Confiance au lieu de firewalls : renforcer la cybersécurité grâce à l’éthique et au droit
Tributaire du bon fonctionnement des systèmes IT, la société numérique est à la merci des cyberattaques. Une étude montre comment la cybersécurité pourrait être assurée sur le plan technique, mais aussi social, éthique et légal.
La cybersécurité connaît une évolution exponentielle : pas un jour ne passe sans qu’apparaissent de nouvelles lacunes auxquelles doivent répondre de nouvelles mesures techniques de protection. Le rythme est tel que les utilisatrices et utilisateurs ont bien du mal à prendre des décisions fondées relativement à leur comportement d’utilisation. Et l’État de droit se voit également confronté à de nombreux défis, ne serait-ce que du fait que les procédures législatives sont dépassées par la vitesse du progrès technologique. Un projet réalisé dans le cadre du PNR 77 sous la direction de Markus Christen (Université de Zurich) a étudié les aspects non techniques de la cybersécurité et formulé des recommandations à l’intention de la politique et des spécialistes.
Principaux résultats
L’équipe de recherche a démontré que pour être efficace la cybersécurité exigeait non seulement des solutions techniques, mais aussi des règles claires en matière d’échange d’informations, de confiance et de coopération. Le nouvel Office fédéral de la cybersécurité revêt à cet égard une importance particulière dans la mesure où il lui incombe de définir des conditions-cadres claires et d’assurer un contrôle compétent. Les scientifiques ont par ailleurs identifié des lacunes dans la loi fédérale sur la sécurité de l’information, notamment en ce qui concerne la définition des infrastructures critiques et les exigences auxquelles elles doivent répondre. Le projet a par ailleurs mis en évidence que les différences de vitesse observées entre développement technologique et législation créaient un champ de tension en matière de régulation. À travers des enquêtes réalisées auprès de sociétés exploitant des infrastructures critiques et de spécialistes, les chercheuses et chercheurs ont également recueilli des informations qui viennent appuyer la Cyberstratégie nationale. C’est de ces données et de l’analyse légale que sont issues les recommandations formulées à l’intention du législateur et des personnes chargées d’élaborer des lignes directrices éthiques.
Importance pour la politique et la pratique
L’une des principales recommandations législatives formulées à l’intention des décideuses et décideurs politiques est que le concept d’« infrastructure critique » soit défini plus clairement et que les exigences minimales s’y rapportant soient élargies. Par ailleurs, des lignes directrices ont été élaborées pour la création d’une culture de la cybersécurité axée sur les valeurs afin de garantir que les incertitudes éthiques et juridiques soient abordées suffisamment tôt pour ne pas entraver le processus décisionnel en cas d’incidents de cybersécurité exigeant une prise de décision rapide. Enfin, le projet recommande que la recherche se concentre sur l’analyse de processus décisionnels concrets en cas d’incidents en vue de renforcer la confiance et la coopération entre les différents acteurs concernés.
Trois messages essentiels
- L’implication de l’État en matière de cybersécurité des infrastructures critiques devrait porter sur trois aspects :
a. La législation devrait mettre davantage l’accent sur les mesures préventives, une réglementation non contraignante pouvant aider les infrastructures critiques à réagir aux cyberincidents.
b. Si une collaboration avec les autorités s’avère nécessaire, celle-ci ne doit pas entraver l’autonomie des infrastructures critiques.
c. Le partage de l’information, que ce soit sur le plan technique ou managérial, devrait être soutenu par une législation adéquate. - Les infrastructures critiques doivent répondre à des exigences minimales en matière de cybersécurité qui doivent être définies dans la loi sur la sécurité de l’information, laquelle doit être modifiée afin de clarifier la notion d’infrastructures critiques et d’imposer des exigences supplémentaires aux services d’information.
- Les personnes appelées à intervenir en première instance en cas d’incident doivent développer une culture de la cybersécurité lors d’étapes préparatoires impliquant des discussions ouvertes et d’ordre légal entre pairs en vue de déterminer comment aligner leurs actions sur des valeurs personnelles et sociétales afin de rendre la gestion des cyberattaques plus efficace.
Vous trouverez de plus amples renseignements sur la manière dont les chercheuses et chercheurs ont procédé concrètement et d’autres informations de fond sur la page web du PNR 77 consacrée à ce projet :
Vous pouvez consulter les autres projets de recherche menés dans le cadre du Programme national de recherche « Transformation numérique » (PNR 77) à partir de cette page :