Renforcer la cyberrésilience par une collaboration coordonnée

Le 14 septembre 2023, près de 70 spécialistes de l’administration, de l’économie et des sciences ont répondu à l’invitation du SEFRI et de la SATW à Berne. Ensemble, ils ont abordé les champs d’action actuels et futurs susceptibles de renforcer la cyberrésilience suisse par le biais d’une collabo-ration nationale et internationale dans le domaine de la recherche et de l’innovation.

L’importance d’une collaboration internationale

Dans son allocution de bienvenue, la secrétaire d’État Martina Hirayama a souligné l’importance de la cybersécurité pour l’économie et la société en Suisse. Elle a mis en avant à cet égard l’importance cruciale de la collaboration internationale pour la recherche sur la cybersécurité. Il est ainsi essentiel d’exploiter les nombreux potentiels de synergie tant au niveau national qu’au niveau international pour faire face aux défis du monde numérique. Elle a expliqué le rôle de la politique dans le secteur de la formation, de la recherche et de l’innovation (FRI) et a rappelé aux participant·e·s le principe « bottom-up » des institutions.

Par ailleurs, la secrétaire d’État Martina Hirayama a informé sur les possibilités de participation actuelles aux programmes-cadres de l’UE et sur les mesures de transition déjà adoptées pour la période 2021-2023. Martina Hirayama a ensuite remercié les intervenant·e·s d’avoir accepté de partager leur perspective. Selon elle, il est essentiel de connaître les besoins et enjeux des différentes parties prenantes pour prendre les bonnes mesures et décisions du point de vue de la promotion de la recherche en Suisse.

Mesures recommandées

Les présentations et interventions de la table ronde ont permis de formuler les recommandations de mesures suivantes :

  • Évaluation du paysage de la recherche avec différentes parties prenantes : dans quels domaines a-t-on besoin de plus de recherche/de compétences en Suisse pour répondre aux principaux enjeux ? Le point de vue du CYD Campus a été présenté lors de l’événement, tandis que d’autres expert·e·s envisagent éventuellement d’autres mesures concrètes.
  • Élargissement du paysage de la recherche suisse à l’industrie afin d’en obtenir une image plus précise.
  • Soumission d’une requête de PRN par la communauté de cybersécurité : le moment est opportun, puisque pendant la deuxième moitié du mois de novembre 2023, le FNS mettra au concours la sixième série de PRN sur mandat de la Confédération.

Minimiser les risques avec des compétences

L’ensemble des participant·e·s étaient unanimes : dans un monde instable et fragmenté, l’humanité fait face à des menaces très sérieuses qu’il s’agit de maîtriser. En font partie divers scénarios tels que l’accès restreint aux technologies, les chaînes d’approvisionnement fragmentées, la mobilité limitée des talents ou le cyberarmement. Les longues et nombreuses chaînes d’approvisionnement comportent notamment des risques de cybersécurité.

Exemple : plus de 100 entreprises participent à la fabrication d’un téléphone mobile, ce qui accroît le risque de « contamination » d’une puce par un logiciel malveillant ou espion. Les pays ayant la capacité de scanner de telles puces et d’identifier les contaminations ont un risque plus faible d’être affectés par des agissements criminels. Pour faire face aux menaces et minimiser des risques, des compétences spécifiques qu’il est possible d’acquérir par la recherche sont nécessaires.

En collaboration avec la SATW et dans le cadre d’une contribution à la cyberstratégie nationale (CSN), le Cyber-Defence Campus (CYD) d’armasuisse a élaboré une vue d’ensemble du paysage de la recherche en matière de cybersécurité en Suisse. Cette étude analyse les différents domaines de cybersécurité dans lesquels une recherche stratégique (sur une longue période et avec des ressources définies) est menée en Suisse.

Étude: Cybersecurity Research Landscape in Switzerland

Thèmes de recherche en Suisse

L’étude du CYD Campus et de la SATW se concentre sur les hautes écoles universitaires en Suisse, les écoles spécialisées n’étant explicitement pas prises en compte. Pour ces dernières, il est plus difficile de lancer des recherches ou de mener des recherches stratégiques avec un objectif clair car il n’existe pas de financement de base.

Comme le montre l’étude, la recherche en Suisse porte avant tout sur trois domaines thématiques : l’ingénierie en sécurité logicielle et matérielle des systèmes d’information, la cryptologie, et les réseaux et systèmes distribués. Même si plusieurs thèmes de recherche sont traités, il arrive souvent qu’un faible nombre d’équivalents temps plein travaillent sur un domaine spécifique.

D’après les experts du CYD Campus, il existe des lacunes de recherche dans les domaines des normes peu sûres, de l’automatisation et des nouvelles technologies comme l’informatique quantique. Afin d’obtenir une vue d’ensemble complète, les efforts de recherche des PME et des institutions de recherche privées doivent aussi être inclus à l’avenir. Devant le caractère fastidieux que représente la saisie de tels efforts, une meilleure collaboration ainsi que l’engagement commun des parties prenantes les plus diverses sont requis. À ces difficultés vient s’ajouter le fait qu’il n’existe actuellement aucun aperçu permettant de voir quels acteurs mènent effectivement des recherches stratégiques et de les quantifier.

Un nouvel organe de coordination au niveau européen

Une nouvelle autorité chargée de renforcer et de coordonner les activités de cybersécurité dans l’UE est actuellement mise en place avec le Centre européen de compétences en cybersécurité (ECCC). Au sein de l’UE, le problème principal ne se situe pas au niveau de la recherche mais plutôt au niveau de l’application de ses résultats dans les produits. Une collaboration intensive à cet égard est requise au sein de l’UE pour associer les entreprises et les pays. L’ECCC suit essentiellement une approche stratégique venant compléter les efforts opérationnels continus de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et intégrée aux stratégies globales de l’UE, parmi lesquelles la boussole numérique, l’union européenne de la sécurité et la stratégie de cybersécurité de l’UE.

L’objectif de l’ECCC, qui doit être pleinement opérationnel début 2024, est de mettre en adéquation les trois stratégies existantes, qui ont été élaborées dans différentes parties de la Commission européenne. La Suisse est actuellement considérée comme un pays tiers non associé dans Horizon Europe et dans les programmes et initiatives qui y sont liés. C’est la raison pour laquelle il n’est actuellement pas possible de négocier une participation à l’ECCC.

Empowerment : objectif stratégique du NCSC

En Suisse, le Centre national pour la cybersécurité (NCSC) est compétent pour les aspects de prévention et de sensibilisation en matière de cybersécurité. Le NCSC a vu le jour dans le cadre d’un partenariat public/privé du nom de MELANI. Aujourd’hui, il travaille en étroite collaboration avec les organisations et instituts de recherche suisses tels que la SATW et le CYD Campus afin d’appliquer la recherche dans la pratique.

Le NCSC est intégré à de nombreux projets de recherche nationaux. Dans le domaine de la recherche, l’objectif stratégique consiste à renforcer et à favoriser le positionnement de la Suisse comme centre d’innovation pour la cybersécurité. La Suisse a le potentiel pour devenir un pays leader en matière de prestations et de produits de cybersécurité, bien qu’il existe un manque de soutien ainsi que des défis à relever en matière de coopération internationale. La priorité du NCSC est actuellement de renforcer les différents acteurs, d’encourager l’innovation ainsi que de définir des normes clés en matière de cybersécurité en Suisse.

Collaborer pour bâtir la confiance

Du fait de l’absence d’accès au Conseil européen de la recherche (ERC) et aux actions Marie Skłodowska-Curie (MSCA), les universités suisses perdent en attractivité. Les jeunes talents sont attirés par de telles mesures et la perte d’accès limite l’influence des universités suisses.

Pour pouvoir bâtir la confiance, une collaboration renforcée au niveau international est donc nécessaire. La Suisse peut actuellement participer aux projets d’Horizon Europe, mais pas à son ordre du jour. Pour les PME qui sont aujourd’hui aussi exclues des instruments européens de promotion, une réponse possible pourrait être d’établir une base légale dans un autre pays.

Il est crucial de promouvoir les start-ups et les scale-ups en Suisse pour préserver les compétences de la Suisse. La mise en place d’un pôle de recherche national (PRN) dans le domaine de la cybersécurité pourrait s’avérer utile et pertinente : un réseau d’acteurs académiques, publics et privés pourrait ainsi contribuer à améliorer les structures et promouvoir la mise en réseau du paysage de la recherche suisse au niveau international.