Lexipedia

19.3121 · Motion · 2019-03-14

Département des finances

Liquidé

Wortlaut

Suite au scandale révélé par la RTS concernant la fuite de milliers d'identifiants de connexion en lien avec l'administration fédérale et les cantons suisses, je dépose la motion suivante :

Afin de protéger la confidentialité des données ainsi que les infrastructures de la Confédération et des cantons, le Conseil fédéral met les moyens nécessaires à disposition du service Melani afin que leurs services puissent effectuer les missions suivantes :

1. Surveiller la disponibilité de nouvelles fuites de données d'informations d'identification dites "0day" y compris sur le Darknet.

2. Se procurer les fuites de données/collection de données d'informations d'identification de manière récurrente et systématique.

3. Procéder à l'analyse complète de ces bases de données pour garantir la sécurité de l'État.

4. Transmettre à chaque canton les résultats des analyses pour qu'un traitement approprié leur soit réservé.

5. Prendre connaissance des vulnérabilités "0day" auprès du SRC et des services de police afin de pouvoir notamment informer activement les personnes en charge de protéger les infrastructures de communication et de stockage de données.

Le Conseil fédéral propose une modification des lois concernées (LRens, LSCPT etc.) pour rendre ces missions compatibles avec la loi.

Begründung

La veille technologique de ces bases de données et des vulnérabilités "0day" permettra d'anticiper l'exploitation de données volées et l'exploitation des failles de sécurité. L'objectif est donc de limiter les possibilités d'utilisation qu'elles représentent, et ainsi améliorer la sécurité nationale. L'analyse unique de ces données en un point central permettra de couvrir tous les échelons de l'État de façon optimale et peu coûteuse.

Pour rappel, une vulnérabilité zero-day (0-day) est une vulnérabilité informatique n'ayant fait l'objet d'aucune publication ou n'ayant aucun correctif connu. Il s'agit donc d'une des vulnérabilités les plus risquées.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

Les autorités fédérales (en particulier Melani) sont au fait depuis mi-janvier 2019 de la fuite de données révélée par les médias. Il ne s'agit pas ici d'une nouvelle fuite de données mais d'une compilation de diverses données, parfois très anciennes, qui ont été dérobées lors de cyberattaques antérieures. Le Conseil fédéral prend position ainsi sur les points soulevés par l'auteur de la motion :

1. Melani et d'autres organisations de la Confédération actives dans le domaine de la cybersécurité (par ex. le Service de renseignement de la Confédération, l'Office fédéral de la police, etc.) disposent déjà d'un réseau international opérationnel. Ces organisations partagent leurs connaissances en permanence, y compris les informations concernant les fuites de données et les failles dites "zero day". Le Conseil fédéral a fourni des informations concernant les investigations policières sur le Darknet dans sa réponse à l'interpellation Imark 16.3829.

2. Les services fédéraux actifs dans le domaine de la cybersécurité se procurent également des informations sur les données volées auprès des sources mentionnées au point 1 et les évaluent dans le cadre des moyens financiers, de l'infrastructure et des ressources en personnel dont ils disposent. Avec la création du Centre de compétences pour la cybersécurité et la mise en oeuvre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), le Conseil fédéral prévoit le renforcement des capacités de récolte et d'analyse de telles informations.

3. L'exemple de la fuite de données "Collection #1-5" montre que de telles analyses sont déjà effectuées aujourd'hui. Peu après la prise de connaissance de la fuite de données, les autorités fédérales compétentes (en particulier le Computer Security Incident Response Team de l'Office fédéral de l'informatique et de la télécommunication [CSIRT de l'OFIT], le Military Computer Emergency Readiness Team [MilCERT] et Melani) l'ont analysée afin d'identifier les adresses électroniques des collaborateurs de la Confédération concernés. Les offices et départements concernés ont été informés sans délai par les services susmentionnés et ont reçu des recommandations pour gérer ce problème.

4. Chacun des cantons suisses fait partie du "cercle fermé des clients de Melani", peut échanger des informations concernant les cybermenaces les plus variées sur un portail sécurisé et accéder à "Collection #1-5".

5. Les exploitants d'infrastructures critiques reçoivent aujourd'hui déjà de Melani des informations relatives à la sécurité (également concernant les failles "zero day"). La loi fédérale sur le renseignement (art. 6 al. 5 en relation avec l'art. 6 al. 1 let. a ch. 4, LRens) constitue la base légale de ces communications. Dans le cadre de la mise en oeuvre de la SNPC, on examine la question de savoir s'il faut créer des bases légales supplémentaires pour que la Confédération puisse informer activement d'autres cercles intéressés (infrastructures critiques, PME, population, etc.).

Le Conseil fédéral propose de rejeter la motion.