22.073 · Objet du Conseil fédéral · 2022-12-02
Département de la défense, de la protection de la population et des sports
Liquidé
Zusammenfassung
Message du 2 décembre 2022 relatif à la modification de la loi fédérale sur la sécurité de l’information au sein de la Confédération (Inscription d’une obligation de signaler les cyberattaques contre les infrastructures critiques)
Ausgangslage
Communiqué de presse du Conseil fédéral du 02.12.2022
Le Conseil fédéral soumet au Parlement le message concernant l'obligation de signaler les cyberattaques contre les infrastructures critiques
Le Conseil fédéral souhaite mettre en place une obligation de signaler les cyberattaques contre les infrastructures critiques. À sa séance du 2 décembre 2022, il a adopté à cette fin et soumis au Parlement le message relatif à la modification de la loi sur la sécurité de l'information au sein de la Confédération. Le projet crée les bases légales nécessaires à l'obligation de signaler pour les exploitants d'infrastructures critiques et définit les tâches du Centre national pour la cybersécurité (NCSC), qu'il institue comme guichet unique de signalement des cyberattaques.
Les cyberattaques peuvent avoir de lourdes conséquences sur la disponibilité et la sécurité de l'économie suisse. Chaque jour, la population, les autorités et les entreprises sont exposées à un risque de cyberattaque. À l'heure actuelle, iI manque une vue d'ensemble des attaques qui se sont produites à tel ou tel autre endroit, car les signalements au NCSC se font sur une base volontaire. Une obligation de signaler permettra au NCSC d'avoir un meilleur aperçu des cyberattaques survenues en Suisse et des modes opératoires des cyberpirates. Le NCSC sera en mesure de mieux apprécier la situation et pourra avertir à temps les exploitants d'infrastructures critiques. En mettant en place une telle obligation, le Conseil fédéral entend s'assurer que tous les exploitants d'infrastructures critiques participent à l'échange d'informations et contribuent ainsi à l'alerte précoce.
Les participants à la consultation largement favorables à une obligation de signaler
Le Conseil fédéral a pris connaissance des résultats de la consultation sur le projet de modification de la loi à sa séance du 2 décembre 2022. Au total, 99 avis ont été émis par les cantons, les exploitants d'infrastructures critiques et les représentants des milieux scientifiques et économiques. A une large majorité, les participants à la consultation se sont montrés favorables au projet. La mise en place d'une obligation de signaler et l'institutionnalisation du NCSC en tant que guichet national de signalement sont considérées comme des étapes importantes pour améliorer la cybersécurité en Suisse. L'une des principales préoccupations formulées est que cette obligation soit mise en oeuvre avec le moins de formalités possible et qu'elle n'entraîne pas de charge administrative supplémentaire importante.
Soutien de la part du NCSC en cas de cyberattaques
Afin que les signalements soient aussi simples que possible à effectuer, le NCSC mettra à disposition un formulaire électronique qui pourra être rempli facilement et, au besoin, être transmis directement à d'autres services. En outre, le projet de modification de la loi n'oblige pas seulement les entreprises à participer à la protection contre les cyberattaques, mais contraint également le NCSC à offrir aux auteurs de signalements, à titre subsidiaire, un soutien pour faire face aux cyberattaques. Par ailleurs, la loi définit la manière dont le NCSC aide les entreprises et la population à se protéger contre les cybermenaces. Elle règle notamment la fonction du NCSC en tant que guichet pour les questions relatives aux cybermenaces et pour le signalement des cyberattaques.
Verhandlungen
Dépêche ATS
Délibérations au Conseil national, 16.03.2023
Oui à l'obligation de signaler les cyberattaques
La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Le National a adopté jeudi par 132 voix contre 55 l'obligation de signaler des incidents contre les infrastructures critiques. Il a étendu le projet aux vulnérabilités des systèmes informatiques.
Les cyberattaques sont devenues l'une des principales menaces pour la sécurité et l'économie de la Suisse. Entre 2020 et 2022, leur nombre a triplé, passant de près de 11'000 à plus de 34'000. Elles touchent indifféremment des entreprises comme des administrations publiques.
Actuellement, iI manque une vue d'ensemble, car les signalements au Centre national pour la cybersécurité (NCSC) se font sur une base volontaire. Une obligation de signaler permettra d'avoir un meilleur aperçu des cyberattaques survenues en Suisse et leur mode opératoire, a déclaré Gerhard Andrey (Vert-e-s/FR) au nom de la commission.
Énergie, transports, eau, santé constituent des infrastructures essentielles. La sécurité de ces infrastructures est devenue d'autant plus importante depuis la guerre en Ukraine, selon Edith Graf-Litscher (PS/TG). Le grand défi est de faire face à des assaillants qui changent sans cesse de méthode, a ajouté la cheffe du Département fédéral de la Défense Viola Amherd.
Le signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée. Le National veut également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques.
Le NCSC guichet unique
Le Centre national pour la cybersécurité (NCSC), créé en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra à disposition un formulaire électronique qui pourra être rempli facilement.
En outre, le NCSC devra offrir une évaluation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un "premier secours", a indiqué la conseillère fédérale. Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum.
L'UDC aurait voulu biffer la sanction. "Le risque d'amende risque de démotiver certains en matière de cybersécurité", a relevé David Zuberbüller (UDC/UR). Il faut au contraire créer une incitation maximum à la transparence.
"L'objectif n'est pas de punir", a répondu la ministre de la Défense. Cette disposition est prévue seulement si une entreprise refuse activement de signaler un problème grave. Elle a été largement suivie.
Délai de 24 heures
Pour garantir une alerte précoce, le signalement devra être fait dans les 24 heures suivant la détection de la cyberattaque ou de la vulnérabilité numérique. "Les premières heures sont cruciales", a précisé Fabien Fivaz (Vert-e-s/NE).
David Zuberbüller (UDC/UR) a mis en doute cette règle. En cas d'attaque de masse, un tel délai est trop court et devrait être prolongé à 72 heures. Il faut laisser la possibilité aux entreprises d'évaluer elles-mêmes l'ampleur de l'attaque avant de la signaler.
Viola Amherd a précisé que si une entreprise n'a pas toutes les informations en mains dans le délai requis, elle peut compléter ultérieurement son signalement. Elle a à nouveau convaincu la majorité.
Centrales nucléaires, transports, hôpitaux
Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.
Il y a aussi les services informatiques et de télécommunications, la SSR et les agences de presse, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services numériques et fabricants informatiques.
Lors de la consultation, les milieux intéressés se sont montrés largement favorables à cette révision de la loi sur la sécurité de l'information.
Dépêche ATS
Délibérations au Conseil des États, 01.06.2023
Le Parlement favorable à l'obligation de signaler les cyberattaques
La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Après le National, le Conseil des États a approuvé jeudi à l'unanimité l'obligation de signaler des incidents contre les infrastructures critiques. Le projet ne doit toutefois pas être étendu aux vulnérabilités des systèmes informatiques.
Les cyberattaques sont devenues l'une des principales menaces pour la sécurité et l'économie de la Suisse. Entre 2020 et 2022, leur nombre a triplé, passant de près de 11'000 à plus de 34'000. Elles touchent indifféremment des entreprises comme des administrations publiques.
Actuellement, iI manque une vue d'ensemble, car les signalements au Centre national pour la cybersécurité (NCSC) se font sur une base volontaire. Une obligation de signaler permettra de connaître rapidement les nouveaux modes opératoires, a indiqué la ministre de la défense Viola Amherd. "Il s'agit de renforcer l'échange d'informations."
Le signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée. Le National a étendu cette obligation d'annonce aux vulnérabilités des équipements informatiques.
Le Conseil des États n'a pas suivi, par 31 voix contre 13. Cette disposition n'est pas assez précise et amènerait davantage de charge administrative, a estimé Hans Wicki (PLR/NW). Seulement la gauche et quelques centristes ne l'ont pas entendu.
Le NCSC guichet unique
Le NCSC, créé en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra à disposition un formulaire électronique qui pourra être rempli facilement.
En outre, le NCSC devra offrir une évaluation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un "premier secours". Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum. Cette disposition est prévue seulement si une entreprise refuse activement de signaler un problème grave.
Pour garantir une alerte précoce, le signalement devra être fait dans les 24 heures suivant la détection de la cyberattaque ou de la vulnérabilité numérique, a précisé Andrea Gmür-Schönenberger (Centre/LU).
Centrales nucléaires, transports, hôpitaux
Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.
Il y a aussi les services informatiques et de télécommunications, la SSR et les agences de presse, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services numériques et fabricants informatiques.
Dépêche ATS
Délibérations au Conseil national, 11.09.2023
Le National tient à l'obligation de signaler les vulnérabilités
Non seulement les cyberattaques mais aussi les vulnérabilités des systèmes informatiques doivent être obligatoirement signalées. Le National a maintenu lundi, par 102 voix contre 80, cette divergence dans ce projet gouvernemental visant à mieux signaler les incidents contre les infrastructures critiques.
Les deux Chambres s'accordent pour que la Suisse renforce sa capacité de résistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée.
La Chambre du peuple voulait également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques, mais celle des cantons n'en a pas voulu. Le National propose désormais, à titre de compromis, de restreindre cette obligation de signalement en excluant les vulnérabilités résultant de développements internes de l'entreprise concernée.
La sécurité informatique est l'affaire de toutes et tous, a avancé Fabien Fivaz (Vert-e-s/NE). Cet effort supplémentaire est justifié pour une meilleure sécurité, a abondé Ida Glanzmann-Hunkeler (Centre/LU). Il ne représente pas une augmentation inconsidérée des coûts, a relevé François Pointet (PVL/VD) pour la commission.
Les mesures prévues sont suffisantes, a opposé Doris Fiala (PLR/ZH). David Zuberbühler (UDC/AR) a rejeté une trop grande charge administrative pour les entreprises et l'Etat. La disposition n'est pas clairement définie et n'apporte pas assez de plus-value, selon la cheffe du Département fédéral de la défense Viola Amherd. Sans succès.
Dépêche ATS
Délibérations au Conseil des Etats, 19.09.2023
Pas d'obligation de signaler les vulnérabilités
La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Le Parlement s'est accordé sur ce point. Mais, contrairement au National, le Conseil des Etats ne veut pas étendre l'obligation de signalement aux vulnérabilités des systèmes informatiques. Il a maintenu mardi sa position.
Les deux Chambres s'accordent pour que la Suisse renforce sa capacité de résistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée.
La Chambre du peuple voulait également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques, mais celle des cantons n'en a pas voulu. Le National a ensuite proposé, à titre de compromis, de restreindre cette obligation de signalement en excluant les vulnérabilités résultant de développements internes de l'entreprise concernée.
"Les cyberattaques de demain"
Mathias Zopfi (Vert-e-s/GL) voulait suivre ce compromis tout en allant plus loin. Il proposait d'exclure aussi les vulnérabilités résultant de développements réalisés par des tiers pour le compte de l'entreprise concernée. Il voulait aussi préciser qu'une vulnérabilité doit être signalée quand elle présente un degré de gravité critique.
Alors que le Parlement est d'avis que le signalement d'une cyberattaque doit avoir lieu dans les 24 heures suivant la détection, le délai pour l'annonce d'une vulnérabilité doit se monter à sept jours, a encore ajouté M. Zopfi. Cette annonce peut être anonyme. Les infrastructures critiques ne devraient pas chercher les vulnérabilités mais seulement les signaler quand elles ont été détectées, a-t-il précisé.
"Les vulnérabilités d'aujourd'hui sont les cyberattaques de demain", a appuyé Charles Juillard (Centre/JU), parlant de "prévention" et d'"anticipation". Les sénateurs n'ont rien voulu savoir, par 32 voix contre 12, au grand dam de la gauche et du centriste jurassien.
Trop grande charge administrative
Les vulnérabilités ne sont pas comparables entre les différentes infrastructures informatiques, a avancé Andrea Gmür-Schönenberger (Centre/LU) pour la commission. Et de craindre une trop grande charge administrative et un système qui se verrait affaibli plutôt que renforcé.
C'est disproportionné, a soutenu Hans Wicki (PLR/NW). La ministre de la défense Viola Amherd a plaidé pour une annonce de vulnérabilité sur une base volontaire avant d'inscrire une obligation dans la loi.
Dépêche ATS
Délibérations au Conseil national, 21.09.2023
Les cyberattaques devront être obligatoirement signalées
La Suisse doit renforcer sa capacité de résistance aux cyberattaques. Celles-ci devront obligatoirement être signalées, mais pas les vulnérabilités. Le National a rejoint jeudi par 98 voix contre 59 le Conseil des Etats sur ce dernier point, au grand dam de la gauche et de quelques élus PVL.
Les deux Chambres s'étaient déjà accordées pour que la Suisse renforce sa capacité de résistance aux cyberattaques. Un signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée.
La Chambre du peuple voulait également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques sous conditions, mais celle des cantons n'en a pas voulu.
Le National a finalement plié. Il est trop tôt pour passer à une telle obligation, une période d'observation est nécessaire, a concédé François Pointet (PVL/VD) pour la commission. Cela va trop loin alors que les infrastructures concernées n'ont pas pu se prononcer sur ce point, a complété David Zuberbühler (UDC/AR).
Il faut travailler ensemble avec le monde de l'économie, a abondé la ministre de la défense Viola Amherd. Une telle obligation affaiblirait cette collaboration basée sur la confiance. Et de plaider pour des annonces sur une base volontaire en premier lieu.
Les vulnérabilités sont au coeur du problème, si elles ne sont pas corrigées, c'est une porte ouverte aux cyberattaques, a contré Fabien Fivaz (Vert-e-s/NE). "C'est un compromis du compromis, seules les vulnérabilités critiques doivent être signalées lorsqu'elles concernent des éléments essentiels", a-t-il déclaré. En vain.
Le NCSC guichet unique
Le NCSC, créé en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra à disposition un formulaire électronique qui pourra être rempli facilement.
En outre, le NCSC devra offrir une évaluation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un "premier secours". Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum. Cette disposition est prévue seulement si une entreprise refuse activement de signaler un problème grave.
Pour garantir une alerte précoce, le signalement devra être fait dans les 24 heures suivant la détection de la cyberattaque ou de la vulnérabilité numérique.
Centrales nucléaires, transports, hôpitaux
Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.
Il y a aussi les services informatiques et de télécommunications, la SSR et les agences de presse, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services numériques et fabricants informatiques.