Lutte contre les cyberrisques. Institution d’un système de contrôle et d’un centre de compétences en vue de relever les défis à venir
Cette entrée a été créée par:
02.06.2016 - 16.1020
Étape:Propositions nationales
État du conseil:Liquidé
En mai 2013, le Conseil fédéral a adopté le plan de mise en oeuvre de la stratégie visant à protéger la Suisse contre les cyberrisques. Le Parti bourgeois-démocratique (PBD) avait en particulier salué l’institution du comité de pilotage, tout en demandant que les efforts déployés en vue d’améliorer la cybersécurité soient menés avec plus de détermination. Les risques sont bien réels, comme l’a montré récemment l’attaque menée contre l’entreprise d’armement RUAG, et ils constituent un défi quotidien pour de nombreuses entreprises. Le PBD est d’avis qu’il est impératif et urgent de mettre en oeuvre dans les meilleurs délais une stratégie en matière de cyberespace qui soit efficace et adaptée aux exigences futures.
1. Le Conseil fédéral est-il aussi d’avis que la mise en place d’un système de contrôle dans le domaine des cyberrisques est indispensable?
2. Sous quelle forme pourrait-on mettre en oeuvre un tel système de contrôle, lequel permettrait d’examiner si l’entreprise concernée dispose de l’organisation et des processus adéquats pour prévenir les risques de cyberattaques?
3. Est-il exact que nous ne disposons toujours pas d’un service national de coordination chargé de veiller à ce que les informations relatives aux nouveaux virus informatiques et à d’autres menaces circulent de manière efficace et continue? Eu égard aux risques existants, ne serait-il pas urgent de mettre en place un centre de compétences national qui garantirait l’échange d’informations et disposerait des connaissances spécialisées les plus récentes en matière de sécurité informatique?
4. Le Conseil fédéral est-il aussi d’avis que la Confédération, les cantons et les milieux économiques doivent collaborer et se coordonner encore davantage, et que les politiques doivent combler les lacunes constatées dans la législation?
Réponse du Conseil Fédéral du 10.06.2016:
1. La Stratégie nationale de protection contre les cyberrisques (SNPC) comprend des mesures pour identifier les cyberrisques et les réduire en conséquence. Il en va en principe de la responsabilité individuelle de chaque entreprise de protéger ses données et informations. Le régulateur compétent doit intervenir au besoin et ordonner, le cas échéant, des mesures de sécurité supplémentaires.
2. Le Conseil fédéral est d’avis que des mesures de contrôle supplémentaires diminueraient la conscience que les entreprises ont de leur responsabilité individuelle à cet égard. Chaque entreprise doit protéger elle-même ses valeurs et les informations qu’elle détient. L’Etat devrait intervenir uniquement dans des cas particuliers ou dans des situations extraordinaires.
3. Depuis 2004, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (Melani) est chargée d’échanger des informations sur les évolutions et les menaces dans le cyberespace avec les exploitants d’infrastructures critiques et d’apprécier la menace en général. Il existe donc déjà un centre de compétences, et ce depuis douze ans, et il fonctionne très bien.
4. Une étroite collaboration entre la Confédération, les cantons et l’économie est la solution qui permet incontestablement de renforcer le plus durablement possible le niveau de sécurité. La SNPC a été conçue de manière à laisser les responsabilités aux unités compétentes pour tenir compte de la structure politique et économique décentralisée de la Suisse. La SNPC encourage toutefois aussi un échange accru entre les cantons et la Confédération, sous l’égide du Réseau national de sécurité. L’économie est représentée au sein du comité de pilotage de la SNPC par un membre d’Economiesuisse. Toutes ces dispositions permettent de renforcer la collaboration et d’améliorer les interfaces. Melani endosse un rôle central dans les interactions entre les autorités et l’économie, c’est la raison pour laquelle des ressources supplémentaires lui ont été attribuées. L’association « Swiss Cyber Experts » a par ailleurs permis de constituer un réseau réunissant des experts de l’économie, de l’administration et du monde scientifique.
La collaboration internationale et la coordination avec d’autres Etats (surtout l’échange d’informations) peuvent aussi contribuer à découvrir et à résoudre plus rapidement des cyberattaques. La Suisse est active dans ce domaine en participant à des conférences et organisations internationales (par ex. au processus OSCE concernant les mesures destinées à renforcer la confiance).