Lexipedia

17.3849 · Motion · 2017-09-28

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

Le Conseil fédéral est prié de prendre toutes les dispositions nécessaires pour rendre notre armée aussi indépendante et peu vulnérable que possible par rapport au contrôle électronique que certaines puissances étrangères pourraient exercer sur nos équipements.

Nos avions de combat sont particulièrement concernés. Aujourd'hui, leur efficacité dépend pour beaucoup des ordinateurs embarqués. Or, de nombreux composants proviennent de fabricants étrangers. Il ne faut pas exclure le risque que certains contiennent des commandes secrètes qui pourraient être activées depuis l'étranger et ainsi perturber le fonctionnement de nos appareils. En période de beau temps, aucun problème. Mais que se passerait-il en cas de désaccord avec le pays producteur de ces composants électroniques ?

Nous nous apprêtons à choisir un nouvel avion de combat pour renouveler notre flotte d'ici cinq à dix ans. Ces appareils étant des concentrés de technologie, il sera essentiel d'ajouter aux critères traditionnels (performance, prix, etc.), celui de notre indépendance numérique.

Le Conseil fédéral est invité à mettre en place des systèmes assurant notre indépendance et protection contre toute interférence étrangère, surtout pour l'aviation (guidage, pilotage, tir, etc.), l'avis de tir de défense contre avions (DCA) et nos communications militaires, les chars et toute autre cible potentielle d'une cyberattaque.

Le Conseil fédéral étudiera aussi comment doubler les chaînes de commandement numériques par des chaînes de commandement indépendantes du numérique, notamment grâce à des méthodes plus traditionnelles. Il s'agit d'assurer une défense efficace minimale en cas de dysfonctionnements des systèmes numériques de communication.

Begründung

La numérisation des forces armées est inéluctable. Cependant, cette évolution implique un nouveau risque majeur : celui d'une interdépendance non maîtrisée. Afin d'avoir un plan B en cas de cyberattaque, certaines armées ont déjà réintroduit des machines à écrire et du matériel non connecté en parallèle des systèmes ultramodernes tout numériques. Ce doublement des lignes de commandement avec du matériel conventionnel mérite une réflexion stratégique approfondie de l'état-major de notre armée.

Il s'agit d'une réflexion dont toutes nos infrastructures sensibles, militaires ou civiles, devraient bénéficier y compris les hôpitaux, le réseau électrique, etc., car notre défense est à considérer comme un tout.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

Le Conseil fédéral partage l'avis de l'auteur de la motion quant aux risques - civils et militaires - que représenteraient des mécanismes placés intentionnellement dans des équipements pour permettre ensuite leur prise de contrôle. Diverses informations dévoilées ces dernières années attestent qu'il s'agit là d'une réalité. D'autre part, les technologies de l'information et de la communication (TIC) comprennent de nombreuses failles non intentionnelles pouvant être également exploitées à notre détriment.

Découvrir toutes les failles et les éventuels mécanismes de manipulations pouvant significativement affecter nos systèmes et infrastructures nécessiterait cependant des efforts qu'aucune nation n'est en mesure de fournir. Distinguer entre des failles intentionnelles et non intentionnelles est quasiment impossible, tout comme la production autonome de logiciels pour tous ces équipements ou encore pour garantir que de tels produits soient exempts de failles. En matière de cyberrisques, il convient dès lors de déployer un éventail de mesures pour identifier les risques et les réduire à un niveau acceptable en fonction des compétences et des moyens dont nous disposons. Ces mesures peuvent être de nature technique, organisationnelle ou opérationnelle.

Pour réduire les cyberrisques auxquels sont exposés les principaux systèmes du DDPS et de l'armée, les mesures suivantes sont notamment couramment prises : redondances, surveillance des systèmes et infrastructures, recherche et élimination des vulnérabilités, processus de continuité des activités (Business Continuity, sur la base de planifications prévisionnelles), instruction et entraînement du personnel civil et militaire ou encore gestion de la sécurité (selon ISO 27 000). Avec son Plan d'action pour la cyberdéfense (PACD), le DDPS va aussi renforcer la prise en compte des cyberrisques dans ses mécanismes d'acquisition, un élément déjà pris en compte pour l'acquisition du nouvel avion de combat dans le rapport du groupe d'experts sur l'avenir de la défense aérienne (chap. 13.3.5). Les mesures susmentionnées sont en outre appuyées par une recherche constante d'informations par les services de renseignement. L'Office de la protection de la population et l'Office fédéral pour l'approvisionnement économique du pays réalisent également avec les opérateurs d'infrastructures critiques des études de risques pour aider ces derniers à renforcer leurs défenses et leur résilience face aux cyberrisques.

Les questions soulevées par la motion appartiennent à un champ d'investigation stratégique clé récemment pris en compte par le DDPS. Ce dernier vient d'initier une réflexion à cet égard avec des représentants de l'administration fédérale, de l'économie et des hautes écoles. Il est trop tôt pour tirer des conclusions et le Conseil fédéral estime que les propositions de l'auteur de la motion entraîneraient la Suisse et l'armée dans une forme d'aventurisme technologique et engendreraient des dépenses inconsidérées et non maîtrisables. En l'état des connaissances, les travaux initiés par le DDPS et l'approche multifactorielle de réduction des risques privilégiée jusqu'ici est raisonnable.

Le Conseil fédéral propose de rejeter la motion.