Augmentation des risques de sécurité : Le lien étroit entre les systèmes IT et OT crée de nouvelles surfaces d'attaque. Dans l'environnement industriel en particulier, la durée de vie des appareils OT est très longue, jusqu'à 30 ans - garantir des mises à jour de sécurité sur une période aussi longue est un défi.
Manque de normalisation et de certification : le marché des appareils IdO souffre d'un manque de normes de sécurité et d'une réglementation insuffisante, en particulier dans le secteur grand public. Il s'agit d'une défaillance du marché, car les fabricants lancent rapidement des appareils sur le marché à un prix abordable.
Focalisation sur la "sécurité" plutôt que sur la "sûreté" : dans l'industrie, l'accent est mis sur la prévention des accidents (sécurité), alors que la cybersécurité (sûreté) n'est pas suffisamment prise en compte.
Fragmentation des responsabilités : Le manque d'harmonisation entre les normes internationales et les initiatives nationales rend difficile la mise en œuvre de solutions de sécurité sécurisées de bout en bout.
Établir des normes de sécurité et une réglementation : La Suisse devrait introduire des normes minimales obligatoires pour les appareils IoT et OT et collaborer étroitement avec l'UE, par exemple dans le cadre du Cyber Resilience Act. Les certifications d'appareils sûrs favorisent la transparence et renforcent la confiance dans les technologies en réseau.
Promouvoir la sensibilisation de l'économie et de la société : Les campagnes de sensibilisation devraient renforcer la prise de conscience des cyber-risques parmi les entreprises et les particuliers. Pour l'industrie et les secteurs OT, les programmes de formation à la cybersécurité et aux meilleures pratiques sont importants pour éviter les failles de sécurité dues à l'ignorance ou à la négligence.
Soutenir la recherche et l'innovation de manière ciblée : La politique devrait encourager la recherche sur les architectures de sécurité pour les appareils IoT et OT, y compris les solutions pour les systèmes à court et à long terme. Des approches innovantes telles que les modèles de confiance zéro et la micro-segmentation devraient être promues pour sécuriser les systèmes en réseau.
Renforcer les audits de sécurité et les tests indépendants : L'Institut national de test de cybersécurité (NTC) devrait être davantage soutenu afin d'identifier et de corriger rapidement les vulnérabilités des appareils IoT et OT . Les tests de qualité effectués par des organismes indépendants devraient être établis comme norme, à l'instar de ce qui se fait dans le domaine des technologies médicales.
Umberto Annino, Microsoft | Martin Leuthold, Switch | Daniel Walther, Swatch Group Services
Endre Bangerter, HESB | Alain Beuchat, Banque Lombard Odier & Cie SA | Matthias Bossardt, KPMG | Daniel Caduff, AWS | Adolf Doerig, Doerig & Partner | Stefan Frei, EPF Zurich | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Pascal Lamia, BACS | Hannes Lubich, administrateur et conseiller | Luka Malisa, SIX Digital Exchange | Adrian Perrig, EPF Zurich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, DDPS | Bernhard Tellenbach, armasuisse | Andreas Wespi, IBM Research
