Recherche scientifique en cybersécurité civile : la Suisse doit hiérarchiser ses ressources

Cybersécurité 08:55

Une récente étude livre la première évaluation quantitative et systématique du paysage de la recherche en matière de cybersécurité en Suisse. Destinée aux milieux politiques, universitaires et économiques, elle se veut comme une base de réflexion pour appréhender les disparités et les lacunes éventuelles en matière de recherche ainsi que les incitations à fournir dans des domaines stratégiques.

Bernhard Tellenbach, Head of Cyber Security au sein du CYD Campus et l’un des auteurs de l’étude, souligne le rôle de la recherche : elle contribue pour une large part à assurer la résilience de la Suisse face aux cybermenaces et en renforce ainsi la sécurité tout comme la croissance. La SATW a voulu en savoir plus.

Quels étaient les principaux objectifs de l’étude sur le paysage de la recherche en cybersécurité réalisée en 2023 par le campus Cyber-Defence avec le soutien de la SATW, et quelles en ont été les conclusions ?

Bernhard Tellenbach (BT) : L’objectif majeur était de fournir une vue d’ensemble sur les orientations thématiques prises par les hautes écoles suisses (selon la classification de Swiss Universities) et sur les ressources qu’elles y consacraient (sous la forme d’ETP). Par ailleurs, une condition était appliquée : pour être pris en compte, les travaux d’un groupe ou d’une unité de recherche comparable devaient avoir été menés sur une période d’au moins deux ans, par au moins un équivalent temps plein (ETP). Les heures prises en compte dans le calcul d’un ETP ont été exclusivement fournies par des scientifiques, à savoir professeur·e·s, postdoctorant·e·s, collaborateur·rice·s scientifiques, doctorant·e·s. En revanche, les travaux réalisés par des étudiant·e·s (notamment les mémoires de bachelor ou de master) n’y ont pas été intégrés.

L’étude a permis de démontrer qu’à l’échelon national près de 297 ETP sont alloués à la recherche, ce qui, grosso modo, correspond encore à une « PME ». En effet, la limite entre entreprise de taille moyenne et grande entreprise se situe à 250 équivalents temps plein en Suisse. Si parmi les 14 champs de recherche identifiés, les scientifiques travaillent sur plus de 13 d’entre eux, seuls 57 des 145 thèmes de recherche sont traités, soit un peu plus d’un tiers. On remarque par ailleurs une disparité dans la distribution des ressources. Plus de la moitié des ETP (174) sont concentrés dans trois domaines : la cryptologie, les réseaux et les systèmes distribués ainsi que la sécurité logicielle et informatique, ce dernier domaine se taillant la part du lion.

 

Comment s’expliquent ces disparités régionales, tant au niveau des domaines de recherche que des ressources ? D’une manière générale, la Suisse a-t-elle su se positionner favorablement sur l’échiquier de la recherche en cybersécurité ou y a-t-il des « angles morts » ?

BT : Sur ce plan, différents facteurs jouent un rôle à mes yeux. L’un d’entre eux est certainement lié à la complexité des problématiques de recherche et donc, bien souvent, aux activités nécessaires à leur investigation. Par exemple, la recherche destructrice ou encore celle qui consiste à démontrer l’existence d’un problème de sécurité est souvent plus simple à réaliser que de développer et d’introduire une technologie sûre visant à en remplacer une autre, vulnérable. Dans cette situation, la réponse à apporter à une problématique donnée doit presque être à toute épreuve, autrement dit elle doit tenir compte de tous les points d’attaque et de toutes les failles possibles et imaginables, alors que dans le premier cas de figure, il suffit d’identifier un seul et unique problème ou point d’attaque.

Autre facteur potentiellement important : l’actualité d’un sujet aux yeux des décideurs politiques ou de l’opinion publique. Il s’agit par exemple de toutes les questions autour de l’intelligence artificielle en lien avec la sécurité et la protection des données, ou celles qui se rapportent aux technologies quantiques. Comme dans toute organisation qui mène des travaux de recherche sur la cybersécurité, au Cyber-Defence Campus nous devons également définir nos priorités et tenter de combler les vides avec les moyens et les ressources dont nous disposons.

La réponse à la question sur le positionnement de la Suisse dépend des compétences et des connaissances que les différents acteurs politiques et sociaux jugent déterminantes. Cette réponse risque en effet de ne pas être identique selon la personne à qui vous posez la question.

 

Compte tenu des résultats de l’étude, quelles sont les mesures proposées ?

BT : L’étude ne propose pas de mesures. Les instruments qui permettent d’orienter les activités de recherche vers les domaines souhaités sont bien connus. De nombreuses possibilités existent : depuis l’appel à projets comme celui des Grand Challenges de la DARPA (p. ex. le Cyber Grand Challenge [darpa mil.]), en passant par des incitations financières dans le cadre de programmes d’aide à la recherche (p. ex. les priorités thématiques des programmes de recherche de l’UE), jusqu’à la création d’institutions scientifiques spécifiques (p. ex. le Centre Helmholtz pour la sécurité de l’information CISPA soutenu/opéré par la République fédérale d’Allemagne depuis 2018). Il revient aux décideurs politiques et à la société de trancher sur le bien-fondé d’interventions éventuelles et, le cas échéant, sur leur ampleur. Mais quoi qu’il en soit, une certitude existe : les ressources de la Suisse sont comptées et elle n’aura donc d’autre choix que de les hiérarchiser.

 

En 2020, la Centrale d’enregistrement et d’analyse MELANI s’est transformée pour devenir le NCSC rattaché au secrétariat général du DFF. À partir du 1er janvier 2024, le NCSC deviendra l’Office fédéral de la cybersécurité au sein du DDPS. Cette évolution fulgurante reflète-t-elle l’importance grandissante que le gouvernement fédéral accorde à la cybersécurité ?

BT : Cela fait déjà longtemps que l’importance croissante de la cybersécurité figure sur les écrans radars de la Confédération. Lorsqu’elle a lancé la mise en place du Plan d’Action Cyberdéfense (PACD) en réponse à l’incident RUAG en 2016, je n’exerçais pas encore dans ce secteur, mais j’ai perçu cette démarche comme un signe clair de la prééminence du sujet. La création du Cyber-Defence Campus, qui est intégré à la division armasuisse Sciences et Technologies, faisait déjà partie de ce plan. L’importance cruciale de la cybersécurité reste entière jusqu’à aujourd’hui, même si j’ai conscience du fait que les derniers développements sont également vus d’un œil critique par certaines franges de la communauté.

 

Est-il envisagé de collaborer avec des institutions de recherche en cybersécurité du domaine de l’enseignement sur un modèle tel qu’il a été défini dans l’étude ? Peut-être même avec des entreprises civiles ?

BT : Je ne peux parler que pour le programme de recherche Cyberespace que je dirige au sein du Cyber-Defence Campus. Dès la création du Campus, nous avons collaboré étroitement avec les organisations et instituts de recherche suisses. Nous utilisons différents instruments, tels que la recherche sous contrat ou les hackathons. Dans le cadre de la recherche sous contrat, nous travaillons avec des partenaires sur des problématiques de recherche dont nous estimons qu’elles détiennent une importance capitale pour la sécurité de la Suisse. L’objectif est habituellement de cerner ou d’évaluer les risques et les opportunités que présentent des technologies ou des méthodes disruptives et de développer des compétences qui seront requises par la suite au niveau de la Confédération sur des projets d’approvisionnement ou d’innovation.

Étude : Cybersecurity Research Landscape in Switzerland