Traduit avec DeepL
Avec l'avancée de la numérisation et l'augmentation de la mise en réseau, les surfaces d'attaque pour les cybercriminels augmentent. Ces dernières années, les risques liés aux logiciels malveillants ont fait l'objet d'une attention relativement importante, tandis que les risques liés à la chaîne d'approvisionnement ont eu tendance à être sous-estimés. Or, la manipulation des caractéristiques de sécurité des appareils en réseau peut se produire tout au long de la chaîne d'approvisionnement et de création de valeur : lors du développement des puces, de la fabrication et de l'intégration des composants ainsi que pendant le transport vers le revendeur ou l'acheteur final. Les manipulations du matériel et des micrologiciels sont extrêmement difficiles à détecter, car les dysfonctionnements intégrés et les portes dérobées ne sont souvent activés qu'après la livraison et ne réagissent pas en situation de test grâce aux "modes de banc d'essai" intégrés. La complexité sans cesse croissante des processeurs et des systèmes vient encore compliquer la situation, ce qui déplace la menace vers la conception de ces composants.
Hormis la protection des données, il n'existe guère de normes contraignantes et juridiquement valables dans le domaine cybernétique qui régissent légalement la sécurité et l'intégrité des produits. Il en va autrement dans les secteurs industriels critiques comme la technique médicale, où les contrôles de qualité effectués par des organismes indépendants font partie intégrante de l'autorisation des produits. Le besoin de contrôles indépendants et efficaces des produits numériques devrait augmenter à l'avenir, tant dans l'industrie que dans les autorités, la police et l'armée. Pour ne pas dépendre - comme dans d'autres disciplines - de partenaires étrangers, il est important que la Suisse développe ses propres capacités de test. Dans son travail, le groupe d'experts s'est notamment penché sur les questions suivantes :
Un institut de contrôle suisse devrait en principe contrôler la qualité des objets testés en termes de sécurité sur mandat des fabricants, des fournisseurs ainsi que dans l'intérêt des consommateurs. Les exemples d'instances de cybercontrôle dans les pays voisins montrent que la demande des fabricants et des fournisseurs dépend essentiellement des réglementations nationales et internationales. Le champ possible des produits à tester est cependant immense : tous les appareils compatibles avec les réseaux entrent en ligne de compte. Une distinction stricte entre les produits matériels et logiciels n'est souvent pas pertinente, car des failles de sécurité peuvent apparaître, notamment dans l'interaction (p. ex. dans le micrologiciel). Le groupe d'experts propose entre autres de se concentrer sur la criticité lors de la sélection des objets à tester. Celle-ci se mesure aux dommages attendus en cas de manipulation ou de panne de l'objet à tester ou à son importance économique et en termes de politique de sécurité. Toutefois, des composants non critiques en soi peuvent également être utilisés abusivement pour attaquer des composants critiques. Par exemple, un réseau de zombies contenant des climatiseurs et des appareils IoT compromis peut
-Chauffages (non critiques en tant qu'appareils individuels) menace l'approvisionnement en électricité de toute une région.
Le groupe d'experts demande que les opérations de contrôle suivent un processus bien défini et soient soumises à une obligation de documentation stricte. La spécification requise pour chaque mission doit régler les questions qui font partie de l'examen et déterminer si l'existence de points faibles connus est vérifiée ou si des anomalies fondamentales sont examinées. Parmi les questions fondamentales figure notamment le respect de la sécurité par conception et de la sécurité par défaut. Il est possible de se référer à des normes existantes. La gamme des tests s'étend des tests de base, qui peuvent idéalement être automatisés, aux tests hautement spécialisés, qui sont souvent liés à la recherche et nécessitent des appareils coûteux, du matériel spécialisé et des connaissances spécifiques. Les tests de l'instance de contrôle devraient typiquement comprendre au moins les points suivants :
Les experts partent du principe que le contrôle des appareils en réseau devrait être organisé en Suisse de la même manière que dans d'autres pays. L'institut fonctionne alors comme une instance qui organise et autorise les essais et qui collabore avec des organismes de contrôle ou des laboratoires reconnus. Dans ce modèle, qui correspond à celui de l'Office fédéral allemand de la sécurité des technologies de l'information (BSI) ou de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) française, l'institut de contrôle est une instance d'audit et de contrôle orientée vers les normes. Il pourrait être implanté institutionnellement dans l'environnement des organisations sectorielles. A cet effet, les initiateurs actuels (ICTswitzerland et Initiative de Zoug) entament rapidement des négociations avec les organisations, en y associant la Confédération lorsque cela s'avère judicieux. Un financement mixte (partenariat public-privé) avec, entre autres, la Confédération, représentée par le Centre national de cybersécurité (NCSC), les hautes écoles, les grandes entreprises tech, le Service d'accréditation suisse (SAS), semble possible au vu des nombreuses parties prenantes. La mise en place d'une instance de contrôle est actuellement évaluée dans le cadre d'un projet pilote doté dans un premier temps de moyens limités. Les expériences ainsi acquises seront mises à profit pour permettre ultérieurement une mise en œuvre nationale avec des capacités plus importantes et une offre plus large, ainsi que pour viser à long terme une orientation internationale.
