Lexipedia

Définir des rôles clairs pour les acteurs de la cyberdéfense et de la cybersécurité de la Suisse

17.4285 · Interpellation · 2017-12-15

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

La Parlement a adopté la motion Eder 17.3508 qui charge le Conseil fédéral de mettre en place un centre de compétence fédéral pour la cybersécurité. Dans son rapport, la commission souligne qu'il "manque une stratégie globale de protection et de défense du cyberespace civil et militaire". Cette stratégie serait donc centralisée dans une nouvelle entité ayant la vision globale. Mais ni la motion ni le rapport de commission ne dit qui va faire quoi. Cette entité devrait réunir des représentants militaires, scientifiques et économiques, et collaborer avec les hautes écoles. Cette énoncé coïncide parfaitement avec l'intention formulée dans le plan d'action cyberdéfense du DDPS publié le 9 novembre 2017. Celui-ci fait mention d'un projet de cybercampus alliant acteurs militaires, scientifiques et économiques (CYD-Campus) qui doit être opérationnel en 2019.

Dans ce contexte, je demande au Conseil fédéral de répondre aux questions suivantes :

1. Le CYD-Campus rejoint les exigences de la motion 17.3508. Peut-on gagner du temps en confiant la mise en place du centre prévu par la motion au DDPS ?

2. De quels moyens financiers disposera le CYD-Campus ? Un fonds public-privé pourrait-il être mis en place pour le financer ? Le DDPS participera-t-il à son financement ? Si oui comment ?

3. Qui sera responsable dedévelopper et diriger le centre de compétence civil demandé dans la motion 17.3508 ? Va les efforts déjà fournis, le DDPS semble prédestiné à jouer un rôle moteur.

4. Comme cela est relevé dans la motion et le projet de CYD-Campus du DDPS, la cyberdéfense passe par une étroite collaboration entre l'armée, l'économie et la science. Cette instance ne devrait-elle pas être pilotée conjointement par les deux départements concernés, à savoir le DEFR et le DDPS ?

5. Dans le cadre de la mise en oeuvre de la motion 17.3508, le Conseil fédéral est-il prêt à étudier l'idée de confier le centre fédéral de cybersécurité à l'un de ces deux départements ou aux deux conjointement, car tous deux jouent un rôle clé, l'un dans la sécurité, l'autre avec l'économie, la formation, la recherche et l'innovation ?

6. La situation actuelle est très confuse. Le Conseil fédéral peut-il expliquer le rôle des nombreux acteurs à l'échelle nationale afin de rendre la situation transparente et de permettre au Parlement d'apprécier les solutions qui seront élaborées sur la base de critère objectifs ?

Stellungnahme des Bundesrates

Le Conseil fédéral répond aux questions posées comme suit :

1. Le Département fédéral des finances (DFF) a été chargé en avril 2017 d'élaborer la révision de la Stratégie nationale pour la protection de la Suisse contre les cyberrisques (SNPC). Le calendrier prévoit de présenter cette stratégie au Conseil fédéral d'ici à fin avril 2018 ; elle tiendra compte de toutes les initiatives en cours et proposera sur cette base les rôles futurs. Elle répondra ainsi concrètement et globalement aux demandes de clarification formulées par l'auteur de la présente interpellation. Une attribution immédiate du futur centre de compétence au DDPS ne produirait en l'état des travaux pas de gain de temps.

2. En matière de financement, le DDPS a indiqué l'intention suivante dans son Plan d'Action Cyberdéfense DDPS (PACD) publié en novembre 2017 : "En l'état des travaux, une planification détaillée ne peut pas être établie. Il incombe à chaque unité organisationnelle de déterminer ses besoins et de les intégrer aux processus ordinaires. Il ne sera donc pas mis en place de processus spécifique cyber". S'agissant du campus de cyberdéfense du DDPS, d'ores et déjà en cours de réalisation, diverses hypothèses pour le moyen et long terme sont à l'étude ; un fonds public-privé est également considéré.

3. La réponse à cette question est apportée par la réponse à la question 1. Le Conseil fédéral étudie toutes les options et attribuera les responsabilités sur la base de la SNPC en révision.

4. La cybersécurité est par essence un domaine devant être traité en réseau. A des degrés divers, tous les départements fédéraux participent aux travaux depuis 2011. Le développement des défis liés au cyberespace a entraîné diverses initiatives - comme par exemple le plan d'action du DDPS - qui sont d'ores et déjà prises en compte dans la SNPC en révision. Comme il a été répondu à la question 1, il incombera à la nouvelle SNPC de définir les rôles. Dans sa réponse à l'interpellation 17.3103, le Conseil fédéral précisait en outre : "Le sujet cyber étant transversal à tous les départements et les rôles très différents, le Conseil fédéral considère qu'une centralisation intégrale des capacités cyber n'est pas pertinente et qu'une analyse nuancée des responsabilités devra être réalisée". Ce constat reste valable.

5. La réponse à cette question est identique à celle de la question 3.

6. La cybersécurité est une tâche nécessitant le travail conjoint de nombreux acteurs issus de domaines variés. La révision de la SNPC a précisément pour but de définir les rôles et de renforcer la capacité de ces acteurs à interagir de manière coordonnée. Il incombera au futur centre de compétence de l'assurer.

Réponse du Conseil fédéral.