Interview de Thomas Bögli, spécialiste du cyberespace et chef de la cyberdéfense de l’Armée suisse

Monsieur Bögli, comment est organisée la cyberdéfense en Suisse ?

En Suisse, la règle d’engagement stipule que chacun est responsable de sa propre sécurité. Les infrastructures critiques, c’est-à-dire des entreprises comme par exemple la Poste, Swisscom, les banques, etc, sont responsables de leur propre sécurité. Au niveau fédéral, la centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), dirigée conjointement par le département fédéral des finances (DFF) et le département fédéral de la défense, de la protection de la population et des sports (DDPS), joue un rôle central. Elle vise la prévention et la gestion des cyberrisques et apporte son soutien aux infrastructures critiques. Parallèlement, la cybercriminalité relève du département fédéral de justice et police (DFJP) qui possède un Service de coordination de la lutte contre la criminalité sur internet (SCOCI).

Afin de clarifier et de centraliser cette organisation, le Conseil fédéral a validé récemment la création d’un centre de compétence pour la cybersécurité. Ce centre sera dirigé par un délégué à la cybersécurité et servira de guichet unique pour toutes les questions relatives aux cyberrisques.

Quel rôle joue l’armée dans la cyberdéfense ?

Comme pour les infrastructures critiques, l’armée est avant tout responsable d’assurer son autoprotection. Toutefois, en cas de cyberattaque majeure, l’armée joue le rôle de réserve stratégique et doit fournir un appui subsidiaire aux autorités civiles. Sa mission «aider, protéger, combattre» est également valable dans le cyberespace.

A quelle fréquence la Suisse est-elle victime de cyberattaques ?

Quotidiennement! Chaque jour, des tentatives de cyberattaques ont lieu en Suisse. Bien souvent, les entreprises concernées ne s’en rendent même pas compte, ou alors elles ne disent rien, par peur de la mauvaise réputation que cela peut entraîner. Par exemple, les rançongiciels sont monnaie courante. Il s’agit d’un logiciel qui chiffre les données d’un particulier ou d’une entreprise et les rend inaccessibles. Les hackers réclament alors une rançon en échange de la clé pour déverrouiller ces données.

Qui se cache derrière ces attaques ?

Nous avons une pyramide avec cinq différents types d’agresseurs. Au sommet de cette pyramide se trouvent les cyberpuissances, c’est-à-dire des états tels que la Chine, la Russie, les USA, la Grande-Bretagne ou Israël. C’est une guerre sans arme létale, sans effusion de sang et sans mort, mais dont le but est de dérober des données. En 2016 par exemple, l’entreprise RUAG a été victime de cyberespionnage et des données importantes ont été volées.

Comment l’armée peut-elle se protéger ?

La cyberdéfense de l’armée relève de la compétence de la Base d’aide au commandement (BAC). Nous avons besoin de bons détecteurs et capteurs de maliciels et des collaborateurs attentifs à l’évolution de la situation dans le cyberespace. Finalement, lorsqu’une cyberattaque survient, l’armée doit être en mesure de la cerner et de l’isoler rapidement.

En comparaison avec d’autres pays, quel est le degré de préparation de la Suisse ?

Qualitativement, nous avons un bon degré de préparation. Quantitativement par contre, nous avons peu de personnel. Heureusement, les écoles dans le domaine cybernétique qui ont débuté l’année passée permettront d’apporter un soutien bienvenu aux spécialistes professionnels de la BAC. Dans le cas de figure où l’armée doit soutenir les autorités civiles, ces militaires de milice permettront d’assurer un engagement sur la durée.

La guerre de demain se fera-t-elle uniquement avec des ordinateurs ?

Je ne pense pas que le cyber remplacera les moyens existants. En 1914 par exemple, l’introduction des forces aériennes n’a pas remplacé non plus les troupes au sol. Ainsi, le cyber est une dimension supplémentaire qui vient s’ajouter aux dimensions terrestres et aériennes. En quelque sorte, l’armée est un couteau suisse et le cyber est un outil de plus qu’il faut lui ajouter.

En tant que chef de la cyberdéfense de l’armée, quels sont les principaux défis à relever dans les années à venir ?

En premier lieu les «Internet of Things» (IoT). C’est-à-dire tous les appareils connectés, des voitures aux télévisions en passant par les réfrigérateurs. Ces appareils seront une source de danger car les systèmes de défense sont trop faibles. On aborde là toute la question de la sécurité et du traitement des données enregistrées par ces objets. Que va-t-on faire de ces données ? Comment être sûr qu’elles ne seront pas utilisées à mauvais escient ?

Plus spécifiquement concernant l’armée, la question sera de savoir quel soutien est attendu de sa part en cas de cyberattaque. Il faudra clairement définir et quantifier le soutien subsidiaire que l’armée pourra être amenée à apporter aux autorités civiles.

Quels conseils de base donneriez-vous à la population afin de se protéger des cyberattaques ?

Je dis toujours qu’il faut être paranoïaque de manière constructive (éclat de rire). Plus sérieusement, il y a des règles simples à respecter. Il faut se méfier des accès Wifi gratuits et désactiver le WLAN ou le Bluetooth si vous n’en avez pas spécifiquement besoin. En cas de discussion confidentielle, il est conseillé de ranger les smartphones ou autres mouchards potentiels. Sans tomber dans l’hystérie, il faut toujours rester prudent. Et si vous détectez un problème, il faut immédiatement annoncer le cas à la Centrale MELANI.

Source : Confédération DDPS / Bund – VBS

Research: Groundhog Principle in Cyber Security – Threat Intelligence & Information Sharing

Alain Mermoud PhD Thesis Cyber Defence
Dr. Alain Mermoud defended his PhD thesis on the 5th of April, 2019 at the Faculty of Business and Economics (HEC Lausanne)

This PhD thesis presents a behavioral economics contribution to the security of information systems. It focuses on security information sharing (SIS) between operators of critical infrastructures, such as systemic banks, power grids, or telecommunications. SIS is an activity by which these operators exchange cybersecurity-relevant information, for instance on vulnerabilities, malwares, data breaches, etc. Such information sharing is a low-cost and efficient way by which the defenders of such infrastructures can enhance cybersecurity. However, despite this advantage, economic (dis)incentives, such as the free-rider problem, often reduce the extent to which SIS is actually used in practice.

This thesis responds to this problem with three published articles. The first article sets out a theoretical framework that proposes an association between human behavior and SIS outcomes. The second article further develops and empirically tests this proposed association, using data from a self-developed psychometric survey among all participants of the Swiss Reporting and Analysis Centre for Information Assurance (MELANI). SIS is measured by a dual approach (intensity and frequency), and hypotheses on five salient factors that are likely associated with SIS outcomes (attitude, reciprocity, executional cost, reputation, trust) are tested. In the third article, policy recommendations are presented in order to reduce executional costs, which is found to be significantly and negatively associated with SIS.

In conclusion, this thesis proposes multiple scientific and practical contributions. It extends the scientific literature on the economics of cybersecurity with three contributions on the human factor in SIS. In addition, regulators will find many recommendations, particularly in the area of governance, to support SIS at the legislative level. This thesis also offers many avenues for practitioners to improve the efficiency of SIS, particularly within Information Sharing and Analysis Centers (ISACs) in charge of producing Cyber Threat Intelligence in order to anticipate and prevent cyberrisks.

Download PhD Thesis here

Le principe de la marmotte dans la cyberdéfense

Les cyberattaques sont un phénomène quotidien. Pour les États, les entreprises et les particuliers, la question essentielle n’est pas de savoir s’ils seront effectivement victimes d’une attaque dans le cyberespace, mais avec quel niveau de professionnalisme et quelle intensité cette attaque sera menée. L’échange d’informations au sujet des agresseurs constitue une méthode efficace pour se protéger contre les cyberattaques. Alain Mermoud, collaborateur scientifique à l’Académie militaire de l’EPF de Zurich, a fait des recherches à ce sujet pour sa thèse de doctorat.

Alain Mermoud Jury PhD Thesis Cyber Defence

La première marmotte qui repère un ennemi avertit les autres avec un sifflement caractéristique pour que tout le groupe puisse se mettre à l’abri à temps. Cette méthode peut également être appliquée dans la cyberdéfense. Un membre d’un réseau peut diffuser rapidement et de manière transparente des informations sur l’agresseur et le type d’attaque sur une plateforme réservée à cet effet, ce qui permet aux autres membres de prendre immédiatement les mesures nécessaires. 

Partager ses informations ou non

Pour les exploitants d’infrastructures critiques, cette manière de procéder n’est pas dépourvue de risques. D’une part, ils ne désirent pas partager avec d’autres des informations acquises à des coûts élevés, et d’autre part, il n’est pas toujours facile d’évaluer le degré de confiance que l’on peut accorder aux autres partenaires. En revanche, le partage des informations permet d’améliorer la capacité technique de résistance de l’ensemble du cyberespace, et les frais d’acquisition des informations peuvent être répartis entre tous les utilisateurs, ce qui entraîne une réduction appréciable des coûts.

Dans le cadre de sa thèse de doctorat, Alain Mermoud a procédé à un sondage auprès des utilisateurs de la Centrale d’enregistrement et d’analyse pour la sécurité de l’information de l’administration fédérale (MELANI). Le point le plus important était de déterminer les critères à remplir pour inciter les utilisateurs à accepter un échange d’informations. Une analyse empirique en a révélé cinq, à savoir la réciprocité de l’échange, la valeur des informations, les obstacles institutionnels existants, la réputation de la plateforme et la confiance vis-à-vis des autres partenaires. En résumé, on peut dire que des institutions acceptent d’échanger leurs informations au sujet de cyberattaques si la plateforme est fiable et bien protégée, si elle est gérée par des règles claires et si les institutions tirent un profit de cette forme d’échange. 

Partage obligatoire ou facultatif ?   

En été 2018, le Parlement a reçu une interpellation  qui exige l’introduction d’une obligation d’annoncer les cyberattaques et de procéder à un échange d’informations. Toutefois, l’analyse des données faite par Alain Mermoud conclut qu’une communication adéquate, une plateforme fiable et incitative et un bénéfice approprié peuvent davantage convaincre qu’une obligation prononcée par l’Etat. 

Reconnaissance scientifique et utilité pratique

La thèse d’Alain Mermoud a reçu le soutien de l’Académie militaire de l’EPF de Zurich et de l’université de Lausanne. Elle constitue un bon exemple du niveau de qualité élevé des publications scientifiques de l’ACAMIL ainsi que de l’utilité pratique de ces travaux pour l’armée comme pour la société en général. Grâce à son activité d’officier de renseignements de milice, Alain Mermoud a pu mettre ses connaissances au service de la recherche, et l’armée à son tour tire profit des résultats obtenus.

Source : Admin.ch

Télécharger la thèse de doctorat ici

Murmeltierprinzip in der Cyberabwehr

Alain Mermoud Public Defence PhD Thesis Cyber Defence

Cyberangriffe geschehen täglich. Für Staaten, Unternehmen und Individuen stellt sich nicht länger die Frage, ob sie tatsächlich im Cyberraum angegriffen werden, sondern nur noch, wie professionell und in welcher Intensität. Ein bewährtes Prinzip für einen effizienten Schutz vor Cyberangriffen ist der Austausch über Informationen zu den Angreifern, über welchen Alain Mermoud, wissenschaftlicher Mitarbeiter an der Militärakademie an der ETH Zürich, in seiner Dissertation geforscht hat.

Das erste Murmeltier, das einen Feind erspäht, warnt durch das unverkennbare Pfeifen seine Artgenossen, damit diese sich vor der Gefahr in Sicherheit bringen können. Dasselbe Prinzip ist in der Cyberabwehr anwendbar, in dem ein Netzwerkmitglied auf einer Plattform für Informationsaustausch möglichst rasch und transparent Informationen über den Angreifer und die Art des Angriffs verbreitet. So können die übrigen Mitglieder entsprechende Massnahmen treffen.

Teilen oder nicht

Diese Vorgehensweise führt bei den Betreibern kritischer Infrastrukturen zu einem Dilemma. Zum einen wollen Betreiber die kostenintensiv gewonnenen Informationen nicht mit anderen teilen. Zudem können sie die Vertrauenswürdigkeit der anderen Partner nicht immer einschätzen. Zum anderen verbessert sich jedoch durch die Informationsteilung die technische Widerstandsfähigkeit des gesamten Cyberraums, und die Kosten der Informationsbeschaffung können auf alle aufgeteilt und damit signifikant reduziert werden.

Alain Mermoud hat für seine Dissertation eine Umfrage bei den Benutzern der Melde- und Analysestelle Informationssicherung der Bundesverwaltung (MELANI) durchgeführt. Im Zentrum stand die Frage, welche Faktoren gegeben sein müssen, damit die Benutzer bei einem Informationsaustausch mitwirken würden. Nach der empirischen Analyse haben sich fünf Faktoren herauskristallisiert, die eine Zusammenarbeit beeinflussen: die Gegenseitigkeit des Austausches, der Informationsgehalt, vorhandene institutionelle Hindernisse, die Reputation der Plattform sowie das Vertrauen in die anderen Partner.

Zusammengefasst tauschen Institutionen dann ihre Informationen zu Cyberangriffen freiwillig aus, wenn die Plattform gut geschützt und vertrauenswürdig ist, klare Regeln hat und sie sich davon einen Nutzen versprechen.

Obligatorisch oder freiwillig?

Im Sommer 2018 wurden im Parlament eine Interpellation eingegeben. Sie fordert die Einführung einer Meldepflicht bei Cyberangriffen und damit einen Informationsaustausch. Doch Mermouds Analyse der Daten lässt darauf schliessen, dass eine hinreichende Sinnvermittlung, eine vertrauensvolle Plattform mit Anreizen sowie ein angemessener Nutzen zielführender sind als ein staatliches Obligatorium.

Wissenschaftlich anerkannt und praktisch relevant

Die Dissertation von Alain Mermoud wurde die von der Militärakademie an der ETH Zürich und der Universität Lausanne betreut. Sie dient als gutes Beispiel für die einerseits hohe akademische Qualität der wissenschaftlichen Publikationen an der MILAK und andererseits für den praktischen Nutzen der Arbeiten für die Armee und Gesellschaft im weiteren Sinne. Mermoud konnte aus seiner Miliztätigkeit als Nachrichtenoffizier Wissen in die Forschung einbringen, und die Armee profitiert wiederum von den Ergebnissen.

Source : Admin.ch

Doktorarbeit hier heruntarladen

Aufbau Kompetenzzentrum Cyber-Sicherheit einen Schritt weiter

Der Bundesrat hat an seiner Sitzung vom 15. Mai 2019 den Umsetzungsplan zur «Nationalen Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS) 2018–2022» verabschiedet und damit weitere Entscheide zum Aufbau des Kompetenzzentrums für Cyber-Sicherheit gefällt. Gleichzeitig hat der Bundesrat eine Stärkung der personellen Ressourcen im Bereich Cyber-Risiken im Umfang von 24 Stellen beschlossen.

Der Umsetzungsplan legt fest, wie der deutlich intensivierten Bedrohungslage im Bereich Cyber-Sicherheit Rechnung getragen werden soll. Basis für diese Planung sind die Grundsatzentscheide zur Organisation des Bundes im Bereich Cyber-Risiken, welche der Bundesrat im Januar dieses Jahres gefällt hat. Das dabei beschlossene Kompetenzzentrum unter der Leitung des oder der Delegierten des Bundes für Cyber-Sicherheit nimmt bei der Umsetzung der NCS eine Schlüsselrolle ein. Mit ihrer/seiner Geschäftsstelle ist sie/er verantwortlich für die Koordination der bundesweiten Umsetzungsarbeiten.

Einbezug von Kantonen, Wirtschaft und Hochschulen

Mit der Schaffung des Kompetenzzentrums wird den Forderungen aus der Wirtschaft und dem Parlament nach einer verstärkten Zentralisierung der Aktivitäten im Bereich Cyber-Sicherheit Rechnung getragen. Der vom Bundesrat verabschiedete Umsetzungsplan legt die Zuständigkeiten innerhalb der Bundesverwaltung fest und beschreibt die Aufgaben der beteiligten Stellen. Dabei bezieht sich der Umsetzungsplan nicht nur auf die Akteure der Bundesverwaltung, sondern auch auf die Kantone, die Wirtschaft und die Hochschulen. Zu den Massnahmen auf Bundesebene gehören prioritär die Erarbeitung von weiteren Minimalstandards in der Informatiksicherheit, die Prüfung einer Meldepflicht für Cyber-Vorfälle, die Schaffung eines überdepartementalen Expertenpools für Cyber-Sicherheit und die Etablierung einer Anlaufstelle für Private, Behörden, Wirtschaft und Hochschulen.

Im Bereich der Cyber-Defence werden die Arbeiten intensiviert. Einerseits mit dem Aufbau des Cyber Defence Campus, andererseits mit dem Fähigkeitsausbau zur Informationsbeschaffung und Attribution. Im Bereich der Cyber-Strafverfolgung wird im Rahmen des Cyberboards an den Voraussetzungen für die nationale Fallübersicht (Polizei & Justiz) gearbeitet.

Ausbau der Ressourcen

Damit die neuen Aufgabenbereiche kompetent abgedeckt werden können, werden in den für die Cyber-Sicherheit zuständigen Ämtern ab dem Jahr 2020 insgesamt 24 neue Stellen geschaffen. Die Melde- und Analysestelle Informationssicherung (MELANI) wird Teil des Kompetenzzentrums Cyber-Sicherheit und erhält neben personellen auch und finanzielle Mittel, um vermehrt allen Unternehmen (insbesondere auch KMU) sowie der Bevölkerung Informationen zu Cyber-Risiken zu vermitteln, sie gezielt vor Angriffen zu warnen und sie bei Vorfällen unterstützen.

Mit dem Umsetzungsplan liegen nun alle nötigen Grundlagen vor, um die NCS voranzutreiben. Die Arbeiten werden durch einen Steuerungsausschuss begleitet, in welchem Vertretungen der Kantone, der Wirtschaft und der Hochschulen Einsitz erhalten. Der oder die Delegierte des Bundes für Cyber-Sicherheit leitet den Steuerungsausschuss NCS und trägt gegenüber Bundesrat und Parlament die Verantwortung für die Umsetzungsarbeiten der NCS.

Source : Bund