela fait partie de ce que l’on nomme la guerre hybride, dont certains états européens ont fait l’amère expérience dans le cadre du conflit russo-ukrainien. Dans un monde globalisé, la Suisse peut présenter beaucoup d’intérêt en ce qui concerne le piratage de données financières, scientifiques, ou encore industrielles.»
La prévention, meilleur remède, est l’affaire de chacun
Denis Froidevaux souhaite rappeler que la première protection contre les cyberattaques est entre les mains de toutes les collaboratrices et collaborateurs de l’administration: «C’est l’affaire de chacun et chacune d’entre nous, parce qu’il ne faut pas oublier que nous sommes souvent le maillon faible: il suffit parfois de cliquer sur un lien suspect ou d’utiliser une clé USB pour que les pirates puissent pénétrer le système. Une fois de plus, la prévention est le meilleur des remèdes !» (DA)
Marc Barbezat (DGNSI): "Le scénario faisait état d’une panne majeure qui paralysait 90% des ordinateurs, les systèmes de sauvegarde et les lignes téléphoniques internes." Photo | Arnaud Gilgen«Progresser ensemble dans la gestion des cybercrises»
À la manœuvre, Marc Barbezat, «Monsieur cybersécurité» de l’État de Vaud, explique en quoi l’exercice CYBER24, unique par son ampleur, s’est avéré formateur pour la centaine d’infrastructures critiques publiques qui y ont pris part.
Marc Barbezat, vous êtes actif toute l’année sur le front de la prévention au sein même de votre service, la Direction générale du numérique et des systèmes d’information (DGNSI), tout comme auprès des communes et de toutes les entités de l’État. Pourquoi ce besoin d’un exercice à une telle échelle cantonale?
En gestion de crise, la formation et la préparation sont essentielles. Mais si on ne les met pas en œuvre ou qu’on ne les teste pas, elles perdent toute leur valeur. Avec cette idée en tête, l’État-Major cantonal de conduite (EMCC) et la DGNSI ont organisé cet exercice dont l’objectif principal était de renforcer la capacité de chacun à bien gérer une crise causée par une cyberattaque. La particularité de cet exercice est que 95 entités différentes y ont participé en même temps, chacune avec sa propre cellule de crise. C’est la première fois qu’une telle opération a lieu, et elle pourrait même être unique en Suisse.
Au sortir de ces presque cinq heures de simulation de cybercrise, quel est votre sentiment?
La fierté et le soulagement. Fier de mon équipe – sans oublier la très bonne coopération avec les personnes impliquées de l’EMCC – et du travail accompli ensemble en amont depuis le début de l’année pour préparer et mener cette opération avec des entités réparties dans tout le canton. Et soulagé parce que tout s’est déroulé sans accroc, les retours des partenaires exercés sont très positifs et le but premier de formation a pu être atteint.
Quel était le scénario?
Chaque entité avait reçu des consignes avant le jour J. Elles devaient fonctionner en vase clos, constituer leur cellule de crise, désigner un chef et un observateur. Et du côté de l’organisation, une direction d’exercice (DIREX), réunissant des experts de la DGNSI et de l’EMCC, a orchestré les différentes étapes de la simulation de cyberattaque en soumettant ses instructions aux participants au fil de cette matinée de test.
Le scénario de cyberattaque faisait état d’une panne informatique majeure qui paralysait 90% de leurs ordinateurs, les systèmes de sauvegarde et de mises à jour, et les lignes téléphoniques internes. Les communications par mail étaient impossibles. Une demande de rançon a même été envoyée et des données volées.
Qu’ont pu apprendre les exercés dans cette cyberattaque simulée?
Cet exercice offrait une chance unique aux partenaires de participer activement à la gestion d’une cybercrise simulée, sans risque réel. Cela leur permet de pratiquer la coordination et la communication nécessaires en temps de crise. Grâce aux exemples de solutions et aux modèles proposés, ces organisations peuvent aussi améliorer et développer leurs procédures d’urgence.
La gestion d’une cybercrise ne s’improvise pas. Tout comme les pompiers qui s’entraînent régulièrement, ces exercices sont essentiels pour bien réagir face à une véritable cyberattaque et limiter les dégâts.
La résilience des partenaires de l’État face au cybercrime en sort donc renforcée.
Effectivement. Les participants disposent désormais d’une boîte à outils de base pour être autonomes sur leur propre périmètre face à une cybercrise. Ils ont pu acquérir également de nouvelles connaissances, des modèles de procédures et de communication.
Cet exercice avait valeur de formation et de prise de conscience, ce qui facilitera une possible collaboration en cas d’attaque réelle. Un pas important pour progresser ensemble face aux futures crises. (CJ)
Une force d’intervention
Depuis le début de l’année, le Canton de Vaud dispose d’une force d’intervention, appelée CSIRT pour Computer Security Incident Response Team. Composée d’experts en cybersécurité du Centre opérationnel de sécurité (SOC) de la Direction générale du numérique et des systèmes d’information, elle pourra être renforcée, selon les situations de crise et leur gravité, par les experts en cybercriminalité de la Police cantonale vaudoise ainsi que par l’État-major cantonal de conduite. Le fer de lance du dispositif est le SOC qui assure une veille à l’échelle mondiale des activités liées aux cyberattaques afin d’anticiper les potentielles menaces.
