18.3562 · Interpellation · 2018-06-14
Département des finances
Liquidé
Wortlaut
La cybercriminalité est une préoccupation grandissante pour les particuliers et plus encore pour les entreprises. A en croire les derniers chiffres, 88 % des entreprises sont victimes de cyberattaques chaque année. Une minorité seulement d'entre elles font usage de la possibilité qui leur est donnée d'en informer la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani), les autres craignant pour leur réputation, minimisant la gravité de l'attaque ou étant menacées de nouvelles attaques si elles ne gardent pas le silence. Ce mutisme peut cependant nuire à la lutte contre la cybercriminalité, dans la mesure où il peut conduire à sous-estimer le phénomène, tant pour ce qui est du nombre des attaques qu'en ce qui concerne la fréquence de certaines méthodes d'attaque.
Prévoir l'obligation de déclarer les cyberattaques à Melani, au moins pour les entreprises, permettrait non seulement de collecter un nombre suffisant de données sur les cyberrisques, mais aussi de mieux sensibiliser particuliers et entreprises au problème et d'exercer un effet dissuasif sur certains cybercriminels. Le Conseil fédéral souhaite du reste examiner dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques 2018-2022 la possibilité de mettre en place une telle déclaration obligatoire.
Je prie à cet égard le Conseil fédéral de bien vouloir répondre aux questions suivantes :
1. Jusqu'à quand dureront les travaux destinés à examiner la possibilité d'introduire une déclaration obligatoire des cyberattaques ? Dans quel cadre le Conseil fédéral présentera-t-il les résultats de ces travaux et prendra-t-il la décision d'introduire ou non cette déclaration obligatoire ?
2. Dans quelle mesure le Conseil fédéral prend-il en compte dans ses réflexions sur l'introduction éventuelle d'une déclaration obligatoire les inconvénients liés à l'alourdissement de la charge administrative ?
3. La déclaration facultative a-t-elle suscité par le passé de la part des entreprises des préoccupations liées à la protection des données, ou a-t-elle même donné lieu à des fuites de données ?
4. Le Conseil fédéral s'interroge-t-il d'ores et déjà sur les moyens qui permettraient d'inciter davantage les entreprises à déclarer les cyberattaques dont elles ont été victimes, au cas où la déclaration obligatoire ne verrait pas le jour ?
5. Dans quelle mesure la rareté des données aujourd'hui disponibles empêche-t-elle d'améliorer la cybersécurité ?
Stellungnahme des Bundesrates
Le Conseil fédéral partage l'avis selon lequel une obligation de déclarer les cyberattaques en tout genre peut contribuer à la sensibilisation aux risques et renforcer ainsi la protection de la Suisse contre les cyberrisques. Comme le montrent les expériences faites à l'étranger, une telle obligation ne peut déployer tous ses effets que si elle occasionne une charge supportable pour les entreprises concernées et si elle est accompagnée de mesures incitatives. Le Conseil fédéral répond aux questions comme suit :
1. Après l'adoption de la Stratégie nationale de protection de la Suisse contre les cyberrisques 2018-2022, les travaux ont commencé concernant l'obligation de déclarer les cyberattaques. L'objectif est de préparer les bases d'ici l'été 2019 afin de pouvoir prendre une décision de principe sur l'introduction d'une déclaration obligatoire. Le Parlement recevra un rapport dans le cadre de l'exécution du postulat Graf-Litscher 17.3475.
2. Le Conseil fédéral sait que l'introduction d'une déclaration obligatoire entraînerait inévitablement une certaine charge administrative pour les entreprises. Il en tient compte dans l'appréciation des avantages et inconvénients d'une déclaration obligatoire et lors de l'examen de divers modèles d'application.
3. Rien n'indique que des attaques annoncées à Melani aient fait l'objet de fuites de données. Il n'est pas possible de dire avec certitude si des incidents n'ont pas été déclarés en raison de préoccupations liées à la protection des données. Melani a cependant su établir des rapports de confiance avec les entreprises de son réseau et entre les entreprises elles-mêmes. C'est ce qu'a confirmé une enquête menée en 2015 auprès des membres du cercle fermé des clients de Melani, réservé aux exploitants d'infrastructures d'importance vitale. De plus, ces entreprises ont signé avec Melani un accord de confidentialité, qui contient des dispositions sur la gestion des informations partagées.
4. Par expérience, les meilleures mesures incitatives pour que les entreprises annoncent un incident sont l'offre d'un soutien dans la gestion de l'incident, la possibilité d'échanger au besoin des informations anonymisées avec d'autres entreprises concernées et l'accès au réseau d'experts en sécurité sur le plan national et international. Ces incitations fonctionnent très bien dans le modèle actuel, avec son cercle de participants restreint. Melani travaille sur des modèles dont le but est de préserver également ces atouts dans un cercle de clients plus large.
5. Grâce aux déclarations effectuées par le cercle fermé des clients et au réseau national et international de Melani, les données disponibles aujourd'hui sont suffisantes pour procéder à une évaluation solide et actuelle de la situation dans le cyberespace. Un volume plus important de données permettrait d'effectuer des analyses plus précises, et on peut présumer qu'une déclaration obligatoire améliorerait la sensibilité envers les cyberrisques.
Réponse du Conseil fédéral.