21.4187 · Motion · 2021-09-30
Département des finances
Liquidé
Wortlaut
Le Conseil fédéral est chargé d'étendre la protection fédérale contre les cyber-attaques aux cantons, aux communes et aux PME dans leur ensemble.
Begründung
La Confédération est chargée d'assurer la protection contre les cyber-attaques au niveau national. Elle seule dispose des ressources appropriées et des compétences pour assurer cette protection. Actuellement, seules les infrastructures critiques font l'objet d'une protection fédérale contre les cyber-attaques. Toutefois, il n'existe aucune protection en faveur des administrations publiques et des PME dans leur ensemble. Pourtant, aussi bien les PME que les administrations publiques cantonales et communales constituent des infrastructures critiques pour assurer le bon fonctionnement du pays.
Chaque année, le nombre de cyber-attaques visant des infrastructures numériques en Suisse augmente avec des impacts toujours plus graves. Elles visent principalement de petites structures, telles que des PME ou des services en ligne des communes. Il convient de relever que, d'une part, les administrations publiques et les PME n'ont pas les moyens de se protéger efficacement contre les cyber-attaques et y sont vulnérables. C'est pourquoi il est nécessaire d'étendre la protection nationale à ces acteurs qui ont une importance vitale pour notre pays. Par exemple, les données d'une commune vaudoise (Rolle) ont été volées et publiées sur le Darknet. Elles contiennent apparemment de nombreuses données sensibles telles que données fiscales, cartes de crédit utilisées par les administrés pour payer des prestations en ligne, numéro AVS des employés, etc. Et d'autre part, il convient d'ajouter que de nombreux acteurs privés et publics ont dû se réinventer et trouver des solutions digitales pour assurer la continuité de leurs prestations durant la crise liée au coronavirus. Le risque de cyber-attaque est donc augmenté et les acteurs de la cybercriminalité se sont renforcés.
La nécessité d'agir est réelle et les efforts de certains cantons le prouvent. À l'image de deux récents projets, lancés par le canton de Zoug : un centre de contrôle cybersécurité (NTC) et un service d'information et d'échange pour des PME (ITSec4KMU). Mais les initiatives cantonales ne suffiront pas à elle seules. De tels projets devraient avoir une portée et une utilité nationale.
Considérant que les PME et les administrations publiques constituent des infrastructures critiques exposées à un risque croissant, il est urgent d'agir au niveau fédéral pour améliorer, d'une part la protection de ces acteurs de manière équitable dans l'ensemble du pays, et d'autre part la gestion des risques cyber que fait porter la transition numérique sur tous les secteurs d'activité, public et privé et sur la population.
Antrag des Bundesrates
Le Conseil fédéral propose de rejeter la motion.
Stellungnahme des Bundesrates
Le Conseil fédéral partage l'avis de l'autrice de la motion sur la très grande importance que revêtent la protection des PME ainsi que celle des administrations cantonales et communales contre les cyberattaques. Il est cependant inexact d'affirmer que la Confédération n'a rien entrepris en ce sens jusqu'à présent. Différentes mesures ont déjà été appliquées dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques.
Créé en 2019, le Centre national pour la cybersécurité (NCSC) est un élément essentiel de cette stratégie. Il enregistre les annonces de cyberincidents et fournit aux acteurs concernés des recommandations sur la marche à suivre. Le NCSC contribue également à la prévention en publiant sur son site web des avertissements concernant des cybermenaces nouvelles ou ayant cours, ainsi que des informations et des instructions techniques sur la manière de se protéger contre les cyberattaques. En outre, la Confédération a développé plusieurs outils avec des organisations partenaires, comme une norme informatique minimale ou un test rapide destiné aux PME. Elle a aussi participé à la conception de labels qui promeuvent la cybersécurité auprès des communes, des PME et de leurs fournisseurs informatiques, et mené des campagnes de sensibilisation. Elle assure également un suivi technique des projets mentionnés dans la présente motion.
Le Conseil fédéral est prêt à étoffer, en les adaptant aux besoins, les prestations que la Confédération fournit aux administrations et aux PME, et à élaborer les bases légales nécessaires à cet effet. Toutefois, il maintient expressément que, selon le principe de subsidiarité, la responsabilité de la protection contre les cyberattaques ne peut être reportée sur la Confédération, mais qu'elle doit continuer d'incomber aux administrations et aux PME. Il en va de même pour les exploitants d'infrastructures critiques, qui, malgré l'aide de la Confédération, assument seuls l'entière responsabilité de la protection contre les cyberattaques.
Imposer à la Confédération de garantir cette protection aux administrations et aux PME nécessiterait notamment de lui accorder la compétence d'ordonner des mesures de protection et d'en contrôler l'application. Cette compétence constituerait une atteinte considérable à la souveraineté des cantons et à la liberté économique des PME.
Le Conseil fédéral reste convaincu qu'il est possible d'améliorer la protection contre les cyberattaques grâce à une bonne collaboration, et qu'il n'est ni utile ni judicieux de confier cette tâche à la seule Confédération.
Le Conseil fédéral propose de rejeter la motion.