20.3496 · Interpellation · 2020-06-03
Département des finances
Liquidé
Wortlaut
Lors d'un entretien accordé au quotidien alémanique Tages-Anzeiger, la conseillère fédérale Viola Amherd a évoqué la possibilité de doter l'armée d'une troupe d'intervention cyber, qui pourrait aider les exploitants d'infrastructures critiques et les entreprises privées à se défendre en cas de cyberattaques. Dans le rapport du 27 novembre 2019 sur l'organisation de la Confédération pour la mise en oeuvre de la stratégie nationale de protection de la Suisse contre les cyberrisques, le Conseil fédéral voit la tâche de l'armée principalement dans le domaine de la cyberdéfense, c'est-à-dire que l'armée doit protéger ses propres infrastructures et se défendre contre des attaques dans le cyberespace. Le domaine de la cybersécurité est quant à lui rattaché au Département fédéral des finances (DFF).
Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes.
1. La création d'une troupe d'intervention cyber ne va-t-elle pas à l'encontre de la stratégie nationale de protection de la Suisse contre les cyberrisques ? Une telle troupe peut-elle accomplir des tâches qui dépassent le cadre défini par le Conseil fédéral dans l'ordonnance sur la cyberdéfense militaire (RS 510.921) ?
2. Au-delà de son autoprotection et de son autodéfense, incombe-t-il aussi à l'armée de protéger les entreprises privées et les exploitants civils d'infrastructures critiques contre les cyberattaques ? Quel est le seuil d'intervention de l'État lorsque la responsabilité individuelle des entreprises et des exploitants d'infrastructures critiques est mise à rude épreuve ? Quels services de l'État interviennent en premier ? N'est-il pas problématique que l'armée accapare les spécialistes sur un marché de l'emploi limité ?
3. Quelle est la répartition des ressources au sein de la Confédération ? En fonction des tâches (défense, sécurité, criminalité), quel est le nombre de postes prévus et à quels offices sont-ils affectés ?
4. Y a-t-il une délimitation claire des compétences entre l'armée et les services civils dans le domaine de la cybersécurité ? Y a-t-il des doublons ? La primauté du pouvoir politique et de la conduite civile est-elle toujours garantie ?
5. Certains dénoncent une rivalité entre le DDPS et le DFF dans ce domaine. Que pense le Conseil fédéral de cette critique ?
Stellungnahme des Bundesrates
Le Conseil fédéral répond comme suit aux questions posées :
1. La stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) présente les missions premières de l'armée dans le cyberespace ainsi que son rôle en tant qu'appui subsidiaire des autorités civiles. Ces tâches sont inscrites dans la loi et existent indépendamment de la SNPC, bien qu'elles fassent aussi partie de cette stratégie. L'ordonnance sur la cyberdéfense militaire (OCMil) règle les mesures et les compétences en lien avec l'autoprotection et l'autodéfense de l'armée en cas d'attaque contre ses systèmes d'information et ses réseaux informatiques. L'armée peut également, en vertu de la loi sur l'armée (LAAM, art. 1 et art. 68 à 75), apporter un soutien subsidiaire dans le cyberespace dans le cadre d'une tâche d'intérêt public si les autorités civiles ne disposent pas de moyens suffisants et font la demande d'un tel appui.
2. La protection des entreprises contre les cyberrisques ne relève en premier lieu ni des tâches de l'armée ni de celles de l'État. En règle générale, les entreprises sont responsables de leur propre sécurité face aux cyberrisques. Les services de l'État, qu'il s'agisse des autorités civiles ou de l'armée, fournissent un appui uniquement sur la demande des entreprises ; une intervention active n'est envisageable que dans le cas où une cyberattaque peut être qualifiée d'agression armée contre la Suisse. Quoi qu'il arrive, il revient au pouvoir politique d'évaluer l'attaque et de déterminer s'il est nécessaire pour la repousser de mobiliser l'armée ou les autorités civiles. Concernant l'appui subsidiaire de l'armée dans le cadre de la protection contre les cyberrisques, les exigences légales usuelles s'appliquent (cf. réponse à la question 1).
Dans le cadre de son programme d'instruction dans le domaine cybernétique, l'armée forme chaque année 40 spécialistes en cybersécurité et contribue ainsi à réduire la pénurie de personnel qualifié dans le domaine en Suisse.
3. Le domaine des cyberrisques est nécessairement présent dans le travail de tous les collaborateurs de l'administration fédérale qui assument des tâches relatives à la sécurité intérieure ou extérieure. Il n'est donc pas possible d'établir une vue d'ensemble complète des ressources investies. On peut cependant dénombrer les spécialistes dont les tâches portent exclusivement sur les cyberrisques : le Centre national pour la cybersécurité (NCSC), en plein développement, compte, actuellement et jusqu'à la fin de 2021 encore, 43 postes. Le NCSC est assisté par 26 autres postes répartis au sein du DFAE, du DFI, du DETEC et du DDPS. Le DDPS dispose en outre de 175 postes spécialisés dont l'objectif est d'accomplir les tâches du DDPS en lien avec la SNPC et avec le soutien apporté au NCSC, ainsi que les tâches relatives à la cyberdéfense.
L'ensemble du personnel qui travaille dans le domaine de la poursuite pénale est lui aussi confronté, dans le cadre des enquêtes, à des problématiques relatives au cyberespace. L'Office fédéral de la police compte ainsi 41,5 spécialistes en cybersécurité et met l'un d'entre eux à la disposition du Centre européen de lutte contre la cybercriminalité d'Europol. Il apporte en outre sa contribution au réseau national de soutien aux enquêtes dans la lutte contre la criminalité informatique (NEDIK) de la Confédération et des cantons, et à la plateforme d'information de la criminalité sérielle en ligne (PICSEL).
4. La primauté du pouvoir politique et le principe de la conduite civile sont valables de manière générale et sont ancrés dans la Constitution, dans la loi sur l'armée et dans l'ordonnance sur la cyberdéfense militaire. Les compétences et les responsabilités liées au cyberespace sont de plus fixées dans la loi fédérale sur le renseignement (LRens) et dans la nouvelle ordonnance sur les cyberrisques (OPCy).
5. Le DDPS et le DFF travaillent en étroite collaboration et sur la base des tâches et des compétences qui leur sont respectivement attribuées par la loi. Le DFF assume un rôle de coordination à l'échelon de la Confédération et assume la responsabilité de la cybersécurité, tandis que le DDPS assure la cyberdéfense. Le Conseil fédéral a exprimé à plusieurs reprises sa volonté de renforcer la coordination entre les départements en ce qui concerne la protection contre les cyberrisques. En créant la Délégation Cyber du Conseil fédéral, le Groupe Cyber et le Comité de pilotage SNPC, le Conseil fédéral a mis en place les organes et les conditions nécessaires à la réalisation de cet objectif.
Réponse du Conseil fédéral.