Les cyberattaques dans le milieu économique sont devenues monnaie courante. Et leur impact est sous-estimé, prévient Solange Ghernaouti, professeure à l'Université de Lausanne et experte internationale en cybersécurité. Pessimiste? Non, réaliste.

Pourquoi police et justice peinent-elles à poursuivre les cybercriminels?

Le principal problème est que les victimes sont ici et les criminels le plus souvent à l'étranger. Les poursuivre par le biais d'un processus d'entraide judiciaire international est long, coûteux et sans garantie de succès. Les données dont les policiers ont besoin sont détenues par des opérateurs de télécommunications ou des sociétés privées comme Google ou Facebook. Leur accès est difficile et la démarche n'est pas gratuite. Les cybercriminels travaillent en toute impunité. Lorsqu'ils prennent en otage des ressources informatiques, les rançons sont peu élevées, de quelques centaines ou milliers de francs. Les victimes paient et ne portent pas plainte. Seuls les crimes majeurs sont investigués. C'est pervers: pas de délits dénoncés, pas de moyens alloués à la lutte contre la cybercriminalité.

Les forces sont dispersées en Suisse et les moyens manquent. Que préconisez-vous?

L'Académie de police de Savatan propose une formation à la lutte contre la cybercriminalité et à l'investigation numérique. C'est une vraie plus-value. Il faut aussi augmenter les capacités de la police à traiter des preuves numériques car aujourd'hui toutes les enquêtes ont une composante informatique. Il ne faut pas réinventer la roue, mais s'appuyer sur l'existant pour monter en puissance et renforcer la collaboration. Poursuivre un cybercriminel nécessite la coopération des services au niveau national ou international. C'est le rôle du Service de coordination de la lutte contre la criminalité sur Internet de la police fédérale, qui doit être renforcé. Europol et Interpol traquent les cybercriminels, mais cela ne concerne qu'une infime partie des cas. Il faut aussi inciter les victimes à porter plainte à travers un dispositif clair.

Les mises en garde pleuvent, mais il n'existe pas de statistiques spécifiques sur la cybercriminalité. Pourquoi?

Le projet européen E-crime, qui étudie l'impact économique de la cybercriminalité et auquel je participe, le confirme. Moins de 20% des cas sont dénoncés et ils sont mal répertoriés. Un délit financier réalisé par le biais d'Internet ne sera pas forcément enregistré comme un cybercrime. Il faudrait adopter une taxonomie commune des crimes, afin que tout le monde enregistre les faits de la même manière. Les victimes ont honte, peur pour leur réputation ou celle de leur société, ou ne sont pas convaincues de l'utilité de la démarche. Quant à l'espionnage économique des entreprises, il est difficilement identifiable et mesurable avec des effets indirects à long terme.

En clair, on n'est pas encore capable d'évaluer les dommages?

Oui, nous pouvons en avoir une appréciation. Le coût de la cybercriminalité peut être mis en rapport avec le produit intérieur brut (PIB) d'un pays. Il est estimé à environ 1% du PIB pour les pays occidentaux. L'argent perdu ne contribue pas au développement économique de la région et peut même conduire à des pertes d'emplois.

En Suisse, quelle cybermenace faut-il craindre?

Outre la montée en puissance de la criminalité et des structures mafieuses, on peut craindre des cyberattaques conduisant à l'effondrement d'Internet, à des interruptions ou dysfonctionnements des infrastructures critiques (énergie, eau, chaînes d'approvisionnement, santé, chimie, transport, télécoms, banque et finance…), à des atteintes à l'image, à la réputation. Nous sommes devenus trop dépendants de l'informatique et d'Internet, plus vulnérables et moins autonomes. Cela a un impact majeur sur nos vies et notre économie.

Quel pessimisme!

Je suis réaliste. Les entités licites ou illicites qui maîtrisent les infrastructures matérielles, logicielles, informationnelles et sécuritaires d'Internet ont pris un pouvoir démesuré. Nous ne voyons que la pointe émergée de l'iceberg Internet. Pourtant, il est devenu un outil de la performance criminelle et terroriste, un instrument de pouvoir, de déstabilisation, de manipulation, d'influence et de destruction. On s'interroge parfois sur le coût de la cybercriminalité ou sur la naïveté de certaines victimes. On questionne rarement la responsabilité des fournisseurs de technologies et de services. Et on ne veut pas voir qu'ils sont désormais en mesure de faire eux-mêmes la police d'Internet.

Les autorités suisses ont-elles pris la mesure du problème?

La perception des vulnérabilités et des cyberrisques auxquels est exposée la Suisse varie selon les acteurs au niveau cantonal et fédéral. Une lente prise de conscience s'opère, mais il manque une vision claire, une volonté politique affirmée et des actions concrètes pour une maîtrise cohérente et globale des risques.