22.4591 · Interpellation · 2022-12-16
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Les infrastructures critiques sont les processus, les systèmes et les installations essentiels pour l'économie et la prospérité. Elles sont soumises à une pression de plus en plus forte comme le montre clairement la guerre en Ukraine. La sécurité tout au long de leur cycle de vie est donc d'une importance capitale pour la Suisse, en particulier dans le domaine informatique, où l'on a une capacité d'innovation très rapide diamétralement opposée à l'obligation de contracter des engagements de plusieurs années lors des acquisitions. Cette opposition crée des décalages en matière de sécurité informatique puisque l'achat est décidé à un moment précis et que la décision est valable pour l'exploitation de l'infrastructure à long terme. Établir des lignes directrices officielles pour les acquisitions dans ce domaine permettrait de remédier à ce problème urgent.
Je prie le Conseil fédéral de répondre aux questions suivantes.
a. Est-il aussi d'avis qu'il existe un décalage entre la décision d'achat à un moment précis et l'exploitation à long terme des infrastructures informatiques critiques ?
b. Pense-t-il que des lignes directrices dans ce domaine amélioreraient la résilience des infrastructures ?
c. Est-il disposé à établir ces lignes directrices pour les acquisitions en rapport avec les infrastructures informatiques critiques ?
d. Pense-t-il qu'une table ronde réunissant des représentants de la Confédération, des cantons, des milieux scientifiques, des entreprises informatiques et des exploitants d'infrastructures critiques apporterait une plus-value dans ce secteur ?
e. Est-il disposé à faire des acquisitions un thème de la stratégie nationale pour la protection des infrastructures critiques 2023-2027 ?
Begründung
La stratégie nationale pour la protection des infrastructures critiques de l'Office fédéral de la protection de la population de 2017 vise à améliorer la résilience des infrastructures critiques. Cette stratégie, dont la révision est prévue fin 2022, n'aborde pas la question des acquisitions. Or, les décisions d'achat constituent la base de la résilience des infrastructures critiques, définie comme la " capacité de résistance, d'adaptation et de rétablissement ". Des lignes directrices pour l'acquisition d'infrastructures informatiques critiques contribueraient donc à permettre une approche plus intégrale et à long terme de la sécurité de l'ensemble du système et à augmenter ainsi la sécurité des systèmes tout au long de leur cycle de vie.
Stellungnahme des Bundesrates
a. Lors de l'acquisition de composants, lesquels seront utilisés sur une longue période, le défi est toujours de savoir comment intégrer les potentielles évolutions futures dans la décision d'achat. Cela ne vaut pas seulement pour le domaine de la sécurité, mais s'applique aussi de manière plus générale aux développements technologiques et économiques. Dans cette optique, il est très important d'appliquer des processus d'acquisition de manière précise, en tenant compte de toutes les éventualités. S'agissant des achats informatiques, il convient par exemple de clarifier qui s'occupe du support technique du système à moyen et long terme, quelles sont les exigences de sécurité à respecter dans ce cadre ou encore quelles sont les obligations des prestataires en matière de gestion des incidents de sécurité et des failles. Si l'on tient compte de tels éléments dans le processus d'acquisition, le risque de décalage de sécurité entre le moment de l'achat et l'exploitation ultérieure peut être réduit.
b. Oui, des lignes directrices aident les responsables à procéder de manière méthodique lors de l'identification des facteurs clés du processus d'acquisition et ce aussi dans le domaine informatique. Il est question ici de toujours tenir compte des exigences spécifiques de chaque achat. Il n'y a pas de procédure universelle.
c. Des normes internationales bien établies existent pour la gestion des risques dans la chaîne d'approvisionnement (en ce qui concerne la sécurité des acquisitions informatiques, ISO 27036-3 et NIST 800-161 notamment). Aujourd'hui déjà, des éléments de ces normes sont dans certains cas des critères obligatoires dans les appels d'offres lancés par la Confédération. Le Conseil fédéral considère dès lors que l'établissement de nouvelles lignes directrices n'est pas utile, mais encourage les exploitants d'infrastructures critiques à se référer aux normes internationales existantes.
d. Le Conseil fédéral juge superflue la création d'un comité supplémentaire, étant donné que la Confédération, les cantons et les milieux scientifiques et économiques échangent déjà régulièrement entre eux au sujet des acquisitions (p. ex. à l'occasion de la conférence annuelle sur les achats informatiques). De plus, les discussions sur la sécurité vont encore s'intensifier au sein des organes existants tout au long du cycle de vie des acquisitions.
e. Dans sa stratégie nationale de protection des infrastructures critiques 2018-2022, le Conseil fédéral a réaffirmé la nécessité d'une approche intégrale des questions de sécurité. Les exploitants et exploitantes d'infrastructures critiques doivent à cet effet connaître les risques de leur chaîne d'approvisionnement et en tenir compte dans le cadre de tous les projets d'acquisition importants. Il ne considère donc pas nécessaire d'approfondir davantage le sujet dans la nouvelle stratégie.
Réponse du Conseil fédéral.