L’Office fédéral de la cybersécurité disposera-t-il des compétences et des ressources dont il a besoin ?
Cette entrée a été créée par:
Gerhard Andrey
Conseil national
Créé le:22.12.2023
08.01.2024 - 23.1070
Étape:Propositions nationales
État du conseil:Liquidé
À partir du 1er janvier 2024, le Centre national pour la cybersécurité (NCSC) deviendra l’Office fédéral de la cybersécurité (OFCS) et passera du DFF au DDPS. Le Conseil fédéral a justifié la création du nouvel office dans son communiqué du 2 décembre 2022 par le fait que la cybersécurité a beaucoup gagné en importance et que l’assurer est devenu une tâche indispensable de la Confédération. Les tâches du nouvel office consisteront à sensibiliser et assister la population et l’économie, mais aussi à « protéger l’administration fédérale ». Les synergies possibles ont été avancées à cet égard pour justifier le passage du DFF au DDPS.
Le nouveau Secrétariat d’État à la politique de sécurité (SEPOS) commencera également ses activités le 1er janvier 2024. Selon le communiqué du Conseil fédéral du 22 novembre 2023, le SEPOS comprendra notamment un service spécialisé chargé de la sécurité de l’information et le secrétariat d’État contribuera à la mise en œuvre de la loi sur la sécurité de l’information qui vise à traiter, en toute sécurité, les informations pour lesquelles la Confédération est compétente.
Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes :
- Quelles sont précisément les tâches reprises par le SEPOS qui permettent de décharger l’OFCS ?
- Y a-t-il un transfert de personnel de l’OFCS au SEPOS ?
- À quel point l’OFCS pourra-t-il garantir la cyberprotection de l’administration fédérale ?
- Si l’OFCS ne peut pas imposer de directives contraignantes à l’administration fédérale, le SEPOS pourra-t-il alors s’en charger ?
- Comment le Conseil fédéral peut-il garantir que la création du SEPOS, qui assume des activités opérationnelles de cybersécurité en plus de ses tâches primaires qui relèvent de la politique de sécurité dans ce domaine, ne dispersera pas les responsabilités ?
- Le plan financier de la Confédération prévoit un montant annuel stable de 15 millions de francs pour ces prochaines années. Pourquoi le plan ne prévoit-il pas d’augmentation des moyens, alors que le Conseil fédéral constate lui-même que la cybersécurité est un sujet de plus en plus important ?
Réponse du Conseil Fédéral du 14.02.2024
1) Selon l’art. 51 (disposition transitoire) de l’ordonnance du 8 novembre 2023 sur la sécurité de l’information (OSI ; RS 128.1), l’Office fédéral de la cybersécurité (OFCS) reste compétent jusqu’au 30 juin 2025 pour assumer les tâches en cours, telles que définies par l’OSI, à savoir :
- traitement d’incidents et appui dans leur maîtrise à l’échelon de la Confédération, dans la mesure où le SEPOS ne reporte pas sa responsabilité à l’OFCS (art. 12, al. 3 et 6 à 8) ;
- émission de directives relatives à la sécurité de l’information (art. 15, 27, al. 7, art. 29, al. 1, et art. 31, al. 1) ;
- exceptions relatives aux directives sur la sécurité de l’information (art. 9, al. 2 et 3) ;
- sensibilisation régulière et établissement d’outils de formation et de sensibilisation (art. 11, al. 3 et 4).
Le Secrétariat d’État à la politique de sécurité (SEPOS) prendra ensuite le relais.
Il assume aussi de nouvelles tâches dans le domaine de la sécurité de l’information, dont diverses prestations dans la gestion des directives, des fournisseurs et des audits.
L’OFCS reste le centre national pour la cybersécurité et collaborera étroitement avec le SEPOS. Les modalités de cette collaboration seront établies d’ici à fin juin 2025.
2) Aucun transfert de personnel ou de ressources financières de l’OFCS au SEPOS n’est prévu durant l’application des dispositions transitoires de l’OSI. Le Conseil fédéral a chargé le DDPS d’établir, d’ici fin 2024, un rapport évaluant le fonctionnement du service spécialisé. Ce rapport abordera notamment des questions de ressources (p. ex. leur transfert) en lien avec la mise sur pied du service spécialisé pour après la fin des dispositions transitoires.
3) et 4) Jusqu’à la fin juin 2025, l’OFCS est compétent pour édicter des directives sur la cybersécurité de l’information dans l’administration fédérale. Le SEPOS assumera ensuite cette tâche (cf. réponse à la question 1). Ce dernier tirera profit des connaissances de divers offices et services spécialisés de la Confédération (p. ex. l’OFCS ou le Service cryptographique de l’armée). L’OFCS, en tant que centre de compétences pour la cybersécurité, reste aussi compétent pour appuyer et conseiller la Confédération dans la concrétisation des directives.
5) L’ordonnance du 7 mars 2003 sur l’organisation du DDPS et l’OSI règlent les tâches et les responsabilités du SEPOS et de l’OFCS. De surcroît, ces deux entités collaborent étroitement.
6) L’OFCS a commencé son activité au DDPS le 1er janvier 2024. Il a repris telles quelles les tâches du NCSC. En consacrant un office fédéral à la cybersécurité, le Conseil fédéral a montré son intention de donner plus de poids aux capacités et aux compétences dans ce domaine. Il a approuvé à cette même date une augmentation de budget de 0,8 million de francs pour cet office afin qu’il puisse assumer indépendamment ses tâches de support. Le développement stratégique de l’OFCS montrera si et dans quelle mesure l’office aura besoin de ressources supplémentaires.