Lexipedia

Parmelin Guy · Bundesrat · 2018-03-13

Parmelin Guy · Bundesrat · Waadt · 2018-03-13

Wortprotokoll

Je vous demande d'entrer en matière et, ainsi, de renvoyer le dossier à votre commission pour qu'elle étudie à fond le travail constructif que le Conseil des Etats a accompli, ce qu'elle n'a pas fait, elle, jusqu'ici. Où en sommes-nous aujourd'hui? Quel est le contexte dans lequel nous évoluons?

Pour mémoire, en 2009 a eu lieu la première attaque contre des systèmes informatiques au Département fédéral des affaires étrangères; en 2012, vol de données au sein du Service de renseignement de la Confédération; en 2016, attaque contre les réseaux de RUAG; en 2017, attaque contre les systèmes du Département fédéral de la défense, de la protection [PAGE 385] de la population et des sports. Les attaques contre les institutions gouvernementales sont de plus en plus fréquentes dans le monde entier; c'est le cas, par exemple, en Allemagne. En 2015, il y a eu la fameuse attaque contre le Parlement allemand; des informations extrêmement sensibles ont été dérobées, y compris de services de renseignement. En 2018, il y a deux semaines, une attaque a visé l'administration fédérale allemande: le réseau de haute sécurité allemand a été piraté, et des informations sensibles ont été dérobées.

Ces incidents ne représentent que la pointe de l'iceberg. De très nombreux autres incidents de sécurité ne sont simplement pas communiqués ou médiatisés. La plupart des incidents graves de sécurité ne sont pas la conséquence exclusive d'une cyberattaque, mais ce sont aussi le résultat d'actes volontaires ou involontaires d'employés des entreprises ou des administrations. Toutes ces attaques ont comme objectif, en principe, d'accéder à des informations protégées. Les coûts de rétablissement de l'intégrité et de la sécurité des systèmes sont généralement bien supérieurs aux coûts des mesures qui permettent de réduire ces risques en amont.

Alors, face à ce tableau et aux menaces liées à la digitalisation, que fait, ou qu'essaie de faire, la Confédération?

Il y a premièrement la Stratégie nationale de protection de la Suisse contre les cyberrisques. Par ce biais, le Conseil fédéral veut renforcer la résilience des infrastructures critiques du pays face aux menaces issues d'Internet; il s'agit de la cybersécurité du pays. Il y a ensuite le projet de loi sur la sécurité de l'information, dont nous discutons l'entrée en matière aujourd'hui. Ce projet de loi vise à donner au Conseil fédéral les instruments nécessaires pour que, dans le secteur de la cybersécurité, dans le contexte de la digitalisation, les autorités fédérales soient mieux armées. Il s'agit de la sécurité propre des autorités fédérales, y compris de leur cybersécurité. Au niveau du Département fédéral de la défense, de la protection de la population et des sports, nous avons notre fameux plan d'action de cyberdéfense, qui vise à renforcer notre propre sécurité et à permettre d'être prêt à appuyer les autorités civiles et à défendre les infrastructures critiques en cas d'attaque.

Pourquoi avons-nous absolument besoin de cette loi? Cela a été dit par plusieurs intervenants, c'est une loi extrêmement technique, peut-être peu intéressante politiquement, mais elle répond à des besoins juridiques et sécuritaires clairs, liés à l'évolution que nous constatons en particulier dans le domaine de la digitalisation. Elle vise à assurer la sécurité des informations et de l'infrastructure TIC (Techniques de l'information et de la communication) de toutes les autorités fédérales, y compris du Parlement, des tribunaux fédéraux, du Ministère public de la Confédération et de la Banque nationale suisse. Elle vise à adapter les bases légales existantes de façon à tenir compte des besoins liés à la digitalisation, et elle rassemble dans un acte unique les bases légales prévoyant les principales mesures de sécurité, notamment le management de la sécurité, la classification des informations, la cybersécurité, la gestion des identités électroniques, le contrôle de sécurité relatif aux personnes, la sécurité dans le cadre de marchés publics sensibles, l'appui aux infrastructures critiques dans le domaine de la cybersécurité et, enfin, l'organisation transversale de la sécurité. C'est ce que vise cette loi.

Et cette loi impose à toutes les autorités fédérales la mise en oeuvre de mesures de sécurité minimales - j'y reviendrai puisqu'on a parlé des coûts tout à l'heure -, notamment d'un système de gestion de la sécurité selon des standards internationaux de référence. C'est nécessaire en raison des risques croissants liés à l'interconnexion des réseaux et à l'échange électronique d'informations protégées entre les différentes autorités. Elle va donc créer les bases légales pour des mesures existantes - aujourd'hui, les bases légales ne sont pas suffisantes - et pour permettre la facilitation de la conclusion d'accords internationaux par le Conseil fédéral.

En plus, cette loi tient compte des demandes et des recommandations des organes de surveillance que sont les Commissions de gestion et la Délégation des Commissions de gestion. Elle est absolument nécessaire parce que, aujourd'hui, de nombreuses mesures de sécurité ne sont plus adaptées aux besoins de la digitalisation en cours. Certaines informations et certains systèmes informatiques de la Confédération ont une importance vitale pour le bon fonctionnement du pays. La Confédération traite de très nombreuses informations sensibles de citoyens, d'entreprises, de nombreux partenaires internationaux. Elle investit un milliard de francs par an pour son informatique.

Quel lien y a-t-il entre la loi sur la sécurité de l'information et le plan d'action de cyberdéfense du Département fédéral de la défense, de la protection de la population et des sports? Il faut savoir que cette loi va assurer la fondation d'une cybersécurité efficace. Concrètement, la sécurité de l'information représente environ 80 à 90 pour cent de la cyberdéfense au sein du département que j'ai l'honneur de diriger. On peut mettre en oeuvre le plan d'action de cyberdéfense du DDPS, mais, si nous n'avons pas cette loi, il restera de très nombreuses lacunes. Premièrement, pour garantir la sécurité et les prestations essentielles, le département doit s'assurer que ses partenaires critiques fournissent eux aussi un niveau de sécurité suffisant. Et, pour cela, nous avons besoin de cette loi. Deuxièmement, les contrôles de sécurité relatifs aux personnes ne sont admissibles que pour le traitement d'informations classifiées et non pour l'exploitation de systèmes informatiques critiques. Troisièmement, la procédure de sauvegarde du secret est aujourd'hui limitée aux mandats militaires classiques et n'est donc applicable ni aux autorités civiles, comme le Service de renseignement de la Confédération, ni à l'acquisition de prestations liées aux systèmes informatiques critiques, et sans renforcement de la sécurité et de la résilience de ces partenaires essentiels pour nous - ce que prévoit la loi dont nous discutons aujourd'hui l'entrée en matière -, eh bien, la capacité de défense et d'action du département va rester extrêmement limitée.

Venons-en à l'application de la loi aux petites et moyennes entreprises. C'était une des inquiétudes formulées lors des discussions qui ont eu lieu au Conseil des Etats, mais elle a pu être dissipée. Les PME ne seraient touchées que dans le cadre de la procédure de sécurité relative aux entreprises. Concrètement, lorsque la Confédération confierait un mandat sensible à une entreprise, elle devrait contrôler que cette entreprise ne représente pas un risque pour notre sécurité. Il s'agirait en particulier de lutter contre l'espionnage au profit d'Etats étrangers. Une fois ceci fait, l'entreprise serait qualifiée de sûre, puis appliquerait les mesures de sécurité adéquates durant l'exécution du mandat. Elle pourrait être contrôlée par un service spécialisé prévu par cette loi. L'analyse du risque se ferait toujours en lien avec le mandat concret.

Pour les PME, les conséquences seraient minimes: il n'y aurait, en principe, aucun coût en relation avec la procédure puisque les coûts seraient reportés sur le prix des prestations offertes. En fin de compte, ce serait donc la Confédération qui en supporterait le coût. Aujourd'hui, nous connaissons ce système pour les mandats militaires classifiés. Ainsi, 500 entreprises, en grande majorité des PME, opèrent sous notre contrôle. Cela fonctionne très bien, c'est peu bureaucratique, mais cela ne s'applique pas aux mandats civils. Or, le projet de loi prévoit d'autoriser la Confédération à délivrer des attestations de sécurité aux entreprises qui souhaitent prendre part à des marchés classifiés d'autres Etats ou organisations internationales, des marchés à haute valeur ajoutée.

Vous nous avez demandé des exemples concrets de dommages subis par des entreprises exportatrices suisses; je vais donc vous en donner.

1. L'entreprise Trüb AG à Aarau: l'entreprise Trüb était spécialisée dans des solutions d'identification et de sécurité. En 2015, ses activités ont été reprises par une société néerlandaise. Trüb avait été contactée par plusieurs pays pour créer de nouveaux documents d'identité. Elle n'a pas pu prendre part à ces marchés parce que nous n'avons pas pu délivrer la déclaration de sécurité nationale. Voilà une conséquence concrète.

2. L'entreprise Orell Füssli Holding AG à Zurich: au début des années 2000, dans le cadre du projet Nouveau passeport suisse, le Département fédéral de justice et police s'est renseigné auprès du DDPS sur la possibilité de contrôler [PAGE 386] et de certifier Orell Füssli, qui était l'entreprise chargée de l'élaboration et de l'impression du nouveau passeport. Cette entreprise imprime le passeport suisse depuis 1959 déjà. Or, faute de base légale, le DDPS n'a pas pu accéder à cette requête et, à défaut d'avoir cette déclaration de sécurité, Orell Füssli n'a pas pu soumissionner à plusieurs mandats conséquents dans le cadre international, entre autres par rapport à un marché à Singapour. Voilà les conséquences.

Concernant les coûts de la loi, puisque plusieurs d'entre vous se sont exprimés sur ce sujet - et là, vous faites un très mauvais procès au Conseil fédéral -, je confirme que, dans le projet dont il est question, nous vous parlons du niveau d'ambition 1, et c'est cela qui est visé par le Conseil fédéral: des coûts d'introduction uniques de 5 millions de francs et, après, des coûts tels qu'ils sont décrits dans le message. C'est naturellement dans les ordonnances que nous allons régler le niveau d'ambition voulu. Nous nous sommes engagés auprès du Conseil des Etats, et je me suis engagé, au nom du Conseil fédéral, auprès de la commission de votre conseil, à soumettre ces ordonnances à l'appréciation des Commissions de la politique de sécurité - c'était une demande du corapport de la Commission des finances, elle est désormais remplie.

Qu'est-ce qui se passe dans ces cas-là? On analyse - et ce n'est pas la première fois que cela se fait - les ordonnances, on peut les corriger - elles sont de la compétence du Conseil fédéral -, et si, par hypothèse, le Conseil fédéral ne suivait pas les recommandations du Parlement, il resterait plusieurs armes à ce dernier. Il resterait ainsi la voie de la motion qui permet, dans les deux chambres, de décréter que tel point de l'ordonnance, on n'en veut pas; il resterait aussi le budget: toute la procédure budgétaire vous permet de contrôler le niveau d'ambition que nous voulons atteindre et c'est là que vous avez la possibilité d'intervenir si nécessaire et de rappeler le Conseil fédéral à ses devoirs.

Que se passera-t-il si nous n'avons pas de loi sur la sécurité de l'information? De nombreuses lacunes dans la sécurité resteront ouvertes, notamment dans le domaine informatique et des risques qui y sont liés. La sécurité de l'information et la cybersécurité continueront à être mal coordonnées, à être peu efficientes. Les entreprises suisses n'auront toujours pas accès aux marchés étrangers qui nécessitent une attestation nationale de sécurité. De nombreuses mesures de sécurité actuelles n'auront pas les bases légales que la Constitution et la législation exigent.

Si je développe autant, c'est parce que, comme la commission a pris la décision de proposer au conseil de ne pas entrer en matière, je suis obligé de vous parler du contenu de ce projet de loi afin que vous puissiez prendre une décision tout à l'heure.

Je vous donnerai encore quelques exemples de risques concrets en cas de rejet du projet.

Premièrement, prenons les risques liés à la cyberadministration. La Stratégie suisse de cyberadministration du Conseil fédéral, comme vous le savez, précise que les autorités fédérales et cantonales communiquent entre elles par voie électronique. A cette fin, les autorités fédérales créent de plus en plus d'interfaces et de passerelles entre les différents systèmes informatiques. Le risque augmente ainsi de voir des attaques contre une autorité se répercuter dans les domaines de compétence d'autres autorités. C'est exactement ce qui est arrivé en 2015 lors de l'attaque contre le Parlement allemand: de nombreuses données extrêmement sensibles de l'administration fédérale allemande ont ainsi été dérobées. Sans loi sur la sécurité de l'information, nous renonçons à l'harmonisation et nous laissons ouvertes de très grandes lacunes dans la sécurité.

La deuxième difficulté, c'est l'utilisation des données biométriques. Lorsqu'une personne demande un accès à un système informatique, à une infrastructure, on contrôle son identité et l'étendue de l'accès. Plus le système informatique ou l'infrastructure est sensible, plus il faut procéder à une vérification pointue. Comme les données biométriques sont extrêmement sensibles, une base légale formelle est indispensable. Elle existe, mais dans le domaine militaire, elle n'existe pas dans le domaine civil. C'est la loi sur la sécurité de l'information qui nous la donnerait.

Voilà deux exemples concrets de problèmes que nous pourrions rencontrer. La problématique de la collaboration internationale subsistera. Nous collaborons sur le plan international; nous échangeons des informations classifiées. Les accords internationaux prévoient entre autres une concordance, une équivalence en matière de classification et une certaine harmonisation.

Pour cela, il faut créer une base formelle expresse, qui existe - je le répète - dans le domaine militaire, mais qui n'existe pas dans le domaine civil, et elle nous rendrait énormément service pour passer des accords sur le plan international.

Avant d'arriver à la conclusion, j'aimerais répondre encore à certaines interrogations. Certains d'entre vous ont dit qu'il suffisait de modifier un certain nombre de lois pour avoir le même résultat et que tout irait bien ainsi. Alors, sans entrer dans les détails, il faudrait au minimum modifier neuf lois, et encore, nous n'aurions pas la garantie d'avoir une vision d'ensemble. De ce côté, je pense que le risque pris est beaucoup trop important.

J'ai parlé du contrôle des ordonnances, je n'y reviendrai pas. Certains d'entre vous ont argué de la complexité de la loi, dit qu'elle était trop dense, qu'elle serait difficile à appliquer. C'est une loi-cadre qui, au contraire, apporte de la souplesse à un secteur en évolution extrêmement rapide. Au moyen des ordonnances, sous le contrôle du Parlement, nous pourrions, le cas échéant, adapter certaines choses extrêmement rapidement.

Certains d'entre vous ont dit qu'il fallait élaguer - "entschlacken" - cette loi, notamment Monsieur le conseiller national Dobler, mais pour savoir où il faut le faire, il vous faut entrer en matière et nous dire où vous voulez le faire. Ce n'est pas en refusant d'entrer en matière qu'on va arriver à faire avancer le projet.

J'aimerais encore lancer un appel à celles et ceux qui seraient hésitants. En particulier, je ne résiste pas à l'envie de vous lire la prise de position, lors de la procédure de consultation, du parti libéral-radical: "La Suisse doit renforcer sa sécurité dans ce domaine, comme l'ont montré certains incidents survenus ces dernières années. La gestion des risques liés à l'utilisation des TIC dans tous les secteurs de la Confédération est donc devenue une nécessité inhérente au développement de la société de l'information. Cette loi est en effet nécessaire pour combler les lacunes techniques de notre système de protection des informations - exécution, efficacité, rentabilité de l'ordonnance adoptée en 2007 par le Conseil fédéral -, mais également des lacunes organisationnelles. C'est pourquoi le PLR se prononce en faveur du rassemblement des mesures en matière de protection de l'information en une seule réglementation homogène concernant toutes les autorités fédérales et celles qui leur sont subordonnées. La plupart des conséquences économiques de cette loi vont dans le sens des exigences du PLR. Elles laissent en effet escompter un renforcement de la compétitivité des entreprises et une meilleure protection des secrets économiques qu'elles placeront sous la protection du gouvernement."

J'en arrive à la conclusion. Cette loi sur la sécurité de l'information est un des fondements, un des piliers de la stratégie de sécurité en matière d'information et de cyberdéfense de la Confédération. Durant ces derniers mois, cela a été rappelé par les personnes représentant la minorité de la commission, plusieurs interventions parlementaires ont exigé du Conseil fédéral qu'il renforce la sécurité du pays face aux nouveaux risques dans ce secteur qui, comme vous le savez, est en très rapide évolution, face aux défis posés par la digitalisation et aux lacunes qui pourraient être exploitées par des agresseurs potentiels. Il ne serait pas conséquent de votre part de refuser d'entrer en matière sur un projet essentiel sans même, et j'insiste là-dessus, que votre commission préparatoire ait pris la peine de l'étudier.

Je vous invite donc instamment à entrer en matière sur ce projet de loi, certes technique, nous l'avouons tous, certes difficile d'approche d'un point de vue politique, mais qui va permettre à notre pays, à ses autorités, et à ses entreprises [PAGE 387] d'être bien mieux armés face à ces nouvelles menaces que nous devons affronter tous les jours.