Lexipedia

16.4073 · Postulat · 2016-12-15

Département des finances

Liquidé

Wortlaut

Le Conseil fédéral est prié de remettre un rapport sur l'application de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) dont les effets ne sont pas perceptibles pour la population et l'économie. Le rapport traitera notamment des questions et risques relatifs à la division entre le Département fédéral des finances (DFF) et le Département fédéral de la défense, de la protection de la population et des sport (DDPS) de la compétence dans ce domaine, de la conduite de crises majeures et d'ampleur nationale, des questions et risques relatifs à une dépendance à l'égard de prestataires à l'étranger ou en mains étrangères, du maintien d'un savoir-faire de pointe en Suisse ainsi que de l'intensification des collaborations entre le monde académique, l'industrie et la Confédération.

Begründung

Les différentes initiatives en lien avec la cybersécurité semblent très désynchronisées. Beaucoup d'énergie et de moyens sont utilisés pour alimenter ces différentes initiatives, qui semblent donc parfois se concurrencer. Il peut se dégager l'impression qu'on se prépare pour répondre à un événement ponctuel, à l'échelle d'une entreprise, mais pas au niveau de la conduite stratégique, à l'échelle de la Confédération. La gouvernance fragmentée de la cybersécurité ne contribue pas à la vision d'ensemble, à la concentration sur des objectifs principaux, à une gestion efficace des crises.

Par ailleurs, le recours très fréquent aux appels d'offres ouverts accroît le risque de dépendance à l'égard de l'étranger. La décision du Conseil fédéral de privilégier des entreprises suisses pour des domaines où la sécurité est primordiale n'a été suivie d'aucun effet tangible. Il y a en conséquence lieu de s'inquiéter de la perte de savoir-faire en Suisse dont les entreprises et hautes écoles, n'ayant pas accès à des commandes et des partenariats valorisants, sont tentées de s'orienter vers d'autres domaines que celui de la cybersécurité, pourtant cruciale pour l'avenir de notre société.

Le rapport devra contenir un maximum de 20 pages.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter le postulat.

Stellungnahme des Bundesrates

La gestion des cyberrisques concernant presque tous les secteurs de l'administration, de l'économie et de la population, l'ensemble des départements et la Chancellerie fédérale participent à l'application de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). Le Conseil fédéral a chargé l'Unité de pilotage informatique de la Confédération (UPIC), dont la Centrale d'enregistrement et d'analyse pour la sûreté de l'information justifie d'une longue expérience dans le domaine des cyberrisques, de coordonner les travaux correspondants. L'UPIC dirige le comité de pilotage interdépartemental de la SNPC, qui garantit la vue d'ensemble et la bonne répartition des tâches. C'est pourquoi le Conseil fédéral ne partage pas l'avis de l'auteur du postulat concernant un manque de coordination entre les différentes initiatives. Afin de clarifier les points pour lesquels l'auteur du postulat réclame une analyse approfondie, le Conseil fédéral relève ce qui suit :

- Répartition des tâches entre le DFF et le DDPS : les compétences relatives à l'application des seize mesures prévues dans la SNPC sont clairement définies dans le plan de mise en oeuvre de cette stratégie (Le plan de mise en oeuvre de la SNPC est disponible à l'adresse suivante :https ://www.isb.admin.ch/isb/fr/home/themen/cyber_risiken_ncs/umsetzungsplan.html). Le DFF est ainsi chargé de coordonner l'ensemble des travaux ainsi que de résoudre les incidents et d'analyser la vulnérabilité des technologies de l'information et de la communication au sein de l'administration fédérale. De son côté, le DDPS a la responsabilité d'analyser la menace qui pèse sur notre pays, de prendre les mesures qui s'imposent pour identifier les agresseurs et d'exécuter une partie des travaux nécessaires à l'analyse et à la réduction des cyberrisques dans des secteurs sensibles. La collaboration entre le DDPS et le DFF à propos d'autres mesures est réglée et fonctionne bien.

- Gestion des crises d'envergure nationale : une crise nationale liée directement à des cyberrisques peut poser des défis importants sur le plan de la coordination et de la définition des rôles en matière de conduite. Au début, on ignore souvent l'origine, le but, la cible et l'ampleur des cyberattaques. L'exercice de conduite stratégique effectué en 2013 a montré que la meilleure réponse aux crises incluant un volet cybernétique réside dans une conduite située aussi près que possible des structures ordinaires. Le plan élaboré pour la mise en oeuvre de la SNPC repose sur ce constat. Des exercices de gestion des crises seront effectués et les processus applicables à ce domaine seront optimisés avec l'ensemble des acteurs concernés dans le cadre de la nouvelle SNPC (SNPC 2.0).

- Réduction de la dépendance à l'égard des fournisseurs étrangers : l'administration fédérale a mis en place une procédure d'évaluation des risques liés à l'acquisition de biens et de services informatiques à l'étranger. Afin que nous puissions réduire durablement notre dépendance à l'égard des fournisseurs étrangers, nous devons en premier lieu créer et développer les compétences et connaissances nécessaires dans notre pays. La SNPC prévoit des mesures allant dans ce sens. L'application de ces dernières requiert le renforcement de l'ensemble de l'économie numérique en Suisse, tel qu'il est décrit dans le rapport du Conseil fédéral du 11 janvier 2017 sur les principales conditions-cadres régissant ce domaine.

Les questions soulevées par l'auteur du postulat ont déjà été traitées dans l'évaluation de 2016 concernant l'efficacité de la SNPC. Cette évaluation sera présentée au Conseil fédéral en avril 2017, puis rendue publique afin que les milieux économiques et la population soient également informés des progrès réalisés dans le cadre de la SNPC. Sur la base de cette analyse, le Conseil fédéral pourra modifier sa stratégie de façon à ce qu'il soit possible d'éliminer les faiblesses identifiées et de continuer à renforcer la coopération et la coordination entre les offices concernés. Il n'est donc pas nécessaire d'analyser davantage les points mentionnés par l'auteur du postulat.

Le Conseil fédéral propose de rejeter le postulat.