«Un test d’intrusion est un test réalisé en conditions réelles»

Du 25 février au 24 mars 2019, le système de vote électronique de la Poste subira ce que l'on appelle un test d'intrusion. Marcel Zumbühl, responsable de la sécurité de l'information de la Poste, en parle.

29.01.2019
Photos: Lena Schläppi
Marcel Zumbühl, responsable de la sécurité de l'information de la Poste

Marcel Zumbühl, responsable de la sécurité de l'information de la Poste

partager l'article

Outre le vote aux urnes et le vote par correspondance, la Confédération et les cantons souhaitent proposer un troisième canal de vote aux électeurs: le vote électronique au moyen d’un ordinateur ou d’un smartphone. Le vote électronique sera doublement facultatif. En effet, il appartiendra aux cantons de décider s’ils introduisent cette solution, et à chaque citoyen de déterminer s’il souhaite utiliser ce mode de scrutin. Afin d’autoriser une nouvelle version entièrement vérifiable du système de vote électronique de la Poste, la Confédération et les cantons exigent la réalisation d’un test d’intrusion public. La Poste répond à cette exigence en soumettant son système de vote électronique à un test de piratage du 25 février au 24 mars 2019. Marcel Zumbühl, responsable Sécurité de l’information, évoque la sécurité des systèmes informatiques et l’utilité des tests de piratage publics.

Marcel Zumbühl, vous occupez depuis le mois d’août 2018 le poste de responsable de la sécurité de l’information de la Poste (CISO) et êtes, à ce titre, en charge de la sécurité de l’information au sein du groupe. Qu’est-ce que cela signifie?

Je dois m’assurer que nous répondons aux attentes de nos clients en matière de sécurité de l’information. Nos clients font confiance à la Poste et s’attendent à ce que leurs données soient en sécurité chez nous. Cela signifie que nous devons protéger de manière adéquate leurs informations ainsi que celles de notre entreprise. Notre entendons en particulier nous assurer que nos systèmes informatiques correspondent au stade de développement le plus récent et répondent aux exigences de sécurité actuelles, et que nous sommes en mesure de détecter les attaques de manière précoce et de les repousser. C’est important non seulement pour la Poste, mais aussi pour nos clients. Car nos clients nous font confiance et s’attendent à ce que leurs données soient en sécurité chez nous.

Comment s’assure-t-on concrètement que des systèmes informatiques correspondent au stade de développement le plus récent?

En faisant interagir la technique de dernière génération et l’expertise de notre personnel informatique et en vérifiant constamment que le système résiste aux attaques et que nous parvenons à les détecter à temps. D’où l’utilité des tests d’intrusion publics tels que celui auquel la Poste soumet son système de vote électronique.

Quel est le but des tests d’intrusion publics?

Lors d’un tel test, des experts informatiques indépendants attaquent le système de l’extérieur, comme le feraient des hackeurs criminels. Ils recourent aux techniques les plus modernes et font preuve d’une grande ingéniosité. Un test d’intrusion est donc un test réalisé en conditions réelles. L’objectif est de découvrir les éventuelles faiblesses des systèmes et des processus afin d’y remédier avant la mise en exploitation effective. Lorsqu’on identifie un tel scénario, on peut développer des mesures de sécurité adéquates et les intégrer aux systèmes.

Prend-on également des risques lorsqu’on effectue un test d’intrusion public?

De manière générale, il est possible que certains participants ne respectent pas les règles du jeu et attaquent par exemple des systèmes qui ne font pas partie du test d’intrusion. Il peut aussi arriver qu’ils publient des résultats que les fournisseurs du système n’ont pas encore pu vérifier. On sait qu’on s’expose ainsi à un débat public.

Les tests d’intrusion sont encore rares en Suisse. Pourquoi?

En partie à cause de ces risques, justement. Il faut du courage pour exposer volontairement son système à des attaques et au débat public. De plus, le système doit correspondre au stade de développement le plus récent. Si ce n’est pas le cas, on découvre des scénarios déjà connus, qui ne fournissent aucune information nouvelle. Enfin, pour effectuer un tel test, il faut pouvoir compter sur du personnel expérimenté et entraîné, et disposer de moyens financiers.

Que pensez-vous du débat actuel sur le vote électronique?

Je peux comprendre que les nouvelles technologies suscitent des craintes, et je trouve important et juste d’en débattre publiquement. Il est également compréhensible qu’une telle discussion ne soit pas uniquement étayée par des faits. Tout cela contribue à former l’opinion. Enfin, il ne faut pas oublier que presque toutes les innovations techniques de l’histoire ont fait l’objet d’un débat public, y compris celles qui s’imposent comme une évidence aujourd’hui – je pense par exemple au chemin de fer.

Du point de vue de la sécurité de l’information, comment le système de vote électronique se distingue-t-il d’autres systèmes d’information?

Lorsqu’il s’agit de définir les exigences de sécurité auxquelles un système informatique doit répondre, la question centrale est toujours la suivante: dans quelle mesure les informations traitées sont-elles sensibles ou précieuses? Étant donné que le vote électronique concerne des données extrêmement sensibles, les exigences de sécurité les plus élevées s’appliquent. Dans le processus de vote électronique, il faut en outre s’assurer que le secret du vote est bien gardé. La Poste doit transmettre les bulletins de vote sans connaître leur contenu, comme c’est le cas pour le courrier. En outre, les citoyens et les autorités doivent pouvoir vérifier que le système est à l’épreuve de toute manipulation. Tout cela est possible grâce aux méthodes de cryptage les plus modernes.

poste.ch/evoting-videos

Sécurité du système de vote électronique

Les mesures de sécurité centrales du système de vote électronique sont la vérifiabilité individuelle et universelle. Cela signifie que chaque citoyen (vérifiabilité individuelle) ainsi que les autorités électorales (vérifiabilité universelle) sont en mesure de détecter avec certitude toute manipulation.

Pour ce qui est de la vérifiabilité individuelle, les votants reçoivent des codes de vérification avec leurs documents de vote. Ils doivent les comparer avec les codes affichés sur l’écran. Si ces codes ne correspondent pas, c’est un signe que des irrégularités se sont produites lors du vote. Dans ce cas, les votants peuvent interrompre le processus et aller glisser leur bulletin dans l’urne ou l’envoyer par courrier.

Pour ce qui est de la vérifiabilité universelle, les autorités électorales peuvent vérifier, lorsqu’elles comptent les voix, si des votes ont été manipulés dans l’urne électronique. On peut comparer la vérifiabilité universelle au recomptage des bulletins de vote physiques.