19.3185 · Interpellation · 2019-03-20
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
De nombreux États, notamment les États-Unis, l'Australie et la Nouvelle-Zélande, ainsi que la Commission européenne considèrent que la coopération avec certains opérateurs de télécommunications actifs à l'échelle mondiale constitue un risque national pour la sécurité. On craint par exemple que la société Huawei transmette des données sensibles aux services secrets chinois. En Suisse, on est en passe de procéder à différents investissements de taille dans des infrastructures et systèmes de télécommunication critiques. Les achats auxquels l'État procède dans le secteur de la défense sont particulièrement sensibles.
Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes :
Comment circonscrit-il le risque qu'on fasse l'acquisition de systèmes relevant du secteur de la défense ou d'autres infrastructures étatiques critiques et comportant des portes dérobées numériques ?
Quelles preuves concrètes les fournisseurs et les partenaires industriels doivent-ils apporter pour que leur matériel informatique et leurs logiciels soient considérés comme excluant tout transfert de données sensibles ?
Le Conseil fédéral est-il disposé à modifier sa politique d'acquisition de telle sorte que les fournisseurs - en particulier dans le secteur de la défense - doivent désormais publier les codes sources de leurs logiciels et faire en sorte, en cas de besoin, que ces derniers soient intégrés dans une solution nationale (disposant, par exemple, de son propre système de cryptage)?
Stellungnahme des Bundesrates
1. Le Conseil fédéral et les organes compétents chargés de l'acquisition des systèmes informatiques civils et militaires sont conscients des risques évoqués dans l'interpellation. Ces risques sont traités dans les directives du Conseil fédéral concernant la sécurité informatique dans l'administration fédérale (document régulièrement adapté, dernière mise à jour le 16 janvier 2019), qui règlent notamment les exigences requises ainsi que les mesures à prendre dans les domaines de l'organisation, du personnel et de la technique pour assurer une protection adéquate de la confidentialité, de la disponibilité, de l'intégrité et de la traçabilité des objets à protéger relevant de l'informatique de l'administration fédérale. En complément à ces directives, l'Unité de pilotage informatique de la Confédération édicte, au sens de règles de bonne pratique, un processus d'audit visant à réduire les activités d'espionnage de services de renseignement. Ce processus d'audit prévoit diverses mesures de protection telles que le fractionnement des acquisitions informatiques avec une distinction entre éléments à risque et éléments sans risque, l'internalisation de prestations informatiques ainsi que d'autres mesures de protection organisationnelles, techniques et relevant du droit des marchés publics. Un tel processus s'applique également dans le cadre des acquisitions pour l'armée suisse. Les failles de sécurité et les risques inhérents aux produits sont systématiquement analysés ; en outre, les exigences à remplir sont régulièrement vérifiées et, si nécessaire, adaptées aux derniers développements technologiques.
2. Il y a toute une série de mesures prévues concernant les fournisseurs et les partenaires industriels. Les mesures de protection organisationnelles et techniques portent notamment sur l'observation des accords de confidentialité ainsi que sur les conditions de traitement et d'enregistrement des données. Il s'agit également d'appliquer la procédure de sauvegarde du secret qui comprend toutes les mesures visant à la protection des informations lorsqu'un mandat classifié du point de vue militaire est confié à des tiers. Cette procédure prévoit notamment la prise de mesures de sécurité particulières sous la forme d'un procès-verbal de sécurité qui est établi individuellement pour tous les tiers impliqués. En outre, chaque exploitation doit être au bénéfice d'une déclaration de sécurité et est examinée pour cela par la Sécurité des informations et des objets (SIO) du Département fédéral de la défense, de la protection de la population et des sports.
Dans le cadre des mesures de protection relevant du droit des marchés publics, l'accent est mis pour la procédure d'appel d'offres sur l'application de critères de qualification pertinents du point de vue de la sécurité. La reconnaissance du droit et du for juridique suisses constitue une condition sine qua non. Pour les mandats classifiés d'un point de vue militaire, il est en outre exigé que le traitement des données ait lieu en Suisse. Cela signifie que tout accès aux données de l'étranger doit être empêché. Le fournisseur en question doit signer une confirmation écrite à cet égard.
3. À l'heure actuelle, il est déjà possible de partager et de vérifier les codes sources du matériel et des logiciels informatiques stratégiquement importants. Il existe en outre le principe du dépôt et de l'autorisation d'utilisation des codes sources dans le cas où une entreprise met fin à ses activités pour des raisons financières, par exemple. Les solutions cryptographiques proposées par le fournisseur sont analysées et, au besoin, remplacées par des solutions internes correspondantes. Le Conseil fédéral considère que pour le moment, il n'est pas nécessaire de modifier la politique en matière d'acquisitions.
Réponse du Conseil fédéral.