La dépendance de notre société et de l’économie face à toute une série d’infrastructures numériques est devenue critique. Nous sommes tributaires d’une connectivité toujours disponible ainsi que du bon fonctionnement d’un nombre infini de technologies et de services sur lesquels nous ne pouvons plus exercer de contrôle direct.
On pense notamment aux solutions matérielles et logicielles qui, en plus d’être indispensables à la numérisation grandissante des processus métier, en sont un élément central et critique. Au premier abord, le marché semble extrêmement riche et varié, tant du point de vue des fournisseurs que des solutions proposées. Cependant, si l’on considère les pays d’origine des fournisseurs, cette diversité apparente est nettement moins prononcée.
La numérisation des processus telle que nous la connaissons aujourd’hui est irréalisable sans les solutions matérielles et logicielles des grandes multinationales. Mais la concentration géographique des sites de production dans un petit nombre de pays, pour partie non démocratiques, se traduit également par le fait que des entreprises issues de ces pays étrangers, ou ces pays eux-mêmes, disposent théoriquement d’un accès simplifié aux systèmes déployés par des fabricants et des prestataires de services suisses relevant des technologies de l’information et de la communication (TIC ou ICT). D’une manière générale, ces acteurs étrangers pourraient ainsi obtenir les informations qui y sont stockées, traitées ou reçues.
On assiste dans plusieurs pays, dont la Suisse, à l’émergence d’une large discussion sur la façon de réduire différentes formes de dépendance par la création d’une industrie nationale autonome ainsi que de possibles alternatives. Le maître-mot dans ce débat : souveraineté numérique. Il faut néanmoins garder à l’esprit le fait que le sourçage de terres rares, par exemple, ou de matériaux spécifiques à la fabrication de puces électroniques restera un problème de taille puisque ces ressources ne sont pas présentes à l’état naturel en Suisse.
La mise à jour défectueuse de Crowdstrike, société américaine de cybersécurité, et la défaillance des systèmes informatiques qu’elle a entrainée en juillet 2024, est une parfaite illustration de ce qu’est une dépendance et des répercussions mondiales qu’elle peut avoir. Les appareils Windows sur lesquels Crowdstrike servait à bloquer les attaques de pirates ont été affectés par l’incident puisque la mise à jour défectueuse provoquait une panne système. Gigantesques, les conséquences ont particulièrement affecté les entreprises, les banques, les centres d’appels d’urgence ainsi que les compagnies aériennes.
Amenée par les progrès de la numérisation, la dépendance croissante intra- et interinfrastructures fait naître des menaces critiques qui, dans une logique de gestion des risques, sont uniquement « administrables » et difficilement contrôlables. De plus, on peut légitimement s’interroger sur la capacité de l’industrie suisse, dans un avenir proche, à développer des alternatives aux solutions matérielles et logicielles prédominantes des fabricants étrangers. Même dans le cas d’une politique industrielle coordonnée dans ce domaine, inhabituelle pour la Suisse, les effets produits ne le seraient qu’à long terme, et leur issue serait incertaine. Or, la numérisation des processus métier ou encore le développement de nouvelles technologies, comme la 5G et autres, sont déjà en cours. Les composants et les solutions informatiques nécessaires à ces évolutions ne sont pratiquement jamais produits en Suisse ou uniquement en très petites quantités et, le plus souvent, en engageant des moyens importants.
Les liens étroits existant entre des services, des technologies et des infrastructures complexes, de même que les dépendances croissantes face à quelques acteurs dominants sont la cause d’une démultiplication extraordinaire des risques critiques dans nos sociétés numériques. Les choses gagnent en complexité, sont toujours plus connectées et interdépendantes tandis que ces changements s’opèrent à une vitesse « superlinéaire ».
Connectivité et réseau : les services et équipements nécessitent des communications ininterrompues et la disponibilité constante du réseau. La majorité des infrastructures sont hors de notre contrôle direct, les pannes paralysent les fonctions critiques.
Matériels et logiciels : un petit nombre de matériels, de logiciels et de services cloud dominants issus d’un nombre encore plus restreint de fabricants et de fournisseurs conditionnent totalement le fonctionnement de tous les secteurs. Les faiblesses, les défaillances et l’effet de lock-in (qui consiste à se trouver coincé dans un environnement propriétaire) entraînent des problèmes liés à la disponibilité, à la continuité de l’activité commerciale, à la sécurité des données et à la stabilité du système.
Protocoles : la dépendance à l’égard d’un petit nombre de protocoles Internet et de leur infrastructure de déploiement accroît le risque d’effets de cascade d’un secteur à l’autre.
Cloud, fournisseurs de cloud et types de service : le nombre grandissant de services en ligne ou dans le cloud, conjugué à la pression constante pour passer à des modèles d’abonnement, renforce la dépendance à l’égard de la disponibilité des fournisseurs de réseau et de services. Une part significative des activités mondiales sur Internet dépend de moins de dix fournisseurs cloud provenant de deux pays seulement : la Chine et les États-Unis. En plus de provoquer des dommages toujours plus importants, de petites défaillances concentrent les risques systémiques et les amplifient.
Cryptographie : occupant une place prédominante, un petit nombre de méthodes cryptographiques et leurs implémentations constituent la base de presque toutes les promesses de sécurité dans l’univers numérique. Il en résulte une exposition systémique énorme à des vulnérabilités encore non identifiées dans le domaine des mathématiques, de l’implémentation ou en cas de progrès soudains en informatique quantique. Et le développement de la cryptographie à sécurité quantique est un front supplémentaire sur lequel la Suisse risque encore une fois d’être confrontée à une dépendance envers des fournisseurs étrangers.
Pérennité : il n’est plus possible d’opérer des produits ou des services de manière indépendante, car ceux-ci nécessitent une connectivité continue ou l’assistance du fabricant tout au long de leur durée de vie. Il s’ensuit donc un risque critique en cas de disparition prématurée du fabricant ou du fournisseur (faillite, fermeture forcée, sanctions).
Politique : nous faisons face à une forte concentration de fabricants et d’infrastructures en position dominante dans quelques pays seulement. Le contrôle de l’infrastructure numérique tient lieu de pouvoir politique, car les nations peuvent aisément franchir des frontières numériques dans le but de perturber les systèmes du monde réel – ou parce que, justement, l’espace numérique ne connaît aucune frontière nationale. La propagation d’Internet dans le monde physique a contribué à amplifier de manière significative les préoccupations du gouvernement liées à la protection de la vie privée, à la discrimination, à la sécurité des personnes, à la démocratie ainsi qu’à la sécurité nationale.
Tout est interconnecté et la complexité ne cesse de s’accroître. Économie ouverte et de petite taille, la Suisse dépend certes de fabricants informatiques étrangers, mais cette situation lui procure également un avantage : comme les pays leaders dans le domaine des TIC poursuivent des intérêts divergents, la Suisse peut capitaliser sur ces différences et se positionner de sorte à tirer son épingle du jeu. En effet, bâtir des relations avec plusieurs pays dotés d’une industrie ICT forte ne pourra que lui être profitable si elle souhaite pouvoir utiliser au mieux leurs technologies et leurs stratégies commerciales.
Il n’est plus possible d’agir de façon isolée. Des mesures efficaces et durables visant à protéger les produits et les infrastructures ainsi qu’à assurer leur disponibilité dépassent le cadre de la seule sécurisation de systèmes individuels.
En matière de numérisation, l’économie suisse continuera à rester dépendante des fabricants ICT étrangers. Il y a donc lieu de mettre en place une gestion cohérente des risques, qui intègre la perspective d’interventions étatiques ainsi que leur mise en œuvre. Celle-ci devra tenir compte de l’ensemble des liens avec les fabricants, les sous-traitants et les fournisseurs de solutions logicielles et matérielles.
Nous devons identifier les infrastructures numériques d’importance systémique en termes de criticité (« too critical too fail »). Nous devons également élaborer des stratégies pour abaisser les dépendances et protéger ces infrastructures, développer des redondances et renforcer la capacité d’adaptation ou la stabilité, desdites infrastructures numériques et de l’industrie face aux perturbations, aux crises ou aux attaques. L’objectif serait d’y parvenir avant que ne survienne la prochaine crise.
La complexité des systèmes et des infrastructures engendre une vulnérabilité accrue, avec des pannes et des erreurs plus nombreuses, une plus forte pression sur les intervenant·e·s et des difficultés plus grandes à gérer un problème de défaillance. Il faut privilégier des architectures, des études et des implémentations simples, claires et cohérentes qui cherchent à éviter toute complexité ou dépendance inutile. Les systèmes de cette nature ne permettant pas de prédire, de tester ou de modéliser l’ensemble des conditions, nous devons donc accepter les défaillances et les compromis, les intégrer et concevoir des outils sûrs et tolérants aux pannes. La maîtrise de la complexité est la seule chose qui apporte de réels gains de sécurité.
Acceptez la numérisation, mais attachez-vous à en comprendre les risques majeurs et prenez des décisions éclairées en matière d’investissements critiques.
Évaluez en conscience les dépendances critiques de votre cyberinfrastructure et, en fonction de votre propre appétence au risque, ou de votre besoin de sécurité, recherchez activement le point d’équilibre souhaité entre l’optimisation (efficacité, gains à court terme), la capacité de résistance (résilience, survie sur le long terme) et les coûts que cela engage.
Tenez compte des défaillances et planifiez en conséquence. Les fonctions critiques au sein de la société et de l’économie doivent résister à un certain degré de défaillance. Il y a lieu de prévoir des redondances, de communiquer à leur sujet, de les financer et de les implémenter puis de les tester.
La mise en place d’une responsabilité du fait des produits est à prévoir.
Il convient de promouvoir des initiatives européennes ayant pour objet la question des dépendances critiques et celle de la responsabilité du fait des produits.
La coopération avec des fournisseurs locaux, y compris avec des start-ups suisses, doit être encouragée.
Gestion de la continuité des activités : gérez les dépendances critiques qui peuvent causer des défaillances aux conséquences néfastes pour la société avec la même rigueur que d’autres risques potentiellement dévastateurs (p. ex. les risques naturels).
Quelle est la durée pendant laquelle un système peut ne pas être disponible avant qu’un problème existentiel se pose ? S’agit-il de minutes, d’heures, de jours ?
La défaillance entraîne-t-elle une violation des exigences légales ?
Quelles répercussions une défaillance a-t-elle sur le fonctionnement de la société et de l’économie suisses ?
Umberto Annino, Microsoft | Daniel Caduff, AWS | Stefan Frei, ETH Zurich | Pascal Lamia, BACS
Endre Bangerter, HESB | Alain Beuchat, Banque Lombard Odier & Cie SA | Matthias Bossardt, KPMG | Adolf Doerig, Doerig & Partner | Roger Halbheer, Microsoft | Katja Dörlemann, Switch | Martin Leuthold, Switch | Hannes Lubich, conseil d'administration et conseiller | Luka Malis, SIX Digital Exchange | Adrian Perrig, EPF Zurich | Raphael Reischuk, Zühlke Engineering AG | Ruedi Rytz, BACS | Riccardo Sibilia, DDPS | Bernhard Tellenbach, armasuisse | Daniel Walther, Swatch Group Services | Andreas Wespi, IBM Research
