19.3135 · Postulat · 2019-03-18
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
La sécurité nationale repose notamment sur une armée suisse dotée de systèmes d'armes et d'une infrastructure en parfait état de fonctionnement. L'armée achète des systèmes d'armes et des systèmes d'infrastructure auprès de différents fournisseurs nationaux ou internationaux. Or, la disponibilité, la confidentialité et l'intégrité physique des composants cyberphysiques de ces systèmes tendent à devenir le maillon faible de la capacité d'agir durablement et de la disponibilité opérationnelle des troupes terrestres et des forces aériennes suisses. Plus particulièrement, l'intégrité des acquisitions numériques (accès non documentés, vulnérabilités implantées intentionnellement) se révèle préoccupante.
Le Conseil fédéral est chargé d'analyser les standards nationaux et internationaux (par ex. référentiel cybersécurité du NIST américain [National Institute of Standards and Technology], normes ISO, critères communs, NIST 800-161, EU4, EU5, FIPS) applicables à la gestion des risques du fournisseur et à la sécurité des composants cyberphysiques de l'armée, surtout des composants interconnectés, et de rendre ses conclusions sous la forme d'un rapport. Ce rapport s'intéressera notamment au contrôle de sécurité dont font l'objet les acquisitions. Il s'agit de vérifier si les exigences actuelles (y compris de l'OMS) sont suffisantes pour répondre aux besoins de sécurité accrus liés aux nouvelles cybermenaces. Il se posera enfin dans ce contexte la question de savoir si dans les circonstances actuelles (du fait par ex. de produits achetés auprès de fournisseurs étrangers qui n'ont pas communiqué leur code source) l'armée suisse, avec ses partenaires en matière de sécurité, est même simplement en mesure de sauvegarder la souveraineté de la Suisse.
Une fois que le Conseil fédéral sera en possession de ces informations, il voudra bien indiquer si les mesures actuelles suffisent à ses yeux pour identifier les risques, les évaluer et les ramener à un niveau acceptable.
Antrag des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.
Stellungnahme des Bundesrates
Le Conseil fédéral est conscient des risques liés aux acquisitions informatiques exposés dans le postulat. En conséquence, il prévoit différentes mesures visant à réduire ces risques. Les acquisitions informatiques aussi bien civiles que militaires seront ainsi notamment soumises à un contrôle des points faibles, selon le processus de contrôle de l'autorité de pilotage informatique.
Tenant compte du présent postulat, le Conseil fédéral estime que l'on peut procéder à un contrôle des instruments actuels servant à vérifier la sécurité de certaines acquisitions afin de déterminer s'ils sont déployés dans leur intégralité eu égard à l'augmentation des cyberrisques ou s'il faut éventuellement des mesures supplémentaires ou des normes.
Le Conseil fédéral propose d'accepter le postulat.