10.4020 · Motion · 2010-12-16
Département des finances
Liquidé
Wortlaut
Le Conseil fédéral est chargé de développer la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) de manière à ce qu'elle puisse, au titre d'une mesure immédiate, fournir ses prestations reconnues à l'ensemble de l'économie suisse.
Begründung
En 2010, le Center for Security Studies de l'EPF de Zurich (CSS) a publié une étude consacrée à l'évaluation et au développement de Melani. L'étude décerne de bonnes notes à Melani, mais relève que la centrale est arrivée à ses limites en termes de performances, car les membres du cercle fermé lui demandent des prestations et des informations qu'ils ne sont pas en mesure d'obtenir ailleurs. Ces prestations ne pourraient être fournies qu'au prix d'un développement et d'une segmentation de Melani. Sans une augmentation de ses moyens, Melani serait dans l'impossibilité de poursuivre ses activités, même si le cercle des clients ne variait pas. En outre, les clients de Melani eux-mêmes critiquent le fait qu'aucune institution fédérale ne semble s'occuper des petites et moyennes entreprises et de la population en général. En raison de la forte interconnexion des TIC, cette lacune se traduit par un degré de protection insuffisant. Du point de vue des entreprises, il serait ainsi souhaitable que Melani joue un rôle plus actif en la matière.
Melani n'a pas actuellement pour mandat d'être à la disposition de tout un chacun. Le dernier document stratégique concernant le rôle de Melani date de 2003 ; il ne prend donc pas en considération l'évolution rapide des TIC survenue depuis et constitue une base insuffisante. Plusieurs interventions parlementaires, qui demandent l'élaboration d'une stratégie générale de cybersécurité, ont été adressées au Conseil fédéral. Le Conseil fédéral a par conséquent nommé un chef de projet pour la défense cybernétique, chargé d'élaborer une stratégie globale contre les menaces cybernétiques, dans laquelle Melani aura certainement sa place. Mais l'élaboration d'une stratégie nécessite souvent beaucoup de temps, et il faut éviter que les questions déjà soulevées passent à la trappe et que le développement de Melani s'en trouve prétérité : il est scientifiquement établi que la centrale Melani doit être agrandie et segmentée ; il est de même évident qu'il faut axer le soutien subsidiaire sur l'économie générale. L'EPF de Zurich a élaboré trois variantes, dont le modèle dit "en fleur", approprié pour la mise en oeuvre de ces revendications au titre d'une mesure immédiate.
Antrag des Bundesrates
Le Conseil fédéral propose de rejeter la motion.
Stellungnahme des Bundesrates
Sur la base d'une stratégie élaborée par l'Unité de stratégie informatique de la Confédération (USIC) en vue de lutter contre les menaces cybernétiques, le Conseil fédéral a mis sur pied la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) en 2003 et l'a introduite définitivement en 2007 après une période d'évaluation. Melani a pour tâches principales la collecte et l'analyse d'informations concernant les cybermenaces qui pèsent sur les infrastructures critiques ou vitales, le soutien des exploitants de ces infrastructures en cas d'incident, la coordination intrasectorielle et intersectorielle en cas de crise due à des cyberattaques ainsi que la prévention. Dans le cadre de ses ressources, Melani informe également les milieux économiques et la population des menaces informatiques ainsi que des mesures de protection à prendre. L'effectif de Melani se compose de collaborateurs de l'USIC (gestion stratégique et encadrement scientifique par GovCERT.ch) et du Service de renseignement de la Confédération (SRC, centre d'analyse : Operations and Information Centre). Melani opère en partenariat public-privé avec les exploitants d'infrastructures vitales dans les secteurs suivants : administration publique, finances, chimie/pharmacie, approvisionnement en énergie, santé, industrie, télécommunications, transports et logistique, assurances.
Actuellement, près d'une centaine d'entreprises sont membres du partenariat public-privé de Melani. Elles possèdent des compétences techniques et assurent elles-mêmes l'exploitation de leurs infrastructures vitales. Ce cercle relativement restreint de partenaires permet une collaboration très étroite, basée sur la confiance mutuelle, et un échange d'informations intensif. Si la mission de base de Melani consistait à l'avenir à protéger l'ensemble de l'économie contre les menaces cybernétiques, le cercle des clients concernés pourrait s'étendre à quelque 300 000 entreprises, dont la plupart disposeraient de compétences techniques très limitées et n'exploiteraient pas d'infrastructures vitales au sens strict du terme. Dans ce cas, il serait impossible d'appliquer le même modèle. Une telle extension suppose une prestation tout à fait différente, que Melani n'a absolument pas les moyens de fournir et qui affecterait considérablement la qualité de la collaboration ainsi que celle des résultats. Melani ne dispose déjà pas aujourd'hui du personnel nécessaire pour assurer ses tâches principales dans tous les secteurs. À cela s'ajoute la question de la séparation entre les tâches de l'économie privée et celles de l'État. Aujourd'hui, le rôle de Melani est exclusivement subsidiaire.
Pour ces raisons, il n'est pas envisagé pour l'instant de mettre les prestations que fournit Melani aux exploitants d'infrastructures vitales à la disposition de toutes les entreprises de Suisse, au titre d'une mesure immédiate. En revanche, une nouvelle stratégie interdépartementale destinée à lutter contre les menaces cybernétiques sera mise au point sous la direction du DDPS dans le cadre du groupe de travail constitué par décision du Conseil fédéral en date du 10 décembre 2010 (voir aussi concept "Sécurité et confiance" de l'OFCOM, dont le Conseil fédéral a pris connaissance le 11 juin 2010). Cette stratégie sera harmonisée avec la stratégie de base du Conseil fédéral pour la protection des infrastructures critiques (PIC), qui est déjà en cours de mise en oeuvre, et avec la stratégie nationale PIC qui sera élaborée sous la direction de l'OFPP et soumise au Conseil fédéral au printemps 2012. Parmi les éléments de la stratégie figureront aussi une analyse actualisée des menaces liées au cyberespace, un inventaire des mesures de protection et de défense existantes ainsi qu'une présentation des mesures nécessaires en vue de combler les éventuelles lacunes. La stratégie devrait être achevée fin 2011.
Le Conseil fédéral propose de rejeter la motion.