18.4051 · Motion · 2018-09-28
Département des finances
Liquidé
Wortlaut
La cybersécurité de la Suisse doit reposer sur des bases solides. Le Conseil fédéral est donc prié d'établir dans les six mois un rapport exhaustif et interdépartemental, sous l'angle de la politique de sécurité, sur les menaces identifiées dans le domaine "cyber", sur la nature et l'ampleur des attaques subies ainsi que des activités de cyberprotection et de cyberdéfense menées. Le rapport traitera aussi du contexte et notamment de l'évolution de la société, des pratiques internationales, des risques de perte de souveraineté liés à la dépendance vis-à-vis de prestataires étrangers, de l'ensemble des bases légales, etc. Ce rapport devra être annuellement remis à jour ; le point de vue des cantons, des milieux académiques, voire des associations professionnelles devra être sollicité.
Begründung
Il s'agit de fournir à tous les acteurs de la politique de sécurité en Suisse une vision d'ensemble de la situation. Chaque acteur sera ensuite mieux à même de se déterminer sur ses besoins, pourra se déterminer sur la pertinence des répartitions de compétences et de tâches entre les cantons, la Confédération et les diverses entités départementales. Il pourra se prononcer sur le besoin d'une conduite centralisée ou coordonnée.
Le seul rapport qui semble assez complet - quoique déjà partiellement obsolescent - est le Rapport 2016 du Conseil fédéral sur la politique de sécurité, qui évoque le domaine "cyber" des dizaines de fois, sans toutefois suggérer la moindre conséquence concrète. Par ailleurs, on peine à connaître les suites données aux interventions parlementaires acceptées ces deux dernières années et qui expriment une crainte à l'égard de la menace "cyber". Entre-temps, la réalité s'est imposée brutalement : RUAG, propriété de la Confédération (DDPS), a subi une attaque majeure, sans compter encore celles qui se sont produites sur le DFAE et le DDPS, aux conséquences potentiellement graves. Une stratégie nationale 2018-2022 est apparue, mais tout porte à croire qu'elle ne sera opérationnelle qu'en 2020 ! Les agressions sont plus rapides que la prise de conscience de nos administrations. L'économie, le fonctionnement des institutions, la capacité de déployer l'armée et toutes les autres forces, la vie quotidienne des habitants sont totalement dépendants de systèmes électroniques exposés à des attaques en constante évolution et toujours plus complexes.
Antrag des Bundesrates
Le Conseil fédéral propose de rejeter la motion.
Stellungnahme des Bundesrates
Le Conseil fédéral est conscient qu'il est primordial, au regard de la politique de sécurité, d'analyser en détail non seulement les menaces - et notamment les cybermenaces - qui pèsent sur la Suisse, mais aussi l'arsenal d'instruments et de mesures permettant d'y faire face. Des rapports, tant sur les orientations stratégiques générales que sur la cybersécurité en particulier, sont régulièrement rédigés :
- Rapport du Conseil fédéral sur la politique extérieure et la politique de sécurité de la Suisse et rapports annuels sur la situation du Service de renseignement de la Confédération et de l'Office fédéral de la police :
Ces rapports comprennent des analyses détaillées de la menace pesant actuellement sur la Suisse, également en matière de cyberattaque. Il est à noter que la politique de sécurité de la Suisse est définie, entre autres, sur la base de ce rapport du Conseil fédéral.
- Rapports semestriels de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information :
Ces rapports se focalisent sur la situation en Suisse et présentent les cyberincidents les plus marquants. Ils abordent en outre la situation actuelle en matière de menace et l'évolution de cette situation et donnent un aperçu des principales tendances à l'échelle internationale. Ils sont destinés à un large public.
- Rapports annuels sur la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC):
La SNPC pour les années 2018 à 2022 a été adoptée par le Conseil fédéral au printemps 2018. Les résultats de cette stratégie seront consignés dans des rapports annuels. Ceux-ci décriront également l'implication des cantons, des associations économiques et des hautes écoles dans la mise en oeuvre et le développement de la SNPC.
- Plan de mise en oeuvre et contrôle de gestion stratégique de la SNPC :
D'ici au printemps 2019, les départements élaboreront et publieront un plan de mise en oeuvre détaillé de la SNPC. Il présentera, d'une part, les responsabilités et les délais pour chaque tâche et, d'autre part, les bases légales déterminantes. Un contrôle de gestion stratégique sera effectué sur la base de ce plan. Les commissions compétentes du Parlement seront informées régulièrement des résultats du contrôle.
- Analyses des risques et des vulnérabilités :
Dans le cadre de la mise en oeuvre de la SNPC, l'Office fédéral de la protection de la population (OFPP) et l'Office fédéral pour l'approvisionnement économique du pays (OFAE) ont effectué, en collaboration avec les autorités spécialisées et les exploitants d'infrastructures critiques, des analyses des risques et des vulnérabilités dans les secteurs partiels critiques. L'OFPP et l'OFAE mettent régulièrement à jour les rapports et les feuilles d'information.
- Informations confidentielles des commissions compétentes en matière de cyberincidents :
Lorsqu'un incident grave survient, le Conseil fédéral informe les commissions parlementaires compétentes de l'incident et des mesures engagées.
Il n'y a pas lieu de rédiger d'autres rapports. La nécessité de renforcer la cybersécurité étant connue, le Conseil fédéral a adopté une nouvelle stratégie nationale de protection contre les cyberrisques. Il a également pris des mesures visant à améliorer la coordination en matière de cybersécurité au sein de la Confédération. La priorité est accordée à la concrétisation rapide et efficace de ces décisions. En outre, la présente motion se recoupe en partie avec le postulat "Stratégie globale claire de la Confédération pour la protection contre les cyberrisques" (18.3003) de la Commission de la politique de sécurité, qui a déjà été transmis. En rédigeant la réponse à ce postulat, le Conseil fédéral prendra en compte, autant que faire se peut, la demande de la présente motion.
Le Conseil fédéral propose de rejeter la motion.