Lexipedia

23.4449 · Interpellation · 2023-12-21

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

En 2023, plusieurs prestataires informatiques de la Confédération ont été victimes de cyberattaques et des données parfois sensibles ont été volées. En été 2023, la société Xplain a été victime d’une cyberattaque. On a depuis appris que la société Concevis avait aussi subi une attaque dévastatrice au rançongiciel. Les autorités se sont vu reprocher d’avoir négligé pendant des années la sécurité informatique de leurs prestataires et de ne pas avoir fait valoir leur droit de les auditer.

Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes :

  1. Quelles sont les mesures d’urgence qui ont déjà été prises en ce qui concerne les prestataires informatiques ?

  2. Où en sont les travaux de l’état-major politico-stratégique « Fuite de données » (EMPS-F) et l’enquête administrative menée par le cabinet OBERSON ADELS SA ?

  3. Quelles directives permettront désormais au Conseil fédéral de s’assurer que les unités administratives qui achètent des prestations informatiques font valoir leur droit d’audit ?

  4. Que pense le Conseil fédéral de la possibilité d’obliger les unités administratives qui ont recours à des services informatiques externes à auditer leurs prestataires ? Comment mettrait-il en œuvre une telle obligation ?

  5. A-t-il défini des critères uniformes en matière de sécurité informatique pour mettre fin à la collaboration avec des prestataires défaillants ?

Begründung

Les autorités fédérales disposent de nombreuses données potentiellement sensibles sur les citoyens suisses. L’État est donc tenu d’attacher une importance particulière à la protection de ses données.

Stellungnahme des Bundesrates

Question 1 : En juin 2023, le Conseil fédéral a chargé la Chancellerie fédérale et les départements d’examiner leurs contrats portant sur des prestations informatiques sous l’angle de la cybersécurité. Par ailleurs, il a chargé le DFF de compléter les conditions générales de la Confédération et la clause des contrats types de la Conférence des achats de la Confédération concernant les cybermenaces et de les adapter à la nouvelle loi sur la sécurité de l’information (LSI ; RS 128) d’ici à la fin de l’année 2023. Toujours en juin, le DFJP a envoyé une lettre à ses principaux fournisseurs de prestations informatiques externes les rappelant à leurs devoirs de garantir la protection informatique de base et leur demandant des renseignements à ce sujet. Pour compléter cette démarche, l’Office fédéral des constructions et de la logistique (OFCL) et l’Office fédéral de l’armement (armasuisse) ont fait parvenir une lettre à tous les principaux fournisseurs de prestations informatiques de l’administration fédérale pour les informer en plus de l’examen des contrats demandé par le Conseil fédéral.À fin 2023, environ 7000 contrats avaient été examinés. Au moins 2200 contrats ont été considérés comme déterminants pour la sécurité. La moitié d’entre eux contenait des dispositions appropriées sur le plan de la cybersécurité. Dans l’autre moitié, environ 600 contrats, qui n’arrivent pas à échéance dans les prochains mois, doivent être examinés en détail et adaptés le cas échéant. Question 2 : Les travaux de l’état-major politico-stratégique « Fuite de données » (EMPS-F) et de l’enquête administrative menée par le cabinet OBERSON ADELS SA sont en cours. Ce dernier élaborera un rapport adressé au Conseil fédéral d’ici à la fin mars 2024. Le Conseil fédéral, sur la base des résultats de ce rapport, se prononcera sur la suite à donner. Question 3 : La nouvelle loi sur la sécurité de l’information, en vigueur depuis le 1er janvier 2024, donne à la Confédération de nouvelles possibilités pour assurer le respect des directives relatives à la sécurité de l’information et la réalisation d’audits.Selon l’art. 9 LSI et l’art. 10, al. 3, de l’ordonnance sur la sécurité de l’information (OSI ; RS 128.1), les contrats passés avec des prestataires informatiques doivent fixer des exigences claires en matière de sécurité de l’information et de son contrôle ou un droit d’audit pour la Confédération. Des clauses types correspondantes sont en cours d’élaboration par le Secrétariat d’État à la politique de sécurité (SEPOS) et par armasuisse. Elles contiennent des exigences minimales qui devront être prises en compte dans tous les contrats ainsi que des exigences supplémentaires, basées sur les risques, qui seront déterminées par le contrat et les données à traiter. Il incombe aux unités administratives de contrôler en fonction du risque le respect des directives auprès de leurs fournisseurs. Selon l’art. 13, al. 1, OSI, elles fixent dans une planification annuelle de contrôle et d’audit les contrôles qu’elles doivent effectuer.Dans le cadre de l’attribution de mandats sensibles, les entreprises doivent déjà se soumettre à une procédure de sécurité relative aux entreprises (PSE) lors de l’adjudication et elles ne pourront exécuter le mandat, selon l’art. 62 LSI, qu’une fois qu’elles auront obtenu une déclaration de sécurité par le service spécialisé PSE. En application de l’art. 64 LSI, le service spécialisé PSE inspecte régulièrement ces entreprises. Il peut aussi demander des audits ou les réaliser lui-même. Question 4 : L’introduction d’une obligation générale d’audit pour les unités organisationnelles de l’administration fédérale qui ont recours à des prestations informatiques externes serait disproportionnée et n’est pas prévue par la loi. Les prestations informatiques ne comportent pas toutes des mandats sensibles. Les prestataires informatiques qui exécutent des mandats sensibles sont cependant contrôlés périodiquement par le service spécialisé PSE rattaché au SEPOS. Question 5 : Le Conseil fédéral n’a pas défini de critères uniformes en matière de sécurité informatique pour mettre fin à la collaboration avec des prestataires informatiques défaillants. En principe, il est de la compétence de l’unité administrative qui achète d’évaluer les risques et d’en tirer les conséquences, y compris de révoquer l’adjudication au sens de l’art. 44, al. 1, let. h, de la loi fédérale sur les marchés publics (LMP ; RS 172.056.1). En cas de non-respect des obligations qui s’appliquent aux mandats sensibles, le prestataire peut se voir retirer la déclaration de sécurité relative aux entreprises accordée précédemment par le service spécialisé PSE (art. 67 LSI).

Prestataires informatiques externes de la Confédération | Lexipedia | Lexipedia