Lexipedia

01.3601 · Interpellation · 2001-10-05

Département des finances

Liquidé

Wortlaut

1. Dans quelle mesure les données mémorisées dans les banques de données du Conseil fédéral et de l'administration sont-elles en sûreté ?

2. Dans quelles mesures ces données sont-elles en sûreté lors de leur transfert (Communication security)?

3. Dans quelles mesures ces données sont-elles protégées contre l'intrusion de pirates informatiques et contre l'écoute, notamment par le dispositif "Echelon"?

4. Que pense le Conseil fédéral des systèmes d'écoute, eu égard aux droits fondamentaux ?

5. Quelles mesures (telles que le cryptage) a-t-on prises et quelles mesures entreprend-on contre ces systèmes d'écoute ?

6. Que pense le Conseil fédéral du rapport relatif au système "Echelon" publié par le Parlement européen le 5 septembre 2001 ?

7. Quelles conclusions tire-t-il et quelles mesures prévoit-il sur la base de ce rapport ?

8. Une collaboration avec l'Union européenne est-elle envisageable ?

9. Comment le Conseil fédéral évalue-t-il le danger que font courir les systèmes d'écoute à la politique et à l'économie de la Suisse ?

10. La Suisse participe-t-elle à un système d'écoute ou en développe-t-elle un ?

Stellungnahme des Bundesrates

1. Pour accéder aux données par l'intermédiaire du réseau informatique de la Confédération, les collaborateurs de l'administration fédérale doivent utiliser un code d'identification et un mot de passe personnels. Le niveau de protection que permet d'atteindre cette procédure d'authentification dépend de la composition, de la confidentialité ainsi que de la modification périodique du mot de passe utilisé. Afin de satisfaire aux exigences techniques dans le domaine de la protection des données, diverses mesures sont prises pour empêcher des personnes non autorisées d'accéder à des données personnelles :

- mise en place de cloisons coupe-feu spécifiques pour empêcher l'accès au réseau informatique de la Confédération via des réseaux extérieurs ;

- inventaire des procédures d'authentification qui ont réussi et de celles qui ont échoué ;

- limitation de l'accès aux salles dans lesquelles sont installés les centres de calcul aux seules personnes qui doivent y effectuer des travaux et surveillance de cet accès ;

- effacement, écrasement ou, si nécessaire, destruction des données ou supports de données qui ne sont plus utilisés.

Pour ce qui concerne la confidentialité, et la mise à disposition sans altération aucune des données, les mesures suivantes sont appliquées :

- sécurisation périodique des données, ce durant plusieurs générations, à différents endroits et sur différents supports ;

- bonne protection de la majorité des centres de calcul de l'administration fédérale contre les accidents (feu, inondation, survoltage, etc.) et contre les agissements de personnes non autorisées.

Des mesures supplémentaires sont prises en ce qui concerne les outils informatiques utilisés par les membres du gouvernement ou par des personnes exerçant une fonction dirigeante au sein de l'administration fédérale.

2. Dans l'ensemble, le niveau de sécurité informatique au sein de l'administration fédérale est comparable à celui des administrations en Suisse et à l'étranger. Conformément à ce que prévoit la Network Security Policy de la Confédération, les systèmes et applications connectés sont protégés par des cloisons coupe-feu contre les intrusions opérées à partir de réseaux extérieurs, comme par exemple Internet. Dans le réseau informatique de la Confédération, les données, exception faite des applications particulièrement sensibles, sont transmises sans chiffrement.

3. Il faut faire une distinction entre les risques découlant de pirates informatiques travaillant dans l'organisation et ceux provenant de pirates informatiques opérant depuis l'extérieur. Différentes études attestent que les premiers sont nettement plus dangereux que les seconds. Un grand nombre d'outils de piratage disponibles sur Internet ne permettent d'espionner un réseau et les systèmes informatiques qui y sont implantés que s'ils sont utilisés par infiltration dans le réseau lui-même. A noter que les réseaux de radiocommunication ainsi que les téléphones portables constituent une nouvelle menace étant donné que le pirate n'a plus besoin de disposer d'un accès physique au réseau pour passer à l'attaque.

4. Le Conseil fédéral est conscient du fait que les activités d'écoutes électroniques sont de nature à porter atteinte à la vie privée. Cependant, il rappelle que, selon l'art. 8, al. 2, de la Convention européenne des droits de l'homme, "il peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit (au respect de la vie privée) pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui." Le Conseil fédéral considère que les activités légales des services de renseignements sont conformes aux droits fondamentaux, pour autant que soient prévus des systèmes de contrôle démocratique suffisants pour prévenir au mieux le risque d'abus. De tels systèmes de contrôle sont actuellement mis en place en Suisse parallèlement au développement du projet d'écoute stratégique ONYX.

5. Étant donné la nature actuelle des communications internationales et les modes d'interception possibles, il existe peu de mesures globales (politiques ou techniques) efficaces. Au vu de l'ampleur que prennent les activités d'écoute, l'utilisation de procédés cryptographiques efficaces est d'une importance capitale. Le DDPS a déjà pris les mesures adéquates en matière de chiffrement des informations transmises. Le DFF a, quant à lui, chargé l'Office fédéral de l'informatique et de la télécommunication, en sa qualité de fournisseur de prestations pour l'ensemble de l'administration, de prendre des mesures similaires afin de garantir l'échange d'informations confidentielles au sein de l'administration civile fédérale (projet "secure messaging").

6. Le rapport du Parlement européen sur le système "Echelon" n'a pas amené d'éléments fondamentalement nouveaux et son contenu était déjà connu des spécialistes de l'administration fédérale qui suivent ce dossier. Il a en effet mis en évidence non seulement les possibilités, mais également les limites d'un tel système. Les conclusions du Parlement européen en la matière sont largement admises par le Conseil fédéral.

7. Le Conseil fédéral en conclut que la sécurité de l'information, des communications et en particulier de l'informatique est plus que jamais une condition nécessaire au développement d'une société de l'information. En prenant des mesures de protection générales dans l'ensemble de l'administration ainsi que des mesures ciblées en ce qui concerne les risques, la sécurité informatique peut être garantie à un niveau de risque acceptable. Le Conseil fédéral est conscient qu'il n'est pas possible d'assurer à 1,0 % la sécurité informatique du réseau de la Confédération.

8. Concernant l'échange de renseignements, les services de renseignements suisses entretiennent des contacts bilatéraux avec leurs homologues étrangers dans la mesure où l'intérêt des deux pays s'en trouve satisfait. Dans tous les cas, le choix de ces partenaires est soumis au contrôle du Conseil fédéral. Dans le domaine de l'écoute électronique, le Conseil fédéral a exclu une coopération de la Suisse à un système international d'interception des communications par satellite comme "Echelon". En matière de protection et de sécurité des systèmes de communications internationales, le Conseil fédéral n'exclut pas une coopération qui servirait les intérêts de la Suisse. Peuvent être citées à titre d'exemples la promotion de projets de logiciels cryptographiques dont les sources sont publiées, ainsi que la création de réseaux européens et coordonnés de centres de conseils en matière de sécurité de l'information qui auraient pour mission non seulement de sensibiliser et d'aider les entreprises et les administrations, mais aussi de favoriser les échanges d'idées à ce niveau.

9. Il est très difficile d'évaluer concrètement les risques politiques et économiques de ces réseaux d'écoute pour la Suisse. Il ne s'agit en l'occurrence pas d'une problématique spécifique à la Suisse. En fait, seuls les systèmes fonctionnant en circuit fermé peuvent prétendre à une certaine sécurité. Une économie qui se veut ouverte et utilise de ce fait les réseaux informatiques ne peut donc pas être totalement protégée des écoutes. Or, un pays tel que la Suisse se doit d'avoir une économie ouverte. Étant donné l'absence de statistiques fiables en la matière, il n'est cependant pas possible de faire des comparaisons.

10. La Suisse est en train de se doter d'une capacité d'interception des communications par satellite (projet ONYX), mais ne fait pas partie d'"Echelon" ni d'aucun autre réseau d'interception comparable.

Réponse du Conseil fédéral.

Sécurité des données. Etat des lieux | Lexipedia | Lexipedia