Lexipedia

17.3731 · Interpellation · 2017-09-27

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

1. A lire la presse, le chef du DDPS a signé en juin 2017 la mise sur pied d'un Plan d'Action Cyberdéfense. Pourquoi le département refuse-t-il de rendre ce plan public alors même qu'il a informé la presse de ladite signature et des éléments clés du plan, et que le Conseil fédéral évoque celui-ci dans l'avis qu'il a émis relativement à la motion 17.3507 ?

2. Toujours à lire la presse, le DDPS aurait ordonné la création d'une centaine de postes supplémentaires au titre de la cybersécurité. Si l'on ne peut que se féliciter de la volonté du DDPS de contribuer à améliorer la cybersécurité, on ignore cependant de la cybersécurité de qui il s'agit au juste, d'où mes questions :

a. Quels sont au juste les termes du mandat ?

b. Quels sont les scénarios qui justifient la création de cette centaine de postes supplémentaires ? S'agit-il d'améliorer au quotidien la cybersécurité de tous ou d'assurer la cyberdéfense du pays dans une cyberguerre hypothétique qui se déroulerait dans un avenir lointain ?

c. Qui décide des tâches auxquelles seront affectés ces postes supplémentaires ?

d. A quels offices et sections ces postes seront-ils subordonnés ?

e. Pour quels services de la Confédération, des cantons ou de la société civile ces cyberspécialistes travailleront-ils ?

f. Sur quelle base légale cette opération s'appuie-t-elle ?

g. Combien tout cela coûtera-t-il ?

h. Qui est le financeur ?

i. Ces cyberspécialistes travailleront-ils contre rémunération ou cette contribution du DDPS à l'amélioration de la cybersécurité sera-t-elle fournie à titre de service public ?

3. L'Unité de pilotage informatique de la Confédération a vérifié l'efficacité de la Stratégie nationale de protection de la Suisse contre les cyberrisques, adoptée en 2012. Dans son rapport du 30 novembre 2016, elle conclut que l'interface avec l'armée restait peu claire. Cette interface a-t-elle été clarifiée depuis ? A-t-elle du moins été clarifiée avant que le DDPS ne décide de créer une centaine de postes supplémentaires en matière de cybersécurité ?

4. Le Conseil des États a adopté à une écrasante majorité la motion 17.3508, qui demande la création d'un centre de compétences pour la cybersécurité. Le conseiller fédéral Ueli Maurer avait pourtant indiqué que si elle adoptait cette intervention, la Chambre haute ne ferait qu'enfoncer une porte ouverte. D'où mes questions :

a. Les départements sont-ils tous associés au fonctionnement de ce centre de compétences pour la cybersécurité ?

b. Le DDPS affectera-t-il à ce centre la centaine de postes qu'il prévoit de créer ?

c. Que va faire le Conseil fédéral pour s'assurer que le DDPS, ne fera pas cavalier seul mais s'occupera d'améliorer au quotidien la cybersécurité en général ?

Stellungnahme des Bundesrates

Le Conseil fédéral répond aux questions posées comme suit :

1. Le Chef du DDPS a adopté le Plan d'Action Cyberdéfense (PACD) en juin 2017. Le plan d'action doit être mis en oeuvre d'ici 2020. Le rapport est public et accessible sur le site Internet du DDPS (www.vbs.admin.ch > Défense > Protection contre les cyberattaques > Documents > Plan d'Action Cyberdéfense du DDPS PACD).

2. Le DDPS ne prévoit pas d'acquérir 100 nouveaux postes, mais de consacrer des postes à la cyberdéfense par transferts internes au DDPS.

a. Ces moyens serviront à remplir trois missions : protéger les infrastructures propres au DDPS, appuyer ses propres actions (armée et service de renseignement) et prêter assistance aux opérateurs d'infrastructures critiques en cas de cyberattaque tout en respectant le principe de la subsidiarité.

b. Ces moyens doivent, au quotidien déjà et de manière durable, être en mesure de remplir les missions mentionnées sous 2a. Le volume de moyens prévus est un équilibre entre les besoins du DDPS et ce qu'il peut effectivement consacrer en tenant compte des impératifs de la réalisation du développement de l'armée (DEVA) et de la réduction d'effectifs ordonnée par le Parlement fin 2016. Le DDPS veut, d'ici 2018, atteindre un niveau suffisant d'autodéfense. Il doit être également en mesure de mettre en oeuvre la loi sur le renseignement (LRens) qui prévoit une assistance des infrastructures critiques subissant des cyberattaques.

c. Ces moyens sont soit engagés dans le cadre de la propre défense du DDPS et la décision lui revient (au besoin avec une décision du Conseil fédéral), soit dans le cadre de la défense des infrastructures critiques selon les mécanismes prévus par la mise en oeuvre de la LRens (art. 37 al. 2).

d. Les postes prévus, qui seront ultérieurement renforcés par des militaires de milice, renforceront principalement le Secrétariat général (partie gouvernance), la Base d'aide au commandement (exploitation des systèmes informatiques et opérations électroniques) ainsi que le Service de renseignement de la Confédération (SRC).

e. Ces moyens servent en priorité les besoins de l'armée. Le DDPS a défini dans son plan d'action les critères pour leur mise à disposition lorsque les autorités civiles ont atteint leurs limites, en priorité au profit du Service de renseignement dans le cadre de sa mission de défense des opérateurs d'infrastructures critiques.

f. La protection de ses systèmes et infrastructures ainsi que les prestations d'analyse, de prévention et de réponse à des cyberattaques font partie des tâches originales essentielles du DDPS (armée et service de renseignement). La loi militaire (art. 100 LAAM, qui entrera en vigueur au 1er janvier 2018) et la loi sur le renseignement (art. 26 et 37 LRens) précisent les compétences respectives de l'armée et du SRC.

g. Le plan du DDPS n'entraîne pas de coûts supplémentaires. Les estimations et comparatifs montrent, en l'état actuel des connaissances, qu'ils représenteront environ 2 % du total des ressources du DDPS.

h. Voir réponse 2g. ci-dessus.

i. La loi ne prévoit pas l'acquittement des frais pour les prestations reçues par la victime d'une cyberattaque en cas d'assistance au titre de la LRens (art. 37).

3. Le rapport mentionné a été terminé avant que le DDPS ne finisse ses développements et les teste lors de son exercice annuel CYBER PAKT. Les points relevés ont entre-temps été réglés. Le plan d'action du DDPS s'intègre dans la Stratégie nationale pour la protection de la suisse contre les cyberrisques (SNPC) et est un soutien considérable pour sa mise en oeuvre ; il a été réalisé dans l'esprit de cette stratégie.

4. Les moyens du DDPS sont avant tout dédiés à l'accomplissement des tâches de ses offices (armée et SRC). Quelle que soit la nature du centre de compétence supradépartemental qui pourrait découler de la motion Eder 17.3508, le DDPS continuera d'avoir besoin de moyens en matière cyber qui lui sont propres.

a. Le plan du DDPS a pour but premier de renforcer les moyens existants et d'améliorer leur fonctionnement. Il ne s'agit pas de créer un centre.

b. Les postes supplémentaires que le DDPS veut consacrer à la cyberdéfense renforceront les unités existantes et serviront à combler les lacunes identifiées. Ils seront soutenus par un recours accru à la milice.

c. Le DDPS ne poursuit pas un chemin solitaire. Il participe aujourd'hui déjà, et de manière soutenue, à la SNPC. Avec le PACD, il prend les dispositions pour assurer sa propre protection sur la base de l'état et du développement des cybermenaces, met en oeuvre la LRens et la LAAM qui lui donnent d'importantes responsabilités, répond à diverses demandes du Conseil fédéral suite à l'attaque de 2016 contre RUAG ainsi qu'aux attentes de la première SNPC tout en s'intégrant aux travaux de la nouvelle SNPC.

Réponse du Conseil fédéral.