Fo­rum As­su­rances 2024: Com­ment af­fron­ter les cy­ber-risques

Lennig Pedron, directrice de Trust Valley, a ouvert le débat en rappelant l’ampleur du cybercrime, qui génère des profits astronomiques estimés à 9,5 milliards de francs en 2024, un chiffre qui pourrait grimper à 12 milliards dès 2025. Plus qu’un simple problème technologique, le cybercrime est devenu une industrie bien organisée, parfois même méconnue de ses propres exécutants.

Les grandes entreprises, souvent bien dotées en termes de sécurité numérique, indiquent que 60% des attaques arrivent par le biais de prestataires externes, souvent des PME. L’experte observe que les PME, concentrées sur leur activité principale, n’ont souvent ni les moyens ni les connaissances nécessaires pour mettre en place des mesures de protection efficaces, les rendant vulnérables aux cyber-risques, pourtant de plus en plus connus. Ainsi les PME, essentielles à l’économie locale, constituent des portes d’entrée fréquentes pour les cybercriminels. Cela renforce la nécessité d’une approche collective et solidaire pour sécuriser l’ensemble de l’écosystème économique suisse.

«En Suisse, nous ne sommes pas les champions mondiaux de la cybersécurité, mais sommes depuis 13 ans en tête de classement en matière d’innovation», a déclaré Lennig Pedron, mettant en lumière une spécificité helvétique. Le classement, qui repose sur des critères tels que le nombre de brevets déposés, la qualité des universités et la capacité à transformer des idées en solutions concrètes, reflète une capacité unique à innover. Cette force d’innovation repose sur un écosystème robuste comprenant des institutions renommées comme l’EPFL et les hautes écoles, ainsi qu’une tradition de collaboration entre secteurs public et privé. En parallèle, avec sa démocratie directe, la Suisse a une habitude de concertation et de collaboration, ainsi qu’une capacité à mobiliser rapidement des acteurs variés pour répondre à des défis communs. 

Pour profiter de ces atouts et combler les lacunes de protection, la Trust Valley agit en catalyseur, proposant des programmes immersifs de 12 mois, qui impliquent tous les niveaux d’une organisation – des conseils d’administration aux employés de première ligne. Ce processus de transformation ne se limite pas à la sensibilisation: il inclut des tests en conditions réelles, des formations spécifiques pour chaque département, et des exercices de gestion de crise. L’objectif est de construire une culture organisationnelle de cybersécurité durable, dans laquelle chaque membre de l’entreprise comprend son rôle face aux risques numériques.

Enfin, la directrice de la Trust Valley a appelé à un changement de mentalité: «Être victime d’un cyberincident n’est plus un tabou, mais une réalité à intégrer dans nos plans d’action.» Ce message vise à encourager les entreprises à traiter la cybersécurité comme une priorité stratégique, au même titre que la gestion financière ou la planification commerciale. En profitant de ses atouts uniques – innovation, collaboration et expertise académique – la Suisse peut renforcer sa position face à une menace globale et complexe.

Cristina Gaggini, directrice romande d’Economiesuisse, a insisté sur le rôle crucial de la responsabilité individuelle des entreprises face aux cyber-risques. Elle a souligné l’importance d’un cadre légal minimal, bien conçu et surtout pragmatique, orienté vers des solutions concrètes. Selon elle, le rôle de l’État doit être d’accompagner les acteurs économiques en fournissant des indications claires, des mises à jour régulières, des recommandations pratiques et des lignes directrices utiles – à l’image de ce que fait l’Office fédéral de la cybersécurité. La porte-parole de l’économie a mis en garde contre un excès de réglementation, qu’elle a pu observer dans d’autres domaines et qui pourrait rapidement se transformer en une série d’interdictions et de restrictions superflues. Un excès d’étatisme risquerait d’étouffer l’innovation et de freiner les initiatives nécessaires pour lutter efficacement contre les cyber-risques.

La directrice romande d’Economiesuisse a salué les efforts des initiatives comme la Trust Valley, de même que d’autre projets purement privés allant dans le même sens, qui offrent des solutions flexibles adaptées aux PME. Selon elle, «ce n’est pas au secteur public de tout résoudre, mais bien aux entreprises de prendre les devants pour intégrer les cyber-risques dans leur gouvernance». Cela nécessite une sensibilisation accrue des dirigeants, mais aussi une mise à jour régulière des codes de bonne pratique en matière de gouvernance, afin de renforcer la prise en charge des menaces numériques à tous les niveaux des entreprises.

La Conseillère nationale Isabelle Chappuis a mis en lumière un autre aspect critique: le rôle de l’intelligence artificielle (IA) dans la cybersécurité. Si l’IA est un outil puissant pour identifier les failles et prévenir les attaques, elle peut aussi être exploitée par les cybercriminels pour intensifier leurs offensives. L’émergence de l’IA générative accentue cette double menace, augmentant les vulnérabilités des entreprises qui ne sont pas suffisamment préparées.

La députée, membre de la Commission de la politique de sécurité du Conseil national, a également abordé la complexité du fédéralisme suisse face à des problématiques numériques. «Le fédéralisme, pilier de notre démocratie, complique souvent la gestion de questions dématérialisées comme la cybersécurité, qui ne respectent pas les frontières cantonales.» Elle a donc plaidé pour une coordination renforcée entre les polices cantonales, la cyberdéfense fédérale et les initiatives locales afin de mutualiser les compétences et les ressources.

Pour cette experte du monde numérique, l’éducation reste la clé: que ce soit au niveau scolaire, universitaire ou professionnel, une formation adaptée est essentielle pour créer une première ligne de défense efficace contre la cybercriminalité. Elle a insisté sur l’importance de démocratiser les connaissances en cybersécurité auprès des PME, des citoyens et des institutions, tout en mettant en place des garde-fous réglementaires pour encadrer l’usage de technologies comme l’IA.

Les discussions ont convergé vers deux leviers essentiels pour affronter les cyber-risques: l’innovation technologique et l’éducation. 

Les programmes immersifs proposés par des organisations comme Trust Valley montrent la voie en impliquant activement les acteurs économiques et politiques dans un processus de transformation durable. L’objectif est de passer d’une approche défensive à une stratégie proactive, où chaque individu, chaque entreprise, devient un maillon fort de la chaîne de sécurité collective.

Le Forum Assurances a mis en lumière une vérité fondamentale : la cybersécurité est une affaire collective, où chaque acteur – entreprise, citoyen, autorité publique – a un rôle à jouer. En Suisse, on assiste nettement à une prise de conscience, il s’agit à présent de «transformer l’essai», tout en gardant un bon équilibre entre intervention étatique et responsabilité individuelle. En s’appuyant sur ses forces en innovation et en collaboration, le pays a toutes les cartes en main pour bâtir une économie résiliente face aux cyber-risques.