21.4512 · Postulat · 2021-12-16
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Les cyberattaques utilisant des rançongiciels (chiffrement de données grâce à un cheval de Troie) sont devenues l'une des principales cybermenaces pour notre économie et notre administration. De telles attaques sont très attrayantes pour les criminels car elles demandent relativement peu de moyens pour chiffrer les systèmes des vicitimes et que certaines entreprises et organisations payent de grosses sommes pour récupérer leurs données.
Pour la sécurité de la population et de la place économique suisse, il est très important de renforcer la protection contre les rançongiciels. Le Conseil fédéral est donc chargé de présenter un rapport sur la manière d'atteindre cette protection. Il examinera notamment les possibilités suivantes :
- introduction de directives contraignantes pour les organisations chargées d'une mission de service public en matière de protection de base contre les rançongiciels
- introduction d'une obligation de déclaration en cas de paiement de rançons et d'une obligation d'impliquer les autorités dans les négociations avec les criminels
- échange d'informations renforcé en cas d'attaque de rançongiciel, aboutie ou non, entre la Confédération, les autorités cantonales de poursuite pénale, les entreprises privées de réponse aux incidents de sécurité et les assurances.
Begründung
Presque chaque semaine, on apprend qu'une nouvelle entreprise ou organisation a été victime d'un rançongiciel en Suisse. Depuis janvier 2020, 185 tentatives d'attaques de ce type ont été signalées au Centre national pour la cybersécurité (NCSC). Comme il n'est pas obligatoire d'annoncer les cyberattaques en Suisse, le nombre effectif est probablement bien plus élevé.
La Suisse, comme tous les pays très développés, est une cible de choix pour de telles attaques. Malheureusement, il faut aussi constater que des rançons sont toujours payées, en dépit du fait que les autorités font remarquer que payer revient à soutenir le modèle commercial des criminels. Chaque rançon payée augmente la menace parce que les criminels utilisent les ressources ainsi acquises pour poursuivre et perfectionner leurs attaques. L'ampleur des attaques justifie le fait que ce soit le rôle de l'État et dans son intérêt de lutter de manière plus ciblée contre les cybermenaces.
L'État doit réussir à faire face de façon plus ciblée à cette menace. Il lui faut déterminer si des mesures visant à renforcer la cybersécurité doivent être prescrites au moins pour les entreprises chargées d'une mission de service public. Il faut également qu'il examine s'il convient d'introduire une obligation générale de déclaration des paiements de rançon suite à des attaques de rançongiciel. Ces mesures seront assorties d'un devoir d'impliquer les autorités dans les négociations avec les cybercriminels afin de collecter les informations requises pour la poursuite pénale. Enfin, l'État veillera à renforcer l'échange d'informations. Le NCSC, les organes d'enquête, les entreprises privées de réponse aux incidents de sécurité et les assurances disposent d'indications sur les attaques de rançongiciel abouties ou non. Malheureusement, ces informations ne sont aujourd'hui pas centralisées et il n'est donc pas possible d'établir une image fiable de la situation.
Antrag des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.
Stellungnahme des Bundesrates
Le Conseil fédéral propose d'accepter le postulat.