19.3461 · Interpellation · 2019-05-08
Département des finances
Liquidé
Wortlaut
Comment le Conseil fédéral envisage-t-il de faire progresser notre capacité de cyberdéfense : plutôt par nos propres moyens, ce qui est idéal en termes de souveraineté, ou en nouant des partenariats ?
On le sait, la capacité de défense d'un pays passe désormais par des compétences et des équipements de pointe en matière de cybersécurité. C'est devenu incontournable. La Suisse doit être en mesure de détecter de possibles menaces, d'assurer une protection fiable de ses infrastructures critiques tant civiles que militaires et de riposter si nécessaire.
1. Notre pays connaît une sorte de paradoxe. D'une part, les forces engagées jusqu'à l'année dernière étaient très insuffisantes en nombre, qu'il s'agisse de défense nationale ou de protection des données de nos entreprises. D'autre part, nos hautes écoles (notamment l'ETH et l'EPFL) et certaines entreprises suisses (par ex. Kudelski) sont à la pointe de ces développements technologiques. Comment lier ces deux réalités afin que notre pays bénéficie davantage des inventions de ses chercheurs et de ses entrepreneurs ?
2. Le domaine "cyber" ne connaît pas de frontières. Afin d'être crédible dans ce domaine, des coopérations internationales s'imposent. Nous avancerions plus vite avec des partenaires que seuls. Mais avec qui ? Les grands pays qui ont un écosystème propre en la matière sont les États-Unis, la Russie, la Chine. Mais d'autres pays comme Israël, la France et la Grande-Bretagne ont aussi fait des progrès considérables.
Quels pays seraient les plus compatibles avec nos valeurs, notre politique de défense et nos intérêts économiques ? Des contacts évidents existent avec les États-Unis. Des liens plus naturels pourraient être noués avec l'Europe de la Défense et l'EU Cybersecurity Competence Centre. Jusqu'où peut aller un partenariat tout en préservant notre neutralité ?
3. Pour une optimisation de notre cyberdéfense, il faudra désigner une équipe fédérale responsable. Il s'agit d'assurer une bonne coordination des actions à l'intérieur de notre pays, mais aussi d'avoir un seul interlocuteur pour les négociations avec des partenaires étrangers. Ce dossier sera-t-il confié au Secrétariat à la formation, recherche et innovation (SEFRI) qui est en charge de négocier l'Accord-cadre avec l'Union européenne ? Ne serait-il pas plus judicieux de confier cette mission à notre département de la défense ?
Stellungnahme des Bundesrates
Le Conseil fédéral partage l'avis de l'auteur de l'interpellation sur le fait que la protection contre les cyberrisques est essentielle pour la Suisse. De concert avec les cantons, les milieux économiques et les hautes écoles, la Confédération prend les mesures nécessaires pour détecter rapidement les possibles cyberrisques et protéger les infrastructures critiques d'éventuelles attaques. À cet effet, elle collabore avec des partenaires internationaux lorsque cela est utile, tout en s'assurant qu'une telle coopération ne crée pas de dépendances indésirables. Plus concrètement, le Conseil fédéral répond comme suit aux questions qui lui sont posées :
1. La Suisse dispose en effet d'un vaste savoir dans le domaine de la cybersécurité grâce à ses hautes écoles de renom et aux entreprises spécialisées dans ce domaine. La Confédération travaille étroitement avec elles afin de mieux profiter de leur savoir. Cette collaboration fait d'ailleurs partie des priorités du Conseil fédéral, comme il l'a indiqué dans sa Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC). Dans le plan de mise en oeuvre de la SNPC, qu'il a adopté le 15 mai 2019, le Conseil fédéral énumère plusieurs projets visant à renforcer la collaboration. Il est prévu, par exemple, de créer un centre de recherche et d'assistance commun aux deux écoles polytechniques fédérales dans le domaine de la cybersécurité pour soutenir la Confédération et les cantons, et de favoriser les échanges entre les autorités, les milieux économiques et les hautes écoles au sein d'un pôle de cybersécurité où les spécialistes pourront collaborer. Déjà opérationnel, le Campus cyberdéfense forme un réseau de compétences qui garantit le transfert de connaissances entre les académies, l'industrie et le Département fédéral de la défense, de la protection de la population et des sports (DDPS). De telles mesures améliorent le transfert de connaissances entre les milieux économiques, la recherche et les autorités, et garantissent que les capacités et les compétences existantes pourront être exploitées.
2. La SNPC souligne l'importance de la collaboration internationale, et plusieurs mesures sont prévues à cet égard dans le plan de mise en oeuvre de la stratégie. De plus, le renforcement de l'engagement en faveur de la cybersécurité fait partie des objectifs de la politique extérieure, comme on peut le lire dans le rapport sur la politique extérieure de 2017. La Confédération mène des discussions bilatérales sur ce thème avec certains États choisis. Elle suit de près le développement d'un centre de compétence européen en matière de cybersécurité. Celui-ci n'étant toutefois pas encore sur pied, il n'est pas possible pour le moment de savoir si une coopération serait intéressante pour la Suisse et, le cas échéant, quelle forme elle pourrait prendre. La Suisse se doit de rester neutre dans le domaine de la cybersécurité également. Le Conseil fédéral évalue au cas par cas les partenaires avec lesquels une coopération est envisageable.
3. En créant le centre de compétences pour la cybersécurité au sein du Département fédéral des finances (DFF), le Conseil fédéral a institué un service responsable de la coordination de la cybersécurité dans l'administration fédérale. Au niveau politico-stratégique, la nouvelle Délégation Cyber du Conseil fédéral et le Groupe Cyber - qui regroupent le DFF, le DDPS et le Département fédéral de justice et police (DFJP) - veillent pour leur part à la coordination des domaines de la cybersécurité, de la cyberdéfense et de la poursuite pénale des cyberattaques. Cette organisation de la Confédération est également appelée à intervenir dans des négociations avec des partenaires internationaux. Les services compétents du Département fédéral des affaires étrangères, du Département fédéral de l'environnement, des transports, de l'énergie et de la communication et du Département fédéral de l'économie, de la formation et de la recherche seront aussi intégrés. Compte tenu de la variété des sujets, la responsabilité des négociations internationales dans le domaine de la cybersécurité ne peut pas être confiée en totalité à une unité administrative (par ex. au Secrétariat d'État à la formation, à la recherche et à l'innovation) ou à un département (par ex. au DDPS). Les négociations peuvent porter par exemple sur la lutte commune contre la cybercriminalité, la coopération militaire en matière de cyberdéfense ou la collaboration dans le domaine de la recherche. Elles doivent être menées par les services compétents, ce qui est d'ailleurs généralement le cas dans les pays partenaires. Cependant, elles sont aussi coordonnées par le centre de compétences pour la cybersécurité et les organes cités.
Réponse du Conseil fédéral.