15.4073 · Interpellation · 2015-09-25
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
La Suisse est un pays particulièrement bien connecté, dans le haut du classement international et européen. Les technologies de l'information offrent de grandes chances mais également des défis. Nous ne pouvons ignorer les cyberrisques tels que la cybercriminalité, le cyberespionnage ou le cyberterrorisme. L'ensemble des acteurs publics et privés sont concernés (État, infrastructures critiques, entreprises, citoyens).
L'armée ne peut pas se contenter d'être un observateur passif. Selon le Conseil fédéral, l'État-major de conduite de l'armée possède des moyens pour effectuer des points de la situation et transmettre l'information ainsi que pour analyser des cybermenaces dirigées contre les systèmes militaires et y faire face.
Le Conseil fédéral est prié de répondre aux questions suivantes :
1. Le Conseil fédéral partage-t-il l'avis selon lequel la protection de l'espace cybernétique est une priorité et doit être traitée avec la même diligence que, par exemple, la protection de l'espace aérien ?
2. Les médias ont mis en avant le fait que les hôtels ayant abrité les négociations sur le nucléaire iranien en Suisse ont été la cible de cyberattaques (piratage de caméras de sécurité et de micros).
a. Quel a été l'engagement de l'armée sur le plan cybernétique pour sécuriser cet événement ?
b. Vu ces révélations, quelles sont les mesures envisagées pour réellement sécuriser les prochaines rencontres internationales ?
3. Comme souvent, cette attaque a été révélée par une entreprise privée de cybersécurité.
a. Le Conseil fédéral ne partage-t-il pas l'avis selon lequel l'armée devrait renforcer sa coopération avec l'économie privée et les instituts de recherche pour posséder de réelles capacités de prévention et de réaction ?
b. Le Conseil fédéral n'est-il pas d'avis que la Suisse devrait s'inspirer des modèles développés aux États-Unis (DARPA) ou en Israël (Unit 8200), qui sont reconnus internationalement sur le plan de la prévention, de l'action et de l'innovation ?
4. Dans sa Stratégie nationale pour la protection des infrastructures critiques, le Conseil fédéral préconise de "créer des moyens publics suffisants afin d'apporter une aide subsidiaire aux exploitants d'infrastructures critiques pour faire face aux cyberrisques d'importance stratégique".
a. Quelles sont les mesures qui ont été mises en place depuis la publication de cette stratégie ?
b. Quelles sont les autres mesures en cours de réalisation ?
Stellungnahme des Bundesrates
1. Le Conseil fédéral est conscient des défis à relever dans le cyberespace. C'est pourquoi il a approuvé, en 2012, la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) et, en 2013, le plan de sa concrétisation ainsi que les ressources requises pour ce faire. Ce thème est aussi largement traité dans le nouveau rapport sur la politique de sécurité. Par ailleurs, une comparaison avec la protection de l'espace aérien n'est pas pertinente puisque la cybernétique est un sujet à part, avec ses problèmes et ses défis bien spécifiques. La SNPC n'accorde à l'armée aucune responsabilité globale en termes de protection dans le domaine de la cybernétique en temps de paix. L'armée doit avant tout protéger ses propres systèmes et infrastructures informatiques. Elle peut toutefois être engagée à titre subsidiaire pour venir en aide aux organes civils. La SNPC suit une approche décentralisée et responsabilise en premier lieu les divers utilisateurs. Elle exclut, par contre, explicitement les guerres et les conflits et charge l'armée de se préparer à affronter ces cas spéciaux.
2. Dans le cas susmentionné, l'armée n'était pas impliquée dans les dispositions prises pour la sécurité dans le cyberespace. En principe, elle n'a pas, parmi ses tâches, celle de garantir la sécurité publique - cybersécurité comprise. Cette tâche incombe principalement aux sites concernés, lesquels peuvent être appuyés par les autorités compétentes (police, service de renseignement). L'application de la SNPC a, entre autres, permis d'évoquer l'attribution au Service de renseignement de la Confédération (SRC) de ressources supplémentaires pour traiter des affaires relevant de la cybernétique. Ces ressources doivent servir au SRC à développer des capacités permettant de maîtriser et de traiter des événements à caractère cybernétique regardant la protection de l'État. Ces capacités peuvent aussi être utilisées pour étayer les mesures de sécurité prises en prévision d'événements tels que celui susmentionné.
3. Dans le cadre du développement de ses capacités dans le domaine de la cyberdéfense, l'armée collabore déjà avec divers organes de recherche, notamment par le truchement d'Armasuisse. Depuis 2004, les exploitants civils d'infrastructures critiques et les experts en sécurité coopèrent avec la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani). Ce réseau permet d'échanger des informations sur les menaces, les incidents et les événements techniques. L'Unité de pilotage informatique de la Confédération a, par ailleurs, permis à l'industrie, au travers de l'association Swiss Cyber Experts, de participer à la sécurisation de la Suisse face aux cyberincidents. Les développements susmentionnés et les moyens engagés aux États-Unis et en Israël sont suivis avec intérêt, bien que la Suisse ne prévoie pas un engagement d'une telle ampleur dans ce domaine.
4. La Stratégie pour la protection des infrastructures critiques (PIC) est en cours d'application. La cybernétique est au nombre des thèmes qu'elle aborde. Un rapport détaillé va être établi d'ici à fin 2016, conformément à la stratégie PIC. Les mesures de réduction des risques figurent dans la SNPC qui a été adoptée en parallèle. Sa phase de concrétisation se terminera fin 2017. Les résultats du contrôle de son efficacité seront soumis au Conseil fédéral au printemps 2017 et les éventuels besoins d'adaptation seront réévalués.
D'importants investissements ont été réalisés au sein de l'armée en vue d'acquérir des infrastructures résistant aux défaillances (entre autres des centres de calcul, le Réseau national de conduite). En outre, la nouvelle loi sur le renseignement permet au SRC de prendre des contre-mesures actives pour protéger les infrastructures critiques des cyberattaques.
Réponse du Conseil fédéral.