20.4594 · Postulat · 2020-12-17
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Le Conseil fédéral est chargé d'étudier dans quelle mesure le piratage éthique pourrait être institutionnalisé en tant que principe pour améliorer la cybersécurité et s'il pourrait être encouragé dans l'administration fédérale et les entreprises liées à la Confédération au moyen des mesures suivantes :
1. L'administration fédérale et les entreprises liées à la Confédération définissent des directives prévoyant des processus clairs pour détecter les failles de sécurité des systèmes informatiques et garantissant une divulgation coordonnée par le biais de tiers.
Les directives doivent notamment préciser quels systèmes sont à vérifier, quels tests sont autorisés et à qui les failles doivent être signalées. Elles garantissent aux pirates qu'ils ne risquent aucune poursuite s'ils respectent les conditions prévues.
2. Les entreprises organisent des chasses aux bogues pour s'assurer de la robustesse de leurs systèmes. Les systèmes classifiés sont exceptés. Comme le succès de ces chasses dépend des primes offertes, les budgets des unités et entreprises concernées devront être adaptés.
3. Le Centre national pour la cybersécurité soutient la démarche et accompagne sa mise en oeuvre.
Begründung
Le succès de la numérisation passe par des normes de sécurité élevées. Une protection efficace des systèmes informatiques renforce le niveau de sécurité général, de même que la réputation de notre pays comme centre de stockage de données. À cet effet, il est indispensable de détecter et supprimer en permanence les failles que présentent les systèmes. Le piratage éthique joue ici un rôle central. Les pirates cherchent les failles dans l'objectif de renforcer la sécurité du réseau. Pour l'heure, la Suisse n'exploite pas suffisamment le potentiel du piratage éthique.
Les directives définissent la manière dont les pirates peuvent rechercher des failles de manière à les supprimer. Elles présentent l'intérêt qu'ont à collaborer les entreprises et les pirates, qui dans l'absolu s'exposeraient à des risques sur le plan juridique, puisque l'intrusion dans un système informatique est punissable en droit suisse.
C'est pourquoi, il est essentiel que les directives excluent toute poursuite à l'encontre des pirates. La coordination dans la recherche des failles et dans l'information du public une fois les failles comblées est dans l'intérêt de toutes les parties. Aux Pays-Bas, en particulier, de telles directives portent leurs fruits depuis des années.
Les chasses aux bogues sont un bon moyen, pour les entreprises qui prennent l'initiative d'y recourir, de tester en profondeur la robustesse de leurs systèmes.
L'administration et les entreprises liées à l'État doivent montrer l'exemple aux entreprises privées et à la société. En institutionnalisant le piratage éthique, elles montreront leur détermination absolue à défendre leurs systèmes informatiques.
Antrag des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.
Stellungnahme des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.