16.3356 · Interpellation · 2016-05-31
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Alors que les cyberattaques se multiplient de manière extrêmement préoccupante, le Conseil fédéral persiste à affecter la plupart des moyens de sécurité humains et financiers à des scénarios d'où le risque réel est quasiment absent, fondés sur l'hypothèse absurde d'une agression massive menée contre la Suisse par une armée étrangère. Ce qui pose les questions suivantes :
1. Quels sont les départements et institutions (Parlement, etc.) qui ont été victimes de fuites de données suite à la cyberattaque menée contre RUAG ? Quelles quantités de données ont-elles été dérobées ? Quelle part de ces données provient-elle du DDPS ?
2. L'approche à la fois décentralisée et coordonnée sur laquelle repose la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) est la bonne. Quels sont les moyens humains et financiers affectés à la mise en oeuvre de cette stratégie ? Quels sont les moyens affectés à chacune des mesures qui composent cette dernière ?
3. Pourquoi la SNPC exclut-elle les cas de guerre ou de conflit ? Ne trouve-t-on pas aujourd'hui justement dans le cyberespace des formes hybrides de conflit marquées par la fluctuation entre situations normales et situations de tension ?
4. Qu'entreprend le DDPS en faveur de la cybersécurité ? Quels moyens humains et financiers affecte-t-il et à quelle mesure ? Quelle part cela représente-t-il ?
5. Quand le DDPS et l'armée fourniront-ils enfin aux autorités civiles et aux exploitants des infrastructures critiques les prestations promises au chapitre 3.5 du rapport annuel SNPC 2014 ? Quels moyens humains et financiers y affecteront-ils ? Combien de cyberspécialistes le DDPS forme-t-il ?
6. Quand le Conseil fédéral redéploiera-t-il enfin les moyens humains et financiers aujourd'hui affectés à la lutte contre des menaces militaires improbables pour les rediriger vers la protection contre des cyberattaques qui non seulement n'ont rien de virtuel mais sont lancées tous les jours ?
7. L'évaluation de l'efficacité prévue dans le plan de mise en oeuvre de la SNPC concernera-t-elle les sept départements ? L'armée et ses satellites (RUAG, SRC, etc.) seront-ils eux aussi soumis à cette évaluation ?
8. Combien de temps le DDPS continuera-t-il de recourir à cette vieille ficelle qui consiste à produire à chaque fois une analyse tous azimuts - et allant donc bien au-delà des seuls cas de guerre ou de conflit - de la situation de la cybersécurité, mais de proposer des mesures limitées strictement à l'autoprotection de l'armée ?
9. Avec quels États la Suisse a-t-elle échangé des informations sur sa stratégie de cybersécurité, conformément aux recommandations de l'OSCE sur les mesures de confiance ? Qu'envisage de faire le Conseil fédéral pour renforcer la coopération internationale en matière de cybersécurité ?
Stellungnahme des Bundesrates
1. La cible visée était RUAG et non l'administration fédérale. En termes de volume, les fuites sont de l'ordre de 23 gigabits. Il est impossible de savoir avec précision si des données des différents départements enregistrées auprès de RUAG ont été dérobées.
2. En 2013, le Conseil fédéral a approuvé le plan de concrétisation de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) et autorisé la création de 28 postes supplémentaires dont certains pour une durée déterminée (fin 2017). Ces postes, et les moyens financiers qu'ils nécessitent, sont répartis en fonction des mesures prises :
- analyse des risques et des vulnérabilités dans les secteurs critiques partiels : cinq postes (Office fédéral de la protection de la population et Office fédéral pour l'approvisionnement économique du pays);
- concept d'analyse des vulnérabilités au sein des infrastructures informatiques de l'administration fédérale : un poste (Unité de pilotage informatique de la Confédération), limité au 31 décembre 2016 ;
- vue d'ensemble des infractions et coordination des cas complexes internationaux : un poste (Office fédéral de la police), limité au 31 décembre 2017 ;
- gouvernance d'Internet : un poste (Office fédéral de la communication);
- coopération internationale dans le domaine de la politique de sécurité : deux postes (Département fédéral des affaires étrangères) ;
- aperçu de la situation et analyse des incidents : 18 postes (Unité de pilotage informatique de la Confédération, Service de renseignement de la Confédération, Renseignement militaire, Base d'aide au commandement de l'armée).
3. Stratégie nationale visant à réduire au minimum les cyberrisques, la SNPC se concentre sur la protection des infrastructures critiques. Lors des discussions relatives à la poursuite de la stratégie, il sera nécessaire de prendre en compte le changement de paradigme - notamment l'importance prise par la cybernétique dans les moyens d'attaque. En examinant l'efficacité de la SNPC, le Conseil fédéral devra aussi déterminer s'il est toujours pertinent de séparer les cyberrisques civils et militaires.
4. L'Operation Information Center de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (OIC Melani) est établi auprès du Service de renseignement de la Confédération (SRC). Le SRC a en plus créé un secteur chargé de la lutte contre les cyberattaques. Dans ce domaine, l'armée joue un rôle subsidiaire et il ne lui revient pas, à l'origine, d'assurer une protection constante de la population civile et des infrastructures critiques. Le SRC emploie 17 personnes dans le domaine de la cybersécurité et pour l'OIC MELANI ; l'armée, de son côté, emploie 25 personnes.
5. Le Département fédéral de la défense, de la protection de la population et des sports fournit déjà des prestations substantielles en faveur des autorités civiles et des exploitants d'infrastructures critiques. Le principe de base de la SNPC est et restera de renforcer les capacités et la responsabilité individuelle des personnes concernées. Quant à la question d'un élargissement du rôle de l'armée dans ce domaine, il faudrait que le Conseil fédéral et le Parlement mènent une discussion de fond afin de déterminer quel rôle elle doit jouer dans la réduction des cyberrisques pour l'État, l'économie et la société, une tâche qui, au niveau de la Confédération, incombe pour l'instant au Département fédéral des finances.
6. La sécurité de la Suisse exige de prendre en compte toute la gamme des menaces et des dangers, comme le précise le nouveau rapport sur la politique de sécurité. Le domaine "cyber" en fait partie. Cela dit, d'autres menaces, comme le terrorisme, conservent toute leur acuité. En fait, les menaces dans le cyberespace revêtent un caractère transversal en ceci qu'elles créent pour une part de nouvelles menaces mais surtout qu'ellent aggravent les menaces existantes, notamment dans le domaine militaire. La protection de toute l'infrastructure informatique du pays ne pourrait jamais être garantie par l'armée ni même par la seule Confédération, même si celles-ci engageaient des moyens colossaux à cet effet.
7. Il faut commencer par contrôler l'efficacité des mesures prises ainsi que leur niveau de concrétisation. Des organisations des sept départements ont participé à la réalisation de la SNPC. Les tiers et les services comme RUAG qui n'ont pas été impliqués dans l'élaboration de cette stratégie ne sont pas inclus dans son évaluation. Outre les mesures, il convient d'analyser l'efficacité des interfaces entre la SNPC et l'armée.
8. Actuellement, il n'existe pas de base légale pour un engagement massif de l'armée dans la défense de l'État, de l'économie et de la société face à des cyberrisques qui dépasseraient la seule protection de ses propres systèmes et structures.
9. Depuis les débuts de l'OSCE, la Suisse s'active pour renforcer la confiance entre les États, y compris dans le domaine "cyber". Elle recourt régulièrement à cet organe pour illustrer son approche des cyberrisques (par ex. à travers une présentation globale de la SNPC devant tous les États membres). Vu la nature clairement transnationale du cyberespace, le Conseil fédéral reconnaît le rôle important de la coopération internationale dans la réduction des cyberrisques. La Suisse poursuit trois objectifs principaux dans sa coopération à l'échelon international : elle participe au développement de normes étatiques de comportement, elle s'engage pour accroître la confiance dans le domaine "cyber" et elle promeut des initiatives visant le développement des capacités. Outre sa contribution active dans le cadre de l'OSCE dans le but d'établir un climat de confiance entre les États, elle s'engage depuis le mois d'août 2016 aux côtés de 24 autres pays dans le seul organe de l'ONU traitant de cybersécurité pour l'élaboration de normes de comportement étatiques et le renforcement du droit international public. En ce qui concerne le développement des capacités et des compétences dans le domaine "cyber", il s'agit d'une part d'améliorer ses propres capacités et, d'autre part, de réduire la fracture numérique ("digital divide") en lançant des initiatives probantes. En outre, la cybersécurité fait partie intégrante de toutes les consultations bilatérales en matière de politique de sécurité.
Réponse du Conseil fédéral.