Mazzone Lisa · Nationalrat · 2018-03-06
Mazzone Lisa · Nationalrat · Genf · Grüne Fraktion · 2018-03-06
Wortprotokoll
Les cyberrisques sont le grand défi auquel nous devons faire face en matière de sécurité. Plus notre monde est connecté, plus nos institutions, notre économie et notre société deviennent vulnérables. Pourtant, en la matière, on manque encore largement de clarté et de coordination dans l'action de la Confédération.
Après avoir passablement négligé ce domaine, il est temps d'établir une stratégie globale qui permette de créer une vision et une répartition des rôles claires. En particulier, la Commission de la politique de sécurité, qui s'intéresse à la sécurité globale et n'est pas seulement une commission de gestion de l'armée, souhaite définir clairement la délimitation des tâches entre le domaine civil et le domaine militaire, donc définir clairement le principe de subsidiarité. C'est le sens de ce postulat.
Notre commission s'est penchée à plusieurs reprises sur cette question. En février 2016 déjà, nous recevions des représentants d'entreprises responsables de la production d'infrastructures critiques, comme RUAG, de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani), ainsi que de l'armée pour comprendre les défis qui se posent, ainsi que les démarches entreprises par la Confédération.
La Stratégie nationale de protection de la Suisse contre les cyberrisques, adoptée en 2012, arrive à la fin de sa mise en oeuvre et, compte tenu de la menace, la préparation de la suite de cette stratégie pour les années 2018-2023 est à bout touchant. Cette stratégie contient des directives applicables aux domaines civil et militaire. Il s'agit désormais de mieux les dissocier.
Après la cyberattaque qui a frappé RUAG au début 2016, il a été décidé en outre de développer un plan d'action concernant la cyberdéfense du DDPS encadrant la stratégie et la gouvernance au niveau du département. Aujourd'hui, c'est le Département fédéral des finances qui a la responsabilité de la Stratégie nationale de protection de la Suisse contre les cyberrisques tandis que le DDPS développe son plan d'action de cyberdéfense. Il existe, évidemment, des chevauchements et des doublons entre la stratégie nationale et les différents plans d'action départementaux. Pour ces raisons, et pour mémoire, lors de la dernière session, notre conseil a adopté la motion Eder 17.3508 visant à créer un centre de compétences fédéral pour la cybersécurité.
Lors de la séance de commission qui a suivi, les 22 et 23 janvier, notre commission a poursuivi ses travaux et a décidé à l'unanimité de déposer ce postulat. Elle a également pris connaissance du postulat Glättli, déposé entre-temps, concernant l'Internet des objets, les risques et les mesures à prendre pour limiter ceux-ci, à savoir le postulat 17.4295, "Normes de sécurité pour les appareils connectés à Internet, qui constituent l'une des principales menaces en matière de cybersécurité". Le Conseil fédéral propose d'accepter ce postulat, c'est la raison pour laquelle nous n'avons pas abordé ce point dans notre propre postulat, pour ne pas créer de doublon à notre tour.
A l'heure actuelle, un peu moins d'une centaine de personnes, réparties dans les différents départements, sont actives dans ce domaine. Grâce à la motion adoptée par notre conseil, une nouvelle organisation pour la cyberdéfense sera créée. Ce nouveau centre civil et militaire n'a pas encore clairement délimité la séparation des tâches entre les acteurs civils et militaires. Il n'est pas non plus clairement défini comment le principe de subsidiarité s'appliquera, ni à partir de quel stade critique on peut parler de cyberguerre. La Confédération a donc besoin de cette stratégie globale.
Notre commission a décidé, à l'unanimité, de déposer ce postulat afin de charger le Conseil fédéral de présenter, d'ici à la fin de cette année, un concept global et clair de protection et de défense du cyberespace civil et militaire. En particulier, ce concept devra comprendre les éléments suivants: une définition claire de la mission de l'armée dans le domaine de la cyberdéfense; une définition claire de la mission des autorités civiles qui sont compétentes en matière de cyberdéfense; une délimitation et une visualisation des compétences qui découlent des deux missions évoquées; un modèle de financement; un plan de recrutement de personnel qui soit réaliste pour la défense et les autorités civiles compétentes en matière de cyberdéfense et - c'est très important -, une comparaison internationale avec des pays pertinents pour la Suisse en ce qui concerne les ressources et les moyens financiers alloués au domaine cybernétique, à la fois sur les plans militaire et civil. Il sera particulièrement important que ce rapport définisse l'appui subsidiaire apporté aux autorités civiles et les éventuelles situations de crise et de défense dans lesquelles le Conseil fédéral engage certaines unités de l'armée comme réserves stratégiques.
La commission vous invite à adopter ce postulat, à l'instar du Conseil fédéral, qui le dira mieux lui-même.