Marcel Zumbühl, Chief Information Security Officer de la Poste Suisse
1. La Poste est une entreprise de logistique. Pourquoi a-t-elle donc besoin d’un Chief Information Security Officer?
La sécurité de l’information revêt une grande importance au sein de notre groupe. Peu de gens savent que la Poste est le troisième plus grand employeur IT de Suisse. En effet, la logistique moderne ne peut pas fonctionner sans un système informatique performant. Ce n’est que grâce à une infrastructure solide et à l’utilisation d’outils technologiques que les volumes actuels de colis peuvent être triés et distribués dans les délais impartis. Les cars postaux sont également de petits centres de calcul mobiles. Le risque de cyberattaques existe partout où l’on a recours à la technologie. Du reste, en plus de la distribution des colis et du courrier, la Poste offre à sa clientèle privée et commerciale de nombreux services numériques, qu’il s’agisse de «Mes envois», de la boîte aux lettres numérique, du vote électronique ou encore de la digital health. Notre clientèle nous fait confiance et cette confiance est synonyme de responsabilité. C’est pourquoi la Poste investit continuellement dans une bonne sécurité de l’information. Elle se défend ainsi avec succès chaque mois contre une centaine d’attaques ciblées et plus de 10 millions de tentatives de phishing. Mais elle n’investit pas seulement dans la robustesse de l’entreprise, elle investit aussi dans la sécurité des prestations et des produits.
2. La Poste soutient désormais le concept de cybersécurité OWASP Core Rule Set. De quoi s’agit-il?
OWASP Core Rule Set (en abrégé, OWASP CRS), associé à Apache ModSecurity, est l’une des solutions de défense informatique les plus efficaces disponibles aujourd’hui. Grâce à des règles bien définies, cette solution nous permet d’identifier rapidement des modèles d’attaque typiques et ainsi de signaler et de bloquer les menaces.
La solution a récemment fait ses preuves à la Poste dans le cadre des tests d’intrusion publics du système de vote électronique. En 2023, nous avons réussi à repousser plus de 50 000 attaques dans le cadre de ces tests. OWASP CRS est une solution open source. Elle est distribuée sans licence et est donc gratuite. Une communauté active de spécialistes teste et développe la solution – de manière efficace, mais sans générer de revenus. En sponsorisant cette fondation, la Poste soutient un système de défense solide qui contribue à renforcer la cybersécurité dans le monde entier.
3. Quelle est l’importance de l’open source dans la cybersécurité?
L’open source est souvent associé uniquement à la mise à disposition de logiciels sans licence. Mais l’idée va au-delà de l’aspect commercial: il est aussi question d’«open knowledge», autrement dit de transparence, de sécurité participative et d’intelligence collective. Les entreprises les mettent aujourd’hui en œuvre de manière ciblée pour assurer une cybersécurité aussi efficace que possible. Lorsque nous divulguons le code de programmation d’une application, des spécialistes peuvent l’examiner dans le détail et signaler les points faibles. C’est l’approche que nous adoptons, entre autres, pour le vote électronique: tous les composants essentiels et la documentation du système peuvent être consultés publiquement depuis 2021. La Poste encourage activement les hackeuses et les hackers éthiques à s’attaquer à ses applications. Notre programme bug bounty est l’un des plus importants d’Europe. Depuis plus de quatre ans, nous misons de manière ciblée sur l’intelligence collective d’une grande communauté de hackeuses et de hackers éthiques, avec lesquels nous testons et améliorons continuellement nos systèmes. En contrepartie, ils reçoivent des primes en fonction de la gravité des failles identifiées et confirmées. Pour le système de vote électronique, la récompense maximale pour une faille critique est de CHF 250 000. Jusqu’à présent, nous avons versé un total d’environ CHF 200 000 pour récompenser des propositions d’amélioration du système de vote électronique. Dans le programme bug bounty englobant tous les services de la Poste, ce montant s’élève à CHF 600 000.
4. Depuis 2022, non seulement la Poste sécurise ses propres systèmes contre les cyberattaques, mais elle propose aussi des services de Cyber Security Monitoring et de défense aux entreprises et aux autorités. Pourquoi?
Beaucoup de nos tâches quotidiennes sont effectuées sur Internet. Que ce soit pour une commande en ligne, une prise de rendez-vous médical ou le remplissage de la déclaration fiscale sur Internet, nous divulguons des données nous concernant. Ces données doivent faire l’objet d’une protection contre d’éventuelles attaques. La Poste elle-même traite des données sensibles, qu’il s’agisse des adresses postales officielles de la population suisse ou des données bancaires de la clientèle de PostFinance. C’est pour protéger ces données que la Poste a développé des compétences pointues en matière de cybersécurité. De plus, avec le rachat de Hacknowledge SA à Morges et de terreActive AG à Aarau, nous proposons maintenant à notre clientèle commerciale des instruments efficaces pour garantir la sécurité de leurs systèmes et de leurs données.
En tant qu’entreprise appartenant à la Confédération, la Poste s’engage pour une transition numérique responsable. Pour cela, la cybersécurité et la gestion rigoureuse des données sont des piliers essentiels
5. Comment la sécurité de l’information de la Poste travaille-t-elle avec les sociétés de son groupe spécialisées dans la cybersécurité?
En tant que CISO de la Poste, je suis membre du Conseil d’administration des deux entreprises et donc directement impliqué dans le pilotage stratégique. Le transfert de connaissances se fait également dans l’autre sens, les solutions des deux sociétés du groupe spécialisées dans la cybersécurité étant notamment utilisées pour protéger les autres sociétés du groupe. Outre des tests d’intrusion ciblés, elles nous aident à étendre la protection en matière de cybersécurité de la Poste à ces sociétés. Sur le plan opérationnel également, des échanges réguliers ont lieu entre les équipes de la Poste et celles des deux sociétés du groupe. Ces dernières font ainsi partie de notre équipe d’experts en cybersécurité.
6. Selon vous, quelles évolutions vont marquer la cybersécurité en 2024?
Dernièrement, et surtout depuis l’avènement de ChatGPT, tout le monde parle d’intelligence artificielle. Si ces solutions sont pratiques au quotidien, elles créent néanmoins de nouveaux défis en matière de cybersécurité. On peut par exemple les manipuler: si on les alimente avec des fausses informations, elles dévient de leur fonction originelle. La Poste collabore avec l’Institut Dalle Molle de recherche en intelligence artificielle de l’Université de la Suisse italienne afin de développer des systèmes d’intelligence artificielle robustes. Nous voulons comprendre comment améliorer la protection, comment détecter et repousser les attaques et assurer la continuité des opérations. Nous entendons ainsi améliorer le niveau de protection des solutions d’IA que nous utilisons dans la logistique et, plus fondamentalement, contribuer à sécuriser l’utilisation de l’intelligence artificielle en Suisse.
Dans le domaine de la cryptographie, 2024 sera une année particulière. Nous attendons les premiers algorithmes de cryptage qui seront impossibles à pirater même par les ordinateurs quantiques. Certes, de tels ordinateurs quantiques ne sont encore qu’à l’état de laboratoire. Mais l’évolution est rapide et nous voyons déjà que les chiffrements actuels ne seront pas à la hauteur de cette capacité de calcul. Tester les nouveaux algorithmes et accélérer leur introduction constituera une mission importante pour les spécialistes de notre centre de cryptographie à Neuchâtel.
Quant à la sécurité participative, en 2024, notre grand programme bug bounty fêtera ses cinq ans d’existence et nous voulons, dans le courant de l’année, transférer toutes les applications en ligne fonctionnant sous *.poste.ch vers un programme public. Nous souhaitons ainsi encourager d’autres entreprises à considérer la cybersécurité comme une opportunité. Car ce qui fait le succès de la cybersécurité, c’est la confiance que les clientes et les clients accordent aux systèmes.
