16.1022 · Question urgente · 2016-06-02
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Il est particulièrement problématique que l'entreprise RUAG, qui est spécialisée dans le cyberespace et la sécurité, ait été victime récemment d'une cyberattaque lancée par une entité anonyme. Le 23 mai 2016, le Conseil fédéral a donné des informations sur les premiers éléments concernant l'attaque de cyberespionnage contre l'entreprise RUAG. Quelques questions restent cependant sans réponse. Aussi le conseil fédéral est-il prié de répondre aux questions suivantes :
1. Comment et pourquoi des hackeurs ont-ils pu accéder à des données de l'administration fédérale par le biais de l'entreprise RUAG ? Ne faudrait-il pas procéder à une meilleure séparation entre les systèmes informatiques de l'entreprise RUAG et ceux de l'administration fédérale ?
2. Ces dernières années, l'administration fédérale - notamment le DFAE - a déjà été victime de cyberattaques à plusieurs reprises.
a. A-t-on utilisé le même maliciel lors de ces attaques ?
b. Qu'entendent faire le Conseil fédéral et le DDPS en particulier pour que l'on puisse prévenir ce type de cyberattaques à l'avenir ?
c. Existe-t-il une bonne pratique à laquelle on pourrait recourir pour lutter contre le risque constitué par les cyberattaques ? Dans l'affirmative, la Confédération s'en inspire-t-elle ?
3. Dans quelle mesure le Conseil fédéral voit-il la nécessité de faire examiner la sécurité de l'ensemble de l'architecture du système informatique (notamment la centralisation des données) pour identifier les failles potentielles et, par conséquent, les risques pour la sécurité ?
4. Le Conseil fédéral estime-t-il que la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) est suffisante ou qu'il faut créer des compétences ou des services spécialisés supplémentaires pour protéger les infrastructures importantes pour la sécurité, ou améliorer la coopération avec le secteur privé ?
5. La Suisse ne peut pas lutter seule contre la cybercriminalité.
a. De l'avis du Conseil fédéral, les accords actuels sont-ils suffisants pour lutter contre la cybercriminalité ?
b. Dans quelle mesure la coopération internationale en la matière peut-elle ou devrait-elle être encore renforcée ?
6. Comment le Conseil fédéral peut-il donner la garantie que la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) est mise en oeuvre de façon uniforme dans tous les départements ?
7. A-t-on connaissance d'autres attaques (cyberattaques, écoutes, etc.) dont le public n'a pas été informé à ce jour ?
Stellungnahme des Bundesrates
1. La cible de l'attaque était bien RUAG et non l'administration fédérale. Il semblerait que les pirates informatiques n'aient pas eu accès aux réseaux de l'administration fédérale. Le Conseil fédéral a déjà ordonné une vérification de la dissociation des réseaux.
2.a. L'analyse technique permet de conclure qu'il s'agit de la même famille de maliciels.
2.b. Des attaques d'une telle ampleur ne peuvent pas être évitées dans tous les cas. Il est important de disposer d'un processus de gestion des risques qui fonctionne et tienne tout particulièrement compte des processus critiques et des informations sensibles afin de limiter les dégâts, même lorsqu'il n'a pas été possible de déjouer l'attaque. Par ailleurs, le présent cas a montré l'importance de la coopération au niveau national et avec l'étranger en pareille situation.
2.c. La Confédération utilise plusieurs instruments pour identifier et minimiser les cyberrisques conformément à la Stratégie nationale de protection contre les cyberrisques (SNPC). La SNPC prévoit seize mesures qui s'étendent à tous les domaines et mettent aussi l'accent sur les évolutions au niveau international. L'Office fédéral de la protection de la population et l'Office fédéral de l'approvisionnement économique effectuent des analyses des risques et des vulnérabilités, et s'appuient pour ce faire sur le guide pour la protection des infrastructures critiques qui tient compte des standards courants et des bonnes pratiques. Sur la base des résultats de ces analyses, des mesures d'amélioration des capacités de résistance et de régénération sont élaborées de concert avec les autorités et les exploitants d'infrastructures critiques.
3. Le Conseil fédéral est d'avis qu'il s'agit là d'une priorité et a édicté des prescriptions de sécurité informatique en ce sens. Celles-ci prévoient que, pour chaque système informatique de l'administration fédérale, le besoin de protection soit évalué et les mesures de sécurité nécessaires soient fixées et mises en oeuvre. L'architecture du système informatique est aussi soumise à des contrôles ; de même, les failles et les risques en matière de sécurité sont identifiés. Dans le cadre du contrôle de l'efficacité de la SNPC, d'autres mesures pourraient être prises.
4. Le partenariat public-privé entre Melani et l'économie représente la solution adéquate pour une collaboration efficace avec le secteur privé ; il doit être encore renforcé. Pour ce faire, on s'appuiera prioritairement sur les structures et les formes de collaboration existantes, et on consolidera encore les compétences actuelles. Une première étape a été franchie dans ce sens avec la fondation de "Swiss Cyber Experts" en 2014. L'association réunit en effet des experts de l'économie, de l'administration et du monde scientifique.
5. Seule une coopération au niveau international permet de lutter efficacement contre la cybercriminalité. En 2012, la Suisse a adhéré à une convention du Conseil de l'Europe sur la cybercriminalité, ce qui facilite la collaboration avec d'autres pays dans la lutte contre la cybercriminalité. L'Office fédéral de la police (Fedpol) collabore par ailleurs étroitement avec des organisations de police internationales comme Interpol et Europol. Le Centre européen de lutte contre la cybercriminalité (EC3) constitue un centre de coordination important dans ce contexte. Fedpol rejoindra en outre le réseau de contacts du G-7 contre la cybercriminalité, qui devrait faciliter l'échange d'informations avec de nombreux pays, notamment en Asie ou en Afrique.
La convention du Conseil de l'Europe peut aussi être ratifiée - sur invitation - par des États qui ne sont pas membres du Conseil de l'Europe. La Suisse s'engage en faveur du développement de cette convention et siège au sein d'un groupe de travail du Conseil de l'Europe qui se penche sur le thème "Évidence in the Cloud" et l'accès aux données au-delà des frontières nationales.
En outre, il existe encore d'autres initiatives pour lutter contre la cybercriminalité soutenues par la Suisse, parmi lesquelles la "Global Alliance against Child Sexual Abuse Online" et sa "Virtual Global Task Force". Cette alliance a été lancée en 2012 sur initiative commune de l'UE et des États-Unis. Elle compte actuellement 54 États membres, dont la Suisse (représentée par Fedpol). Son objectif est de renforcer la collaboration internationale dans la lutte contre les abus sexuels à l'encontre d'enfants commis en ligne.
Du point de vue du Conseil fédéral, ces mesures sont suffisantes pour pouvoir lutter efficacement contre la cybercriminalité aussi à l'avenir.
6. Un comité de pilotage interdépartemental accompagne étroitement la mise en oeuvre de la SNPC au niveau stratégique. L'organe de coordination de la SNPC apporte quant à lui son soutien au niveau opérationnel et informe le Conseil fédéral de ses activités tous les six mois. De plus, il est le mandant du contrôle de l'efficacité, qui est actuellement effectué par une entreprise externe. Les premiers résultats devraient être disponibles en automne 2016. Le contrôle de l'efficacité permettra de savoir si des résultats ont été obtenus avec la SNPC et si la solution décentralisée a fait ses preuves. Il répondra aussi à la question de comment envisager l'avenir.
7. Des cyberattaques ont lieu aujourd'hui quotidiennement et sous différentes formes. Le Conseil fédéral est donc conscient qu'il n'est pas informé de chacune des nombreuses attaques visant les réseaux de la Confédération. Il est cependant informé de toutes les attaques importantes.
Réponse du Conseil fédéral.