Lexipedia

21.4316 · Interpellation · 2021-10-01

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

Le vol de données dans la commune de Rolle est le premier cas important de cyberattaque contre une commune en Suisse. Si les attaques réussies de ce type se multiplient, les citoyens perdront inévitablement confiance dans le secteur public. Il faut que les compétences civiles et militaires se complètent mutuellement pour être utilisées spécifiquement afin de prévenir et d'empêcher les cyberattaques, mais aussi pour les contrer. Le développement de compétences en parallèle doit être évité et les interfaces démantelées.

Dans le domaine de la cyberdéfense, le Département fédéral de la défense, de la protection de la population et des sports (DDPS) regroupe les centres de compétences suivants : le Cyber Fusion Center, le centre des opérations électroniques, la cryptologie, le stage de formation cyber, les activités de recherche du Campus cyberdéfense en collaboration avec des hautes écoles, le tableau de la situation cyber, etc. À quoi viendront s'ajouter un commandement et un bataillon Cyber. Il est important de clarifier quelles prestations le DDPS peut fournir aux autorités civiles compte tenu du principe de subsidiarité.

Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes.

Le DDPS a-t-il examiné la question de savoir comment regrouper les compétences de la Confédération en matière de cyberdéfense ?

Dans quelle mesure faut-il appliquer le principe de subsidiarité lors de la répartition des compétences dans ce domaine ?

Stellungnahme des Bundesrates

1. La transition numérique est l'occasion pour chaque département de se munir de cybercompétences. Ces dernières années, en application de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), la Confédération a créé les structures visant à favoriser la collaboration entre les unités administratives compétentes pour le domaine cyber. Ces structures fonctionnent bien et vont chercher le savoir-faire sans se limiter à un département : Centre national pour la cybersécurité, armée, Service de renseignement de la Confédération (SRC), armasuisse, autorités de poursuite pénale, etc.

Aux termes de la SNPC, de l'ordonnance sur les cyberrisques et de la stratégie cyber du DDPS, c'est ce département qui est compétent pour la cyberdéfense. Celle-ci est donc placée sous l'égide du DDPS et y réunit ses moyens. Cette unité administrative fournit des prestations de cybersécurité, et assure sa propre protection en la matière. C'est pourquoi elle dispose de la plus grande part des ressources en cybersécurité et en cyberdéfense de l'administration fédérale (DDPS 170 EPT, fedpol 41,5, centre national 43 plus 26 issus du DFAE, du DFI et du DETEC, selon IP 20.3496, état août 2020).

Au DDPS, l'Office fédéral de la protection de la population, le SRC, armasuisse et l'armée se tiennent prêts à remplir leurs tâches en toute situation. De par le rôle que lui confère la Constitution - mais aussi le droit international public parce qu'elle est une force armée -, l'Armée suisse est tenue d'acquérir en temps de paix déjà de larges compétences en cyberdéfense et cybersécurité. Aucune autre organisation de la Confédération ne peut fournir cette prestation pour l'armée, ce qui implique certaines redondances dans l'acquisition des compétences par rapport aux organisations civiles.

La cyberorganisation fédérale est actuellement soumise à un test d'efficacité selon le programme de la SNPC pour 2018-2022. Le résultat montrera dans quelle mesure le système actuel fait ses preuves et s'il faut procéder à des adaptations ou réunir des compétences. Le rapport devrait être présenté au premier trimestre 2022.

2. Le principe de subsidiarité s'applique également en matière de cyberdéfense. La cyberdéfense nécessitant de plus en plus de compétences spécialisées, il convient d'examiner l'aide concrète que la Confédération peut apporter avec ses moyens dans ce domaine (défense, sécurité, poursuite pénale). Il faut aussi se pencher sur l'aide que la Confédération peut apporter aux cantons et aux communes. Le Conseil fédéral est prêt à le faire en collaboration avec les cantons.

En ce qui concerne l'engagement subsidiaire des moyens de l'armée en faveur des autorités civiles, on applique l'art. 67 de la loi sur l'armée : les autorités civiles peuvent demander un appui si la chose est d'intérêt public, et si leurs ressources sont épuisées, ne sont manifestement pas disponibles, et ne peuvent pas être fournies par des prestataires commerciaux dans la mesure requise et en temps voulu.

Pour la coopération de l'armée avec les autorités civiles en matière de sécurité des systèmes informatiques, une base légale explicite sera créée pour le domaine cyber lors de la révision de la loi sur l'armée, qui devrait entrer en vigueur début 2023. Cela permettra d'améliorer la coopération dans ce domaine.

Réponse du Conseil fédéral.

Regrouper les activités de cyberdéfense | Lexipedia | Lexipedia