Lexipedia

510.921 OCMil

Ordonnance sur la cyberdéfense militaire (OCMil)

du 30 janvier 2019 (État le 1er janvier 2024)

Le Conseil fédéral suisse,

vu l’art. 100, al. 4, de la loi du 3 février 1995 sur l’armée (LAAM) 1 ,

arrête:

Art. 1 Objet

La présente ordonnance règle les mesures à prendre dans le cadre de la cyberdéfense à des fins d’autoprotection et d’autodéfense de l’armée et de l’administration militaire en cas d’attaque contre les prestations informatiques qui doivent impérativement être à la disposition de l’armée (prestations informatiques indispensables aux engagements de l’armée). 2

La cyberdéfense militaire comprend l’ensemble des actions menées dans le cyberespace dans le but de protéger et de défendre, aux échelons de conduite militaro-stratégique et opératif, les prestations informatiques indispensables aux engagements de l’armée, notamment:3

  1. la cyberdéfense: action menée dans le cyberespace visant à identifier les attaques et la cyberexploration et à protéger les ressources de l’Armée suisse;
  2. la cyberexploration: action menée dans le cyberespace visant à y acquérir des informations;
  3. la cyberattaque: action menée dans le cyberespace visant à perturber, à entraver ou à ralentir les ressources ou capacités de l’adversaire dans ou à travers le cyberespace.

Art. 2 Mesures soumises à autorisation et mesures non soumises à autorisation

Les mesures qui exigent de pénétrer dans des systèmes ou réseaux informatiques de tiers dans le cadre d’une action menée dans le cyberespace sont soumises à autorisation.

Les mesures qui n’exigent pas de pénétrer dans des systèmes ou réseaux informatiques de tiers dans le cadre d’une action menée dans le cyberespace ne sont pas soumises à autorisation.

Art. 3 Demandes de mesures soumises à autorisation

Les demandes de mesures soumises à autorisation doivent être motivées par écrit et contenir les informations suivantes:

  1. le but de l’action à mener dans le cybersespace;
  2. la période durant laquelle l’action doit être menée dans le cyberespace;
  3. les systèmes ou réseaux informatiques concernés;
  4. le nombre maximal de pénétrations dans les systèmes ou réseaux informatiques concernés;
  5. la preuve de la légalité, notamment de la proportionnalité, ainsi que l’évaluation des risques liés à l’action à mener dans le cyberespace.

Art. 44 Compétences du commandement Cyber

Le commandement Cyber (cdmt Cyber) est compétent en matière de cyberdéfense militaire.

Il assume les tâches suivantes:

  1. exécuter des missions consistant à mener des actions dans le cyberespace;
  2. prendre des mesures préventives d’autoprotection des prestations informatiques indispensables aux engagements de l’armée;
  3. contrôler la légalité et la faisabilité de nouvelles actions avant de les mener dans le cyberespace;
  4. bloquer l’accès aux prestations informatiques indispensables aux engagements de l’armée;
  5. veiller, de manière autonome, à disposer des informations techniques nécessaires à l’accomplissement des tâches;
  6. évaluer les systèmes et les réseaux informatiques mis en sûreté qui ont été utilisés ou détournés à des fins d’attaque;
  7. entretenir, en coordination avec les autorités compétentes de la Confédération, des contacts directs avec des services spécialisés en Suisse ou à l’étranger;
  8. soutenir l’engagement et l’instruction dans le domaine de la cyberdéfense militaire;
  9. documenter les mesures soumises à autorisation dans le cadre d’une action menée dans le cyberespace.

Il accomplit ses tâches avec ses propres ressources, avec celles qui lui sont subordonnées ou avec celles qui lui sont attribuées.

Les mesures soumises à autorisation prises dans le cadre d’une action menée dans le cyberespace sont mises en œuvre exclusivement par le service Actions dans le cyberespace et dans l’espace électromagnétique.

Art. 5 Compétences du chef de l’Armée

Le chef de l’Armée confie les missions concernant les actions dans le cyberespace.

Il soumet au préalable les demandes de mesures soumises à autorisation au chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) pour examen.

Lors d’un service actif au sens de l’art. 76, al. 1, LAAM, le chef de l’Armée ou le commandant en chef de l’armée peut approuver des mesures soumises à autorisation. Il peut déléguer cette compétence.

Art. 6 Compétences du chef du DDPS

Le chef du DDPS statue sur les demandes du chef de l’Armée.

Art. 7 Compétences du Conseil fédéral

Le Conseil fédéral approuve les mesures soumises à autorisation.

Art. 8 Surveillance

Le Secrétariat général du DDPS assure la surveillance de la cyberdéfense militaire au niveau départemental, fait régulièrement rapport au Conseil fédéral et informe les organes chargés de la haute surveillance parlementaire.

Le chef de l’Armée chapeaute et règle la surveillance de la cyberdéfense militaire au sein de l’armée.

Art. 95 Recherche

Le cdmt Cyber peut, en accord avec les unités administratives compétentes du DDPS, signer des conventions de coopération avec des instituts de recherche et des hautes écoles.

Art. 10 Exécution

Le chef du DDPS exécute la présente ordonnance et édicte des directives sur l’engagement et la formation. Il peut en déléguer l’exécution au chef de l’Armée.

Art. 11 Entrée en vigueur

La présente ordonnance entre en vigueur le 1 er mars 2019.