21.4180 · Interpellation · 2021-09-30
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Je prie le Conseil fédéral de répondre aux questions suivantes.
1. Quelles compétences le DDPS possède-t-il dans le domaine de la cyberprotection ?
2. Comment sont précisément réparties les prestations de cyberdéfense au sein de l'administration fédérale ?
3. Comment les mettre à la disposition des communes, des cantons, des offices et des institutions ?
4. Le DDPS prévoit-il de mettre les compétences financées par les pouvoirs publics à disposition dans des domaines civils ?
Begründung
Il y a quelques années, j'ai demandé la création d'un département de la sécurité qui s'occuperait de tous les nouveaux risques. Une gestion efficace des risques est plus importante que jamais, notamment en raison de la menace croissante que représente la cybercriminalité.
Aussi, je salue la création du commandement Cyber décidée par le Conseil fédéral le 1er septembre dernier. Le développement de réseaux, les nouvelles technologies et l'augmentation des activités criminelles dans le cyberespace accroissent la menace. Avec la création du commandement Cyber, le DDPS élargit encore ses compétences.
Pour faire face au défi grandissant, il faut de plus en plus de spécialistes. Dans le monde, il manque apparemment plus de quatre millions de spécialistes de la cybersécurité. Cette pénurie renforce la concurrence sur le marché de la sécurité numérique.
Dans ce contexte, il est important d'éviter les doublons et de concentrer les forces de la Confédération.
Stellungnahme des Bundesrates
En matière de protection du cyberespace, la Confédération distingue entre cybersécurité, cyberdéfense et cybercriminalité pour lesquelles les compétences sont réglées de manière différenciée. Le DDPS est compétent en matière de cyberdéfense et de protection de ses propres systèmes.
1. Le DDPS dispose d'un vaste éventail de compétences dans le domaine de la cyberdéfense et de la cybersécurité. Il assume des tâches civiles et militaires, en particulier :
L'OFPP gère un inventaire national d'infrastructures critiques ; il analyse avec les offices compétents et les exploitants de ces infrastructures quels sont les risques et les vulnérabilités et met à disposition les bases visant à accroître la résilience de telles infrastructures.
Le campus cyberdéfense d'armasuisse assure la collaboration avec les hautes écoles et traite de manière scientifique des questions technologiques. Grâce à la recherche et au développement, il contribue à la création des compétences nécessaires auprès des partenaires au sein de l'administration fédérale.
Le Service de renseignement de la Confédération (SRC) est responsable de l'image globale de la situation cyber ainsi que de l'analyse et de l'anticipation de la menace en faveur de la conduite de la politique de sécurité. Par ailleurs, il a la capacité d'identifier des cyberattaques, de les analyser, de les attribuer (attribution) et, sous réserve d'approbation, de les combattre en pénétrant dans des systèmes informatiques.
L'armée garantit que ses propres systèmes et infrastructures informatiques soient exploités de manière sûre et robuste en tout temps et dans toutes les situations et elle se protège dans le cyberespace. Pour ce faire, elle dispose de capacités de détection et de représentation de cyberattaques, ainsi que de capacités de cyberdéfense ; enfin, elle est à même d'effectuer des analyses techniques approfondies, notamment de logiciels malveillants. Elle traite également des questions de cryptologie à l'échelle de l'administration fédérale.
L'organe de coordination pour la protection des informations au sein de la Confédération est intégré au Secrétariat général du DDPS. Il joue le rôle d'interlocuteur pour des contacts avec des services nationaux, étrangers ainsi que des organisations internationales oeuvrant dans le domaine de la protection des informations.
Pour remplir toutes ces tâches, le DDPS forme des cyberspécialistes dans le cadre du stage de formation cyber de l'armée, au moyen du programme Fellowship du campus cyberdéfense et du Cyber Training Range.
2. Le Département fédéral des finances (DFF) est responsable du domaine cybersécurité. Le délégué de la Confédération à la cybersécurité coordonne les trois domaines suivants : cybersécurité, cybercriminalité et cyberdéfense. Le Centre national pour la cybersécurité (NCSC) est le centre de compétences de la Confédération pour ce domaine et, par conséquent, le premier interlocuteur de l'économie, de l'administration, des établissements de formation et de la population pour les questions de cybersécurité. Le DDPS est compétent en matière de cyberdéfense et en partie pour la cybersécurité (voir réponse 1), le Département fédéral de justice et police (DFJP) l'est pour la cybercriminalité et, enfin, le Département fédéral des affaires étrangères (DFAE) est compétent pour les questions cyber relevant de la politique étrangère.
3. Conformément à l'art. 12 de l'ordonnance sur la protection contre les cyberrisques, le NCSC fournit un appui subsidiaire aux exploitants d'infrastructures critiques, parmi lesquels des autorités. Par ailleurs, des communes, des cantons, des offices et des institutions peuvent également bénéficier d'un appui, par exemple sous forme de coopération lors de formations, en vue de renforcer leurs propres capacités en matière de cyberdéfense. Le SRC fournit également des prestations en faveur des communes, des cantons, des offices et des institutions. Il a reçu le mandat légal d'identifier et d'empêcher des attaques contre des infrastructures critiques qui constituent une menace pour la sécurité intérieure et extérieure. L'OFPP procède à des échanges avec des autorités cantonales et communales ainsi que des exploitants d'infrastructures critiques en matière d'analyses du risque et de la vulnérabilité pour renforcer la cybersécurité dans le contexte d'une perspective intégrale du risque.
4. Les moyens dont dispose le DDPS sont déjà utilisés sous différentes formes pour appuyer les autorités civiles et d'autres organes (voir réponse 3).
Concernant l'engagement subsidiaire des compétences de l'armée en faveur des autorités, ce sont les dispositions prévues par l'art. 67 de la loi sur l'armée (LAAM) qui font foi, à savoir : des autorités civiles peuvent demander de l'aide aux fins suivantes : lorsque la tâche est d'intérêt public, que leurs moyens sont épuisés, ou que les moyens nécessaires ne sont manifestement pas disponibles et ne peuvent pas non plus être livrés à temps et dans la quantité exigée par des fournisseurs commerciaux.
Une base juridique explicite dans le domaine cyber sera créée pour la collaboration entre l'armée et les autorités civiles à l'intérieur de la sécurité de systèmes informatiques dans le cadre de la révision de la LAAM (probablement début janvier 2023). Cela permettra de simplifier leur collaboration.
Réponse du Conseil fédéral.