20.4057 · Interpellation · 2020-09-22
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Les problèmes informatiques de l'armée ont fait plus d'une fois les gros titres (par ex. dans l'article de Lukas Mäder publié dans le quotidien NZZ le 31 août 2020 sur les problèmes sans fin de l'informatique de l'armée). L'administration fédérale tire aussi la sonnette d'alarme : le niveau de sécurité ne correspond pas aux exigences militaires et même les contrôles les plus élémentaires ne sont pas réalisés. La cyberprévention est ainsi largement remise en question.
Dans la stratégie informatique de la Confédération 2020-2023 publiée en avril 2020, le Conseil fédéral retient que " la continuité des processus et l'exploitation commune des données, qui sont une conséquence de la transformation numérique, nécessitent une perception plus aiguë de la sécurité, en particulier pour garantir la confiance ".
Il exige également ce qui suit : " Avant qu'une nouvelle solution ne soit acquise ou développée, la réutilisation d'une solution existante doit se révéler impossible sous l'angle économique. Le recours à une solution informatique existante doit primer le développement de solutions informatiques individuelles. " Il faut donc que la Confédération utilise des solutions sectorielles à chaque fois que c'est possible.
Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes.
1. Ne pense-t-il pas aussi qu'il faudrait investir pour sensibiliser aux questions de sécurité, en particulier à l'armée, et faire en sorte d'assurer aussi rapidement que possible la sécurité informatique et la sécurité des données stockées ?
2. Quand et combien compte-t-il investir dans des systèmes d'information et de gestion afin de rétablir la sécurité et la souveraineté des données dans le domaine de la défense ?
3. Ne trouve-t-il pas contradictoire d'examiner la faisabilité de solutions informatiques individuelles (par ex. Swiss Cloud, diverses applications) et de demander en même temps l'utilisation de solutions existantes ? Ne vaudrait-il pas mieux modifier des solutions techniques existantes pour les adapter aux besoins suisses en les mettant en conformité avec le droit et les normes de sécurité ?
4. Le Conseil fédéral peut-il envisager de s'engager dans des partenariats public-privé pour trouver des solutions informatiques et de créer par exemple une commission consultative sectorielle ?
Stellungnahme des Bundesrates
1. La sécurité à long terme de l'information dépend fondamentalement de l'efficacité de la sensibilisation aux questions de sécurité. D'où les campagnes de sensibilisation menées régulièrement auprès de tous les échelons du personnel fédéral et de l'armée. Au DDPS, la cheffe du département, Mme Amherd, fixe les objectifs annuels de formation visant à promouvoir la sécurité, et cela s'applique dès lors aussi au Groupement Défense. Dans cette même optique, l'armée a mis sur pied le groupe Formation et awareness en matière de cybersécurité. Au quotidien, du reste, elle s'efforce d'accumuler de l'expérience et de s'améliorer dans la sécurité de l'information et dans la cybersécurité.
2. Le Conseil fédéral sait que l'efficacité de la sécurité de l'information et de la cybersécurité requiert une définition claire des tâches, des compétences et des responsabilités ainsi que la mise en place de processus ordinaires. Dans son message concernant la loi sur la sécurité de l'information (FF 2017 2765), il a donc proposé que les autorités fédérales appliquent, dans leur ensemble, un système de gestion de la sécurité de l'information (ISMS) répondant aux normes reconnues à l'échelon international, ce qui est d'ailleurs déjà le cas depuis bientôt deux ans au Groupement Défense, où le système utilisé a gagné en maturité et en efficacité. De surcroît, l'armée a pris d'autres mesures et a beaucoup investi pour moderniser le processus de protection de ses données et systèmes. Ainsi, la Base d'aide au commandement a nouvellement constitué la division Cyber Security pour gérer, sous un même toit, la stratégie de sécurité, la sécurité intégrale ainsi que la surveillance des réseaux et systèmes de l'armée. Le Conseil fédéral examinera, dans le cadre du rapport annuel sur l'état de la sécurité informatique au sein de la Confédération, comment les mesures prises pour garantir un degré élevé de sécurité de l'information et de cybersécurité se montrent efficaces face à des cybermenaces en constante mutation, et où ces mesures doivent éventuellement être renforcées.
3. Le Conseil fédéral estime que les options prises ne sont pas contradictoires. Quant à savoir s'il faut choisir entre des produits standard existants et des solutions individuelles, la situation doit être examinée au cas par cas. Dans le domaine de la sécurité en particulier, il peut s'avérer nécessaire de recourir à des solutions taillées sur mesure ou de compléter des solutions standard par des composantes individualisées. Un des messages clés de la stratégie informatique de la Confédération 2020-2023 souligne qu'il faut vérifier au préalable si une solution particulière se justifie bel et bien avant de l'acquérir ou de la développer à l'interne. Lorsque c'est possible, il faut utiliser des solutions existantes qui conviennent. Il peut s'agir de solutions auxquelles la Confédération a déjà recours, ou alors d'autres disponibles sur le marché peuvent être utilisées si possible sans s'écarter de la norme.
4. Les partenariats public-privé existent déjà à plus d'un titre. En règle générale, ils se concentrent sur des questions concrètes et notamment sur des thèmes pour lesquels la Confédération doit faire appel au savoir-faire spécifique de l'économie privée. Dans ce contexte, le cadre légal doit être respecté. Concernant plusieurs thèmes spécifiques majeurs, il existe déjà des organes avec lesquels les départements institutionnalisent l'échange de connaissances et d'expériences, comme c'est d'ailleurs aussi le cas pour le thème des cyberrisques. Il n'y a donc actuellement pas besoin de créer d'organes supplémentaires.
Réponse du Conseil fédéral.