Lexipedia

18.4387 · Motion · 2018-12-14

Département des finances

Liquidé

Wortlaut

Le Conseil fédéral est chargé de créer sans délai un centre interdépartemental de compétence en matière de cybersécurité, rattaché au département fédéral de la défense, de la protection de la population et des sports. Les coûts seront répartis entre les départements. Les organisations et les personnes victimes d'une attaque doivent en outre avoir accès à une aide d'urgence professionnelle et coordonnée par l'État (Confédération et cantons), pour limiter les dommages économiques et personnels.

Begründung

La Suisse est victime des attaques cybernétiques les plus diverses ou sert abusivement de base opérationnelle à partir de laquelle des cyberattaques ciblées sont lancées, parfois à l'échelle mondiale, contre des entreprises, des autorités, des États ou des personnes. Les auteurs de ces attaques - qu'ils s'agisse de groupes ou d'individus à motivation criminelle, ou encore d'acteurs étatiques - sont aussi divers que leurs mobiles, qui vont de l'acquisition illégale d'informations (espionnage) à la manipulation de personnes, de machines et de processus, en passant par les simples tentatives criminelles d'escroquerie ou de chantage. La Suisse ne dispose à ce jour d'aucune plateforme de commande nationale capable d'engager de manière ciblée et coordonnée les ressources les plus variées de chaque département (Service de renseignement, DFAE, Cgfr et formations militaires spécialisées, etc.), et d'assurer la liaison avec les groupes d'experts cantonaux et locaux. Le facteur "temps" jour un rôle décisif dans la limitation des dommages, tout particulièrement dans l'environnement complexe des cyberattaques. Dans ce domaine, l'État doit réduire les obstacles fédéralistes et bureaucratiques à l'aide de mesures intercantonales appropriées, adossées aux ressources de la Confédération.

L'absence de mesures d'analyse et de défense permettant de lutter à l'échelon national contre les cyberattaques d'envergure et le manque de capacités du renseignement cybernétique au sein du Service de renseignement et des autres organisations fédérales sont pris en compte au détriment de la Suisse - notamment en tant que site économique mondialisé - dans l'analyse coûts/bénéfices pratiquée par les attaquants potentiels.

Tant que la Suisse ne disposera pas de ses propres capacités en matière de renseignement informatique ("dark net", etc.) et d'évaluation des cyberrisques encourus par la population et les entreprises, elle sera exposée aux aléas d'une dépendance supplémentaire à l'égard de l'étranger, venant s'ajouter à la dépendance qui résulte de l'acquisition traditionnelle d'informations par les services de renseignement.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

En adoptant la motion 17.3508 de Joachim Eder, le Parlement a chargé le Conseil fédéral de créer un centre de compétences pour la cybersécurité. Le Conseil fédéral a décidé le 30 janvier 2019 d'établir un tel centre au sein du Département fédéral des finances (DFF). Dans la lutte contre les cyberrisques, celui-ci assurera la coordination des tâches au sein de l'administration fédérale, favorisera la prévention et servira d'interlocuteur principal pour répondre aux demandes des milieux économiques et des cantons. Le futur centre de compétences sera développé notamment à partir de la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI). Celle-ci existe depuis 2004 sous la forme d'une collaboration entre le Service de renseignement de la Confédération (SRC), qui relève du Département fédéral de la défense, de la protection de la population et des sports (DDPS) et l'Unité de pilotage informatique de la Confédération (UPIC), rattachée au DFF. La Centrale MELANI travaille déjà en étroite collaboration avec les exploitants d'infrastructures d'importance vitale. Elle les prévient et les informe des nouvelles cybermenaces et leur apporte un soutien subsidiaire en cas d'incident. Il existe à cet effet depuis des années une plateforme d'échange et de coopération à laquelle participent les différents acteurs (Confédération, cantons, exploitants d'infrastructures d'importance vitale). À l'avenir, le centre de compétences offrira également à la population et aux PME concernées un soutien d'urgence en cas d'incident et publiera à leur intention des avertissements ciblés au sujet des menaces actuelles et des instructions concernant les mesures de protection.

La coordination et la collaboration ne sont toutefois pas assurées uniquement dans le domaine de la cybersécurité :

- Le domaine de la cyberdéfense est rattaché au DDPS. Le rôle de ce dernier est de soutenir les autorités civiles en cas de cyberattaques, de mettre en oeuvre des mesures actives dans le cyberespace, si nécessaire et dans les limites légales, et de protéger ses systèmes et ses infrastructures contre les cyberattaques. Le plan d'action en matière de cyberdéfense en vigueur depuis 2017 vise à renforcer la capacité du DDPS à accomplir ses tâches ainsi qu'à accroître les ressources humaines.

- Afin d'améliorer la collaboration fédérale dans la répression de la cybercriminalité, un "Cyberboard" a également été mis en place. C'est sur cette plateforme que les autorités de poursuite pénale cantonales et fédérales (Ministère public de la Confédération, fedpol) coordonnent leurs efforts dans la lutte contre la cybercriminalité et échangent avec les autres acteurs fédéraux et cantonaux concernés.

La coordination dans tous les domaines sera assurée par la nouvelle Délégation Cyber du Conseil fédéral, au sein de laquelle les chefs du DFF, du DDPS et du Département fédéral de justice et police évaluent ensemble régulièrement la situation en ce qui concerne les cyberrisques.

Le Conseil fédéral est d'avis que le dispositif convenu, en particulier la création du centre de compétences, satisfait aux exigences de la motion. Il constitue la base d'une utilisation ciblée des ressources et des compétences qui permet de protéger la Confédération, les cantons et les entreprises contre les cyberrisques. Le nouveau dispositif (dont le centre de compétences) est le résultat d'examens approfondis et devrait maintenant faire ses preuves dans la pratique. De nouvelles réorganisations risqueraient de retarder encore la mise en place des capacités opérationnelles requises.

Le Conseil fédéral propose de rejeter la motion.