Lexipedia

17.3103 · Interpellation · 2017-03-13

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

Les technologies nouvelles font depuis longtemps partie de notre quotidien, mais le risque de subir une cyberattaque augmente à mesure que croît l'interconnexion des systèmes informatiques. La principale menace vient aujourd'hui d'acteurs qui agissent de manière professionnelle, comme le crime organisé, les groupes terroristes ou les États, et qui ciblent aussi bien des autorités, des institutions ou des infrastructures critiques que des personnes exposées ou des entreprises (espionnage économique). La Suisse et surtout la Genève internationale sont particulièrement visées par le cyberespionnage, en raison des nombreuses conférences internationales qu'elles accueillent. Non moins inquiétantes sont les tentatives entreprises par certains États - qui n'hésitent pas à recourir à la désinformation ciblée, à la propagande ou à d'autres techniques manipulatoires, pour compromettre l'ordre libéral des États occidentaux et influer sur les élections (par ex. au moyen de la publication ciblée d'informations piratées). L'armée doit elle aussi faire face à de nouveaux défis et évolutions dans ce domaine.

On peut dans ces conditions se demander si la Suisse est suffisamment armée pour affronter ces dangers. Comme le montre le rapport 2016 sur la politique de sécurité, la cybermenace est une menace transversale qui touche pratiquement l'ensemble de l'administration, de l'économie et de la population, étant entendu que l'armée joue ici un rôle particulier dans la mesure où il lui incombe de protéger elle-même ses propres systèmes et d'assurer la défense nationale. Il est donc normal que tous les départements et la Chancellerie fédérale participent à la mise en oeuvre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). L'efficacité de cette stratégie a fait en 2016 l'objet d'une réévaluation dont les résultats seront soumis au Conseil fédéral en avril 2017, puis rendus publics afin d'informer les acteurs économiques et la population des progrès réalisés. Le Conseil fédéral pourra s'appuyer sur cette analyse pour corriger les failles de la SNPC qui auront été identifiées et renforcer la coopération et la coordination entre les services concernés. L'armée, pour sa part, devra prendre en plus des mesures dans le domaine de la défense nationale.

Eu égard à ce qui précède, je prie le Conseil fédéral de bien vouloir répondre aux questions ci-après :

1. De quelles ressources la Confédération dispose-t-elle en matière de cybersécurité ? Le Conseil fédéral estime-t-il qu'elles seront suffisantes pour l'avenir ?

2. La répartition des tâches entre le DFF et le DDPS relatives aux sept champs d'action et aux seize mesures prévus par la SNPC est clairement définie dans le plan de mise en oeuvre de cette dernière (voir réponse du Conseil fédéral au postulat 16.4073 en date du 15 février 2017). Cette répartition a-t-elle fait la preuve de son efficacité ? Le Conseil fédéral pourrait-il envisager de placer le domaine de la cybersécurité sous la houlette du DDPS ? Ou vaudrait-il mieux le rattacher à la Chancellerie fédérale ?

3. La Cyberdéfense est une unité organisationnelle de la Base d'aide au commandement (BAC). Elle est un centre de compétence de l'armée pour la planification de l'action, le suivi de situation, la maîtrise d'événement et l'instruction dans le cyberespace. En ces temps de guerre hybride et considérant les développements et la montée en puissance observables dans les armées étrangères, le Conseil fédéral estime-t-il opportun de revoir la stratégie en matière de défense nationale afin de renforcer la défense numérique ?

4. Qu'en est-il du développement des capacités cybernétiques des forces armées ? Sommes-nous à la hauteur des efforts consentis à cet égard par d'autres pays modernes ?

5. La SNPC ne traite pas des conflits (cf. notamment réponse à l'interpellation 15.4073). Pour le Conseil fédéral, qu'est-ce au juste qu'un conflit dans le domaine cybernétique ?

6. Que fait la Suisse pour protéger les conférences internationales contre le cyberespionnage, par exemple à Genève, et garantir l'intégrité des négociations ?

7. Dans quelle mesure les autorités compétentes en matière de cybersécurité travaillent-elles avec le monde scientifique et économique ? Pour le Conseil fédéral, faudrait-il renforcer cette coopération ?

8. Le DDPS travaille actuellement à établir et à mettre en oeuvre un plan d'action destiné à lutter contre la cybermenace. Il s'agit de piloter, au sein du service de renseignement et de l'armée, le développement de capacités cybernétiques non seulement supplémentaires mais nouvelles, y compris offensives, et de le coordonner avec, notamment, la stratégie globale que constitue la SNPC, qui est également en train d'être revue. À quoi vise concrètement ce plan d'action, comment est-il articulé avec la SNPC et quel calendrier prévoit-il ?

9. La Suisse ne devrait-elle pas créer son propre centre de compétences en matière cybernétique, un cyberlaboratoire, sur le modèle du laboratoire de Spiez pour la protection ABC ?

Stellungnahme des Bundesrates

1. Lors de l'élaboration du projet de loi sur la sécurité de l'information, les ressources de l'administration fédérale et de l'armée ont été recensées et, fin 2014, on comptait ainsi environ 145 postes pour la sécurité informatique. Les besoins supplémentaires mentionnés dans le projet de loi précité devraient être principalement compensés par des réallocations internes. La Confédération engage toutefois également des ressources dans le cadre de la Stratégie nationale pour la protection de la Suisse contre les Bazlrisques (SNPC). Elle dispose à cet effet d'environ 86 postes (50 au DDPS, 20 au DFJP, 10 au DFF, 2 au DFAE, 2 au DEFR et 2 au DETEC), dont 30 étaient à durée déterminée avant d'être confirmés le 26 avril 2017 par le Conseil fédéral. Ces postes permettent de traiter les incidents quotidiens. L'augmentation de l'intensité et des conséquences des Bazlmenaces décrite dans le Rapport de politique de sécurité 2016 impose toutefois un réexamen qui est prévu dans le cadre de la révision de la SNPC. Dans le cadre de son Plan d'Action Cyberdéfense, le DDPS a d'ores et déjà indiqué son intention d'augmenter significativement ses effectifs d'ici à 2020. Les effectifs des autorités sectorielles de régulation et de surveillance (par ex. l'OFCOM) ne sont pas compris dans ces chiffres.

2. L'analyse de l'efficacité de la SNPC conclut que la répartition des tâches est correcte et que les buts fixés ont été globalement atteints. Une réévaluation du dispositif s'impose toutefois en raison de l'évolution précitée de la situation. Le sujet Bazl étant transversal à tous les départements et les rôles très différents, le Conseil fédéral considère qu'une centralisation intégrale des capacités cyber n'est pas pertinente et qu'une analyse nuancée des responsabilités devra être réalisée.

3. Dans le cadre du développement de l'armée, la doctrine a été adaptée aux nouvelles menaces et le cyberespace est devenu une sphère d'opération à part entière. Un changement de stratégie de l'armée du seul fait de l'importance prise par le cyberespace ne s'avère toutefois pas nécessaire.

4. Le DDPS suit les développements opérés par d'autres États. Il n'est pas pertinent d'étudier leurs solutions à la seule lumière des effectifs annoncés ; une approche qualitative est impérative. De nombreux indicateurs montrent ainsi que qualitativement notre armée est sur le bon chemin, mais son retard quantitatif nécessite des investissements supplémentaires conséquents.

5. Dans son rapport de politique de sécurité 2016, le Conseil fédéral a défini le terme "défense" qui s'applique aussi au cyberespace. Une situation de conflit entraînant une situation de défense est déterminée par une menace dont l'intensité et l'étendue sont telles que l'intégrité territoriale, l'ensemble de la population ou l'exercice du pouvoir étatique sont menacés et que seuls des moyens militaires peuvent la combattre. Ainsi une cyberattaque ne peut être qualifiée d'attaque armée que si elle revêt une "ampleur majeure".

6. En tant que pays hôte de manifestations internationales, la Suisse est tenue de garantir leur bon déroulement et leur sécurité, y inclus en matière d'information. La SNPC, grâce aux ressources supplémentaires allouées aux unités administratives, a permis au SRC de développer sa capacité à lutter contre le phénomène d'espionnage par des États en particulier. Cela lui a par exemple permis d'attirer l'attention sur des tentatives d'intrusion visant les entretiens du P5+1 et l'Iran sur le programme nucléaire iranien et d'entreprendre les démarches en vue d'en identifier les auteurs.

7. Les échanges d'informations entre l'ensemble des acteurs de la cybersécurité sont permanents ; c'est en particulier le cas avec Melani et l'Approvisionnement économique du Pays. Diverses initiatives concernent en particulier la recherche et les hautes écoles et un groupe de pilotage a été établi dans le cadre de la SNPC. Armasuisse entretient un réseau avec les hautes écoles et les institutions de recherche de l'industrie et développe le projet de "Base technologique et industrielle importante pour la sécurité" (STIB). Le plan du DDPS (voir question 8) prévoit aussi un renforcement de ces liens. Des collaborations dans les domaines techniques et académiques sont également développées avec des institutions internationales comme le Centre de compétence en cyberdéfense de Tallinn (Estonie), dans ce cas avec un partenariat étroit du DFAE et du DDPS.

8. Le Plan d'action cyberdéfense DDPS (PACD) est un plan interne au DDPS destiné à lui permettre de mieux affronter l'augmentation continue des cybermenaces, de mettre en oeuvre les aspects cyber de la loi militaire et de la loi sur le renseignement et de doter l'armée des moyens de fournir les prestations subsidiaires exigées par la SNPC. Le PACD est réalisé dans le cadre des moyens et compétences propres du DDPS. Il a été conçu dans l'esprit de la SNPC et contribue à la renforcer.

9. Dans le cadre de la révision de la SNPC, toutes les options seront étudiées. La création d'un centre de compétence peut être l'une d'entre elles. Dans tous les cas, les développements possibles (par ex. des pools d'experts) devront être évalués en considérant le contexte général et avec le souci de ne pas créer de doublons.

Réponse du Conseil fédéral.