Lexipedia

16.3528 · Motion · 2016-06-16

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

Le Conseil fédéral est chargé de créer un centre fédéral de compétences dans le domaine de la cyberdéfense, de regrouper les ressources des différents départements et ainsi de réduire autant que possible les cyberrisques. Ce centre de compétences recevra, dans la mesure du possible, l'appui d'une troupe de milice.

Begründung

La cyberstratégie de la Confédération prévoit que chaque département est responsable de sa propre cyberdéfense. Chaque département doit constituer le savoir-faire nécessaire, alors qu'il serait plus judicieux de regrouper les expériences et les ressources disponibles. La création d'un centre de compétences permettrait d'exploiter des synergies et d'utiliser les effectifs en fonction du but à atteindre. Il n'est ni judicieux ni utile que chaque département gère son propre service de cyberdéfense pour garantir la sécurité. Un centre de compétences qui régirait de surcroît les infrastructures critiques (Confédération, cantons et entreprises civiles, par ex. Swissgrid), et qui aurait la fonction d'interlocuteur, pourrait travailler plus efficacement. Si ce centre était intégré au DDPS pour des raisons relevant de la politique de sécurité, on pourrait étoffer ses ressources humaines avec des militaires de milice qui apporteraient leur expérience professionnelle en matière informatique.

Pour garantir la cybersécurité, on affectera toujours une partie du budget de l'armée à la protection des infrastructures critiques.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

Le Conseil fédéral remet en question l'idée qu'une centralisation des compétences permettrait de réduire au minimum les cyberrisques auxquels la Confédération, l'économie et la société sont exposées.

Pour réussir, la réduction des risques doit être réalisée là où ceux-ci sont susceptibles d'émerger. Un centre de compétences centralisé ne peut pas, sur une base transversale, limiter au maximum les risques parfois très variés qui menacent l'économie, la société et l'administration. Les principes en vigueur dans d'autres domaines, par exemple en cas de coupures locales d'électricité ou d'inondations, s'appliquent aussi à la gestion des risques dans le cyberespace. La Confédération peut et doit protéger ses propres infrastructures et réduire ses risques au maximum, elle peut aider également l'économie et la société à assumer et à renforcer leur responsabilité et leurs compétences dans ces domaines. Elle peut identifier des dangers de manière précoce et fournir des informations à leur sujet, analyser des incidents et formuler des recommandations, ou encore édicter des ordonnances sur le plan juridique. Cependant, ni l'armée ni la Confédération ne pourraient assurer seules la cybersécurité de l'ensemble de l'infrastructure informatique de la Suisse, et ce, même en investissant des moyens colossaux.

Un centre de compétences de la Confédération pour les infrastructures critiques en général a été créé dans le cadre de la Stratégie nationale pour la protection des infrastructures critiques. L'Office fédéral de la protection de la population (OFPP) coordonne notamment la mise en oeuvre de cette stratégie et élabore des bases conceptuelles. La Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) assume la fonction de centre de compétences pour le domaine spécifique de la cybersécurité. Elle coordonne également la mise en oeuvre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). Dans ce contexte, on peut se demander quelle responsabilité la Confédération peut et doit assumer s'agissant des actions des entreprises dans le secteur des infrastructures critiques. Sur le plan juridique, il n'existe pas de base permettant une responsabilité plus étendue au niveau fédéral en dehors des régulations sectorielles des branches. D'ailleurs, le Conseil fédéral estime qu'il pourrait s'agir d'une limitation de la marge de manoeuvre des entreprises. Il convient de relever que ces dernières ont remis en question une centralisation au sein du Département fédéral de la défense, de la protection de la population et des sports (DDPS) lors de l'élaboration de l'actuelle SNPC.

Avant d'élargir le rôle du DDPS ou de l'armée dans ce domaine, le Conseil fédéral et le Parlement devraient mener un débat de fond concernant la fonction que l'armée devrait assumer dans la réduction des cyberrisques pour l'État, l'économie et la société. Les bases permettant d'élargir ainsi le rôle de l'armée dans le domaine de la cybersécurité font actuellement défaut. En outre, il n'y a pas non plus de base juridique permettant d'utiliser une partie du budget de l'armée pour sécuriser les infrastructures critiques, et ce, tant pour le cyberespace que pour les autres secteurs. Une telle sécurisation et son financement font en principe partie des tâches des entreprises.

Le Conseil fédéral est conscient de l'importance de la cybersécurité et souhaite aussi la renforcer. C'est pourquoi il a ordonné un examen de l'efficacité de la SNPC sous sa forme actuelle. Il considère qu'il est plus judicieux d'analyser d'abord les résultats de cette enquête afin d'en tirer les conclusions qui s'imposent.

Le Conseil fédéral propose de rejeter la motion.