Lexipedia

19.3895 · Motion · 2019-06-21

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

Le Conseil fédéral est chargé de présenter au Parlement un complément à la loi fédérale sur les marchés publics afin que l'on puisse atteindre plus efficacement l'objectif que constitue la souveraineté numérique en matière d'infrastructures critiques, notamment dans le secteur de la défense.

Begründung

Dans sa réponse à mon interpellation 19.3185, "Achats de la Confédération. Pas de portes dérobées numériques", le Conseil fédéral s'est dit opposé à tout durcissement de la politique en matière d'acquisitions de matériel informatique et de logiciels stratégiquement importants dans le secteur de la défense, précisant qu'il est déjà possible, à l'heure actuelle, de partager et de vérifier les codes sources.

Compte tenu de l'importance de la souveraineté numérique et des risques croissants pour la sécurité, une simple vérification constitue une mesure trop faible pour un pays neutre, en particulier dans le secteur de la défense. En menant une politique trop laxiste en matière d'acquisitions, la Suisse risque non seulement de voir disparaître des données capitales sur le plan stratégique, mais aussi de devenir le jouet des grandes puissances qui s'affrontent depuis des années pour atteindre la cyberhégémonie. Cette crainte est née notamment de la lecture des recommandations figurant dans le rapport semestriel 2/2018, du 30 avril 2019, établi par la centrale Melani. On peut en effet lire ce qui suit aux pages 7 et 8 : "Il est peu probable que même dans un cas extrême, une entreprise privée s'oppose au droit en vigueur dans son État d'origine. ... C'est pourquoi il est essentiel de mettre en place une gestion rigoureuse des risques qui englobe tous les fabricants, les fournisseurs et les sous-traitants de solutions matérielles et logicielles, également en ce qui concerne les risques d'ingérence étatique."

L'autorité fédérale chargée des acquisitions a absolument besoin de prescriptions plus sévères. Il faut impérativement conférer une priorité plus élevée au principe de la souveraineté numérique en matière d'acquisitions dans le domaine des infrastructures critiques, notamment dans le secteur de la défense. Il faut dès lors fixer aussi rapidement que possible des normes et des procédures contraignantes qui régiront la vérification du matériel informatique et des logiciels entrant dans la composition d'infrastructures critiques dans le secteur de la défense, mais aussi les contrôler et les faire appliquer dans le cadre des acquisitions. Les prescriptions figurant dans la loi fédérale sur les marchés publics doivent être complétées en conséquence. Le Conseil fédéral est donc prié de présenter aussi rapidement que possible au Parlement un projet contenant les modifications nécessaires des bases légales.

Antrag des Bundesrates

Le Conseil fédéral propose de rejeter la motion.

Stellungnahme des Bundesrates

Le Conseil fédéral a établi, dans les principes en matière de politique d'armement du Département fédéral de la défense, de la protection de la population et de sports (DDPS) du 24 octobre 2018, que le savoir technologique minimal requis ainsi que les compétences et les capacités industrielles doivent exister en Suisse pour garantir la capacité opérationnelle de l'armée dans toutes les situations. L'indépendance totale de la Suisse envers les pays étrangers n'étant pas un objectif réaliste, il vaut mieux que notre pays se concentre sur la préservation et le renforcement de certaines technologies essentielles à sa sécurité et veille notamment à ce que la dépendance demeure la plus limitée possible dans le domaine des technologies de l'information, de la communication et des capteurs. Les nouveaux principes en vigueur en matière de politique d'armement mettent l'accent sur le renforcement des compétences en Suisse dans le domaine des technologies essentielles. Ce point sera précisé dans le cadre de l'élaboration d'une stratégie de mise en oeuvre. Dans l'intervalle, les dépendances industrielles envers des pays étrangers dans les domaines clés sont continuellement réduites dans le processus d'acquisition.

L'administration sûre des données stratégiques centrales repose aussi bien sur la protection de l'information que sur la sécurité informatique. Ces exigences sont déjà prises en considération aujourd'hui lors des acquisitions. L'ordonnance concernant la protection des informations de la Confédération (RS 510.411) est particulièrement déterminante à cet égard. Dans le cadre de la procédure d'adjudication actuelle, la sécurité de tous les projets et de tous les systèmes est vérifiée. Une analyse imposée détermine le besoin de protection et les documents nécessaires relatifs à la sécurité sont établis. Une méthode de gestion des risques visant à réduire les activités d'espionnage de services de renseignement existe déjà dans ce cadre.

Si le besoin de protection est élevé, la procédure d'adjudication est adaptée pour réduire les risques. Le droit des marchés publics offre différentes possibilités comme une adjudication directe ou le lancement d'une procédure invitant à soumissionner. Une vérification approfondie des prestataires potentiels est en outre effectuée. Si un projet est classifié confidentiel, une procédure visant à la sauvegarde du secret est lancée avant l'adjudication. Le partage des codes sources est indispensable à la poursuite du projet. Les prescriptions spécifiques du projet élaborées dans le cadre de l'acquisition restent valables pendant toute la durée de vie du système, jusqu'à sa mise hors service. Les prescriptions doivent aussi être réactualisées périodiquement.

Les prescriptions sont en outre constamment développées. Ainsi, depuis le début de l'année 2019, le DDPS vérifie, en collaboration avec des partenaires et des fournisseurs externes, les prescriptions de sécurité concernant le traitement des données dignes de protection ainsi que la gestion des risques au niveau fédéral. Celles-ci sont renforcées si nécessaire.

Par ailleurs, d'autres mesures sont à l'étude dans le cadre des postulats Dobler 19.3135 et 19.3136 acceptés par le Conseil national le 21 juin 2019. Une analyse est menée afin de déterminer si les instruments actuels de vérification de la sécurité dans le cadre de certaines acquisitions sont entièrement exploités et si des mesures ou des normes supplémentaires s'imposent. De même, un rapport sera établi afin de déterminer si la résistance de l'informatique des infrastructures critiques en Suisse peut être améliorée par des mesures ciblées et le cas échéant, comment. Il convient pour l'instant d'attendre le résultat de ces analyses avant d'édicter de nouvelles prescriptions.

Le Conseil fédéral propose de rejeter la motion.