18.4197 · Interpellation · 2018-12-12
Département des finances
Liquidé
Wortlaut
Les discussions sur la sécurité informatique des infrastructures critiques devraient se concentrer davantage sur l'espionnage industriel. La numérisation croissante de la société va être à la source d'une hausse fulgurante de la masse de données sensibles. En particulier, nos industries sont de plus en plus connectées et automatisées. Le flux de données généré ne peut pas ou que peu être contrôlé, ce qui fait des entreprises concernées des cibles tout indiquées pour l'espionnage industriel. De telles attaques peuvent affecter notre position dans le monde de la science et de l'innovation, et par voie de conséquence mettre en péril des emplois en Suisse. Vu les liens étroits qui unissent les entreprises étrangères avec le gouvernement et l'armée de leurs pays d'origine, cette situation soulève des questions essentielles sur la prospérité et la sécurité de la Suisse. D'autres pays industrialisés, tels que l'Allemagne, les États-Unis, l'Australie ou plus récemment le Japon, interdisent dans certains cas de se fournir ou d'acheter en masse auprès de certains États étrangers. Il est urgent d'avoir en Suisse une discussion sur ces menaces et d'étudier des mesures de protection. Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes.
1. Quelles possibilités la législation actuelle offre-t-elle à la Confédération pour contrecarrer l'influence des fournisseurs étrangers sur nos infrastructures informatiques critiques ?
2. Quelles mesures supplémentaires sont envisageables pour limiter l'influence grandissante des entreprises étrangères sur nos infrastructures informatiques critiques ?
3. À quel point nos réseaux de télécommunications fixes et mobiles sont-ils protégés contre la criminalité économique, en sachant que les équipements actuels proviennent tous de l'étranger ?
4. La révision de la loi sur les télécommunications prévoit que les opérateurs mobiles sont tenus de combattre les manipulations non autorisées des installations de télécommunications. Comment s'assurera-t-on que cette obligation est remplie ?
5. Le Conseil fédéral dispose-t-il des moyens nécessaires pour garantir en tout temps la sécurité des infrastructures informatiques critiques lors de leur acquisition et de leur exploitation, ou bien a-t-il besoin pour ce faire de nouvelles bases juridiques ?
Stellungnahme des Bundesrates
1. En vertu de l'art. 3, al. 2, let. a, de la loi fédérale sur les marchés publics (LMP ; RS 172.056.1), la Confédération peut, à titre exceptionnel, restreindre la concurrence pour ses propres acquisitions en cas de menace pour la sécurité du pays. La situation juridique actuelle ne permet pas au Conseil fédéral de donner des directives aux exploitants privés et cantonaux d'infrastructures critiques concernant l'adjudication de marchés à des fournisseurs étrangers.
2. A court terme, l'influence de fournisseurs étrangers sur nos infrastructures informatiques ne peut pas être réduite de manière significative. Les alternatives domestiques font en effet défaut pour la majorité des produits. Il est néanmoins possible de limiter le risque que les fournisseurs étrangers n'abusent de leur position. Il importe pour cela d'établir les risques encourus, ce qui relève de la responsabilité du Service de renseignement de la Confédération et de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information. Pour accomplir leur tâche, les deux organismes s'appuient sur leurs propres analyses et sur celles effectuées par d'autres services spécialisés de la Confédération, tels qu'armasuisse ou la Base d'aide au commandement (BAC), qui étudient le risque d'utilisation abusive des technologies informatiques et développent des mesures pour s'en prémunir, en collaboration avec la recherche et l'industrie. D'autres solutions envisageables consisteraient à définir des exigences de sécurité pour les infrastructures critiques au moyen de certifications et de normes ou à exiger la mise en place de procédures de sécurité relatives aux entreprises pour les services critiques.
3. Les réseaux de télécommunications fixes et mobiles ne sont généralement pas la cible des criminels économiques, mais plutôt le moyen utilisé pour voler des informations. Le niveau de sécurité des infrastructures de télécommunications fixes et mobiles dépend directement de la manière dont celles-ci ont été configurées par l'utilisateur. Avec les moyens adéquats, un niveau de protection élevé peut être atteint. Il convient pour cela d'examiner la sécurité des infrastructures informatiques de manière autonome et approfondie et de ne pas s'appuyer uniquement sur les indications des fournisseurs.
4. La révision de la loi sur les télécommunications (LTC ; RS 784.10) prévoit que les fournisseurs de services de télécommunication sont tenus de lutter contre toute manipulation non autorisée des installations de télécommunication par des transmissions techniques. La responsabilité du contrôle de cette obligation incombe à l'Office fédéral de la communication (OFCOM). Les fournisseurs sont tenus de lui apporter toutes les informations nécessaires à l'application de la loi. S'ils étaient soupçonnés de ne pas suffisamment protéger leurs installations contre toute manipulation non autorisée par des transmissions techniques, l'OFCOM interviendrait dans le cadre de ses compétences de surveillance. Le secret des télécommunications doit également être respecté.
5. Avec la loi sur la sécurité de l'information (LSI ; 17.028), le Conseil fédéral propose de nouvelles bases juridiques pour améliorer la sécurité informatique des infrastructures appartenant à la Confédération. Les entreprises qui lui fournissent des services informatiques critiques devront être soumises à une procédure de sécurité. Dans ce cas, la nationalité de l'entreprise peut être considérée comme un facteur de risque. La LSI ne constitue pas une base pour exclure a priori les fournisseurs étrangers. Elle offrirait cependant la possibilité de contrôler leur fiabilité et le respect des critères de sécurité lors de l'exécution de leur mandat. Selon le projet de loi, le champ d'application de la LSI resterait limité aux mandats attribués par la Confédération, mais pourrait aussi être élargi, en vertu de l'art. 2, al. 5, du projet de loi, aux mandats d'exploitants d'infrastructures critiques par le biais d'une législation spéciale.
Réponse du Conseil fédéral.