16.3413 · Interpellation · 2016-06-09
Département de l'environnement, des transports, de l'énergie et de la communication
Liquidé
Wortlaut
L'Agence internationale de l'énergie atomique (AIEA) ainsi que des experts mettent en garde contre une multiplication des attaques cybernétiques visant des installations nucléaires. Le professeur Hämmerli, expert en infrastructures critiques, perçoit lui aussi des risques, dans le domaine de la production d'énergie par exemple (swiss ICT 05/16). Le Conseil fédéral a fort heureusement envisagé une approche globale des cyberrisques. La Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) date toutefois de 2012 déjà, ce qui veut dire qu'elle est vieille de deux générations d'ordinateurs. Elle ne précise pas non plus les moyens de parer aux risques concrets, alors que d'après Monsieur Hämmerli le niveau de risque s'est fortement élevé, tant du point de vue financier que du point de vue de la fréquence. La perturbation d'infrastructures critiques comme le sont les centrales et les installations nucléaires (Institut Paul-Scherrer, dépôt intermédiaire Zwilag, etc.) peut avoir de lourdes conséquences pour la population. Les autorités de surveillance et la Confédération doivent veiller d'autant plus à la sécurité. Étant donné que, d'une part, les exploitants des installations nucléaires doivent veiller eux-mêmes à protéger leurs systèmes, conformément à la loi sur l'énergie nucléaire, et que, d'autre part, le fait de séparer les systèmes d'exploitation du reste du réseau informatique ne constitue pas un obstacle insurmontable pour les cyberattaques, je charge le Conseil fédéral de répondre aux questions suivantes :
1. Qui détermine le niveau de risque acceptable pour la société en ce qui concerne les centrales nucléaires et les réseaux énergétiques ? Sur la base de quels critères ?
2. Quels sont les résultats des analyses de risque et de vulnérabilité cybernétiques en matière de centrales nucléaires ainsi que de réseaux et d'installations énergétiques ? Que pense le Conseil fédéral de ces résultats ? Quelles sont les mesures (de protection) prises ? En fonction de quels scénarios sont-elles exécutées et quelles sont les étapes de leur mise en oeuvre ?
3. Les travaux préparatoires visant à contrer les attaques des pirates informatiques ont-ils été exécutés ? Les mesures à cet effet ont-elles été définies et les organisations faîtières du secteur de l'énergie préparées ?
4. Le Conseil fédéral estime-t-il que les préparatifs des exploitants de centrales nucléaires sont suffisants ? La vulnérabilité des centrales nucléaires est-elle testée à l'aide de piratages informatiques simulés ? Avec quelle périodicité ? Comment le Conseil fédéral s'assure-t-il de la sécurité informatique des centrales nucléaires ?
5. Comment se détermine l'imputation du coût des mesures visant à réduire les risques posés par les cyberattaques ?
6. Quelle serait la structure organisationnelle adéquate, au sein de l'administration, pour contrer les cyberrisques pesant sur les infrastructures critiques comme les centrales nucléaires ? Le Conseil fédéral prévoit-il de centraliser et de grouper les ressources ou les différents offices continueront-ils d'aborder le problème de manière décentralisée ?
Stellungnahme des Bundesrates
1. Conformément aux articles 4 et 5 de la loi du 26 juin 1998 sur l'énergie (RS 730.0), l'approvisionnement énergétique relève des entreprises de la branche énergétique et cela implique également la garantie d'un approvisionnement sûr. La sécurité n'est pas assurée par des directives générales relatives à la sécurité des réseaux électriques, mais par des lois spéciales qui formulent des exigences concrètes applicables aux installations électriques, aux ouvrages d'accumulation ou aux conduites. Il appartient aux exploitants du réseau de définir quels sont les niveaux de risque acceptables et quand des mesures doivent être prises pour les réduire. Un guide a été élaboré dans le cadre de la stratégie nationale du 27 juin 2012 pour la protection des infrastructures critiques (PIC ; FF 2012 7173) afin de soutenir les exploitants dans cette tâche. Le processus de mise en oeuvre du guide et d'autres travaux relatifs à la PIC peuvent engendrer un besoin de précision des directives de sécurité, besoin que les autorités spécialisées doivent examiner.
Dans le domaine du nucléaire, la législation définit les exigences de sécurité en vigueur. De manière analogue à la protection physique contre des actes illicites selon l'annexe 2 de l'ordonnance du 10 décembre 2004 sur l'énergie nucléaire (RS 732.11), il existe également, dans le domaine de l'informatique, une structure en zones présentant une résistance qui va croissant. La directive ENSI-A06 fixe des critères d'évaluation des risques. La définition de ces critères repose sur un cadre réglementaire supérieur et tient compte de l'objectif de sécurité recommandé par l'Agence internationale de l'énergie atomique (AIEA).
2./3. Les mesures 2 et 12 de la stratégie nationale du 27 juin 2012 de protection de la Suisse contre les cyberrisques (SNPC ; FF 2013 517) concernent l'établissement d'analyses des risques et de la vulnérabilité pour les sous-secteurs critiques selon la stratégie PIC - dans le secteur "énergie", il s'agit des sous-secteurs "approvisionnement en pétrole", "approvisionnement en gaz naturel" et "approvisionnement en électricité" - ainsi que le renforcement et l'amélioration de la capacité de résistance face aux perturbations et événements imprévus. Les analyses des risques et de la vulnérabilité relatives à l'approvisionnement en gaz naturel et en électricité sont terminées et celles relatives à l'approvisionnement en pétrole sont en cours. En ce qui concerne l'approvisionnement en gaz naturel, des mesures ont déjà été prises pour améliorer la capacité de résistance et font l'objet de mise en oeuvre. Les mesures relatives à l'approvisionnement en électricité sont actuellement élaborées par l'Office fédéral pour l'approvisionnement économique du pays, en étroite concertation avec l'Office fédéral de l'énergie, la Commission fédérale de l'électricité (Elcom), l'Inspection fédérale de la sécurité nucléaire (IFSN) et des représentants de la branche énergétique.
Les résultats disponibles font état d'une forte dépendance des technologies de l'information et de la communication (TIC) dans les sous-secteurs de l'approvisionnement en gaz naturel et en électricité et la vulnérabilité qui en découle devrait continuer à augmenter en raison de la tendance actuelle à la numérisation. Les systèmes de surveillance et de gestion (systèmes SCADA) des réseaux de gaz et d'électricité et les réseaux de communication résistants aux crises des exploitants font notamment partie des ressources critiques identifiées. Les mesures définies dans le domaine de l'approvisionnement en gaz englobent la création d'un service de piquet TIC de la branche, la sécurité de la communication en cas de crise, la garantie du dédouanement en cas de panne des TIC et la constitution d'un cercle fermé de clients de la branche du gaz naturel par la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani). Ayant déjà été mise en oeuvre du côté de Melani, cette mesure est close.
Dans le cadre de la présente réponse accessible au grand public, le Conseil fédéral n'est pas en droit de donner des renseignements sur les hypothèses les plus récentes dans le domaine de la sécurité des installations nucléaires, et ce en raison des exigences légales et des engagements internationaux relatifs au traitement des informations importantes pour la sécurité.
4. La surveillance des installations nucléaires incombe à l'IFSN, qui se penche déjà sur la question des cyberrisques. Les développements dans ce domaine sont suivis avec attention.
Les exploitants des installations nucléaires suisses doivent évaluer les risques informatiques, mener des analyses des risques et mettre en oeuvre les mesures de protection requises. L'article 22 de la loi du 21 mars 2003 sur l'énergie nucléaire (RS 732.1) décrit les obligations des détenteurs de l'autorisation d'exploiter et les mesures de rééquipement que ces derniers doivent prendre. Dans ce contexte, l'alinéa 2 lettre g s'applique en particulier également au domaine de la sécurité informatique. Il délègue au détenteur de l'autorisation d'exploiter l'obligation de rééquiper l'installation dans la mesure où les expériences faites et l'état de la technique du rééquipement l'exigent, et au-delà si cela contribue à diminuer encore le danger et pour autant que ce soit approprié. L'IFSN contrôle ce processus en permanence.
5. L'Elcom contrôle l'imputation des coûts des réseaux électriques. Selon l'article 15 de la loi du 23 mars 2007 sur l'approvisionnement en électricité (RS 734.7), les coûts des mesures visant à garantir l'exploitation d'un réseau sûr, performant et efficace peuvent être considérés comme coûts de réseau imputables. Le guide PIC explique comment concevoir des mesures visant à réduire les risques présentant un rapport coût-efficacité optimal. Dans la mesure où il est possible de montrer que les mesures remplissent ce critère, leurs coûts de mise en oeuvre peuvent être répercutés sur les clients en tant que coûts de réseau imputables.
6. La mise en oeuvre de la SNPC se déroule de manière décentralisée, autrement dit elle suit une approche consistant à renforcer les capacités et la responsabilité des acteurs concernés. La Confédération assure un soutien subsidiaire. Le comité de pilotage de la SNPC rend compte au Conseil fédéral de l'avancement des travaux. L'organe de coordination de la SNPC soutient le processus sur le plan opérationnel. Divers offices fédéraux sont responsables de la mise en oeuvre des mesures de la SNPC.
Le comité de pilotage est chargé de présenter au Conseil fédéral un examen de l'efficacité de la SNPC au printemps 2017 et de proposer d'éventuels ajustements. La structure organisationnelle à adopter pour la gestion future des cyberrisques sera déterminée sur la base de cet examen de l'efficacité et ne peut donc pas être anticipée à l'heure actuelle.
Réponse du Conseil fédéral.