22.3415 · Interpellation · 2022-05-09
Département des finances
Liquidé
Wortlaut
D'une importance capitale pour la Suisse, les infrastructures critiques englobent tous les systèmes sociaux et techniques qui sont indispensables au bon fonctionnement d'une société démocratique. Or, les infrastructures critiques dans le domaine des TIC se retrouvent de plus en plus souvent dans la ligne de mire des cybercriminels, comme lors de l'attaque par rançongiciel contre Swissport ou lors de cyberattaques contre des communes suisses. De même, l'inquiétude grandit à l'égard de certains fournisseurs à propos du manque de transparence sur les aspects sécuritaires ou à propos des risques géopolitiques.
Afin de garantir en permanence l'intégrité des infrastructures critiques et la sécurité de l'approvisionnement de la Suisse, il faut accorder davantage d'importance aux aspects de sécurité et de transparence dès l'acquisition de TIC. Cette situation soulève les questions suivantes :
a. Le Conseil fédéral partage-t-il l'avis selon lequel, lors de l'acquisition de TIC dans le domaine des infrastructures critiques, les aspects liés à la sécurité doivent être considérés dans leur intégralité et pris en compte lors de l'adjudication, en plus du prix et de la prestation ?
b. Est-il disposé à examiner si les exploitants d'infrastructures critiques doivent aussi respecter des paramètres d'évaluation tels que les compétences en matière de formation et de surveillance, des ressources en personnel suffisantes, le savoir-faire tout au long du cycle de vie et en matière d'architecture globale ainsi que la transparence et la vérifiabilité ?
c. Estime-t-il lui aussi que la sécurité des systèmes peut être améliorée grâce à des informations transparentes sur le fournisseur/fabricant, sur les processus de développement et de production, sur le code source sous-jacent, sur la chaîne d'approvisionnement et, enfin, sur le cycle de vie (développement, production, intégration, exploitation et mise hors service) ?
d. Quel regard porte-t-il sur la création d'un organisme de contrôle national qui serait indépendant (Empa TI) et qui pourrait contrôler tout le processus d'acquisition d'infrastructures critiques, c'est-à-dire en tenant compte d'un plus grand nombre de paramètres d'évaluation ?
Begründung
D'une importance capitale pour la Suisse, les infrastructures critiques englobent tous les systèmes sociaux et techniques qui sont indispensables au bon fonctionnement d'une société démocratique. Or, les infrastructures critiques dans le domaine des TIC se retrouvent de plus en plus souvent dans la ligne de mire des cybercriminels, comme lors de l'attaque par rançongiciel contre Swissport ou lors de cyberattaques contre des communes suisses. De même, l'inquiétude grandit à l'égard de certains fournisseurs à propos du manque de transparence sur les aspects sécuritaires ou à propos des risques géopolitiques.
Afin de garantir en permanence l'intégrité des infrastructures critiques et la sécurité de l'approvisionnement de la Suisse, il faut accorder davantage d'importance aux aspects de sécurité et de transparence dès l'acquisition de TIC. Cette situation soulève les questions suivantes :
a. Le Conseil fédéral partage-t-il l'avis selon lequel, lors de l'acquisition de TIC dans le domaine des infrastructures critiques, les aspects liés à la sécurité doivent être considérés dans leur intégralité et pris en compte lors de l'adjudication, en plus du prix et de la prestation ?
b. Est-il disposé à examiner si les exploitants d'infrastructures critiques doivent aussi respecter des paramètres d'évaluation tels que les compétences en matière de formation et de surveillance, des ressources en personnel suffisantes, le savoir-faire tout au long du cycle de vie et en matière d'architecture globale ainsi que la transparence et la vérifiabilité ?
c. Estime-t-il lui aussi que la sécurité des systèmes peut être améliorée grâce à des informations transparentes sur le fournisseur/fabricant, sur les processus de développement et de production, sur le code source sous-jacent, sur la chaîne d'approvisionnement et, enfin, sur le cycle de vie (développement, production, intégration, exploitation et mise hors service) ?
d. Quel regard porte-t-il sur la création d'un organisme de contrôle national qui serait indépendant (Empa TI) et qui pourrait contrôler tout le processus d'acquisition d'infrastructures critiques, c'est-à-dire en tenant compte d'un plus grand nombre de paramètres d'évaluation ?
Stellungnahme des Bundesrates
Question a.: Le Conseil fédéral a souligné la nécessité d'adopter une approche globale en matière de sécurité dans sa stratégie nationale pour la protection des infrastructures critiques. Aussi les exploitants de ces infrastructures devraient-ils, lorsque leurs projets d'acquisition l'imposent, connaître les risques que comportent leurs chaînes d'approvisionnement et tenir compte de ces derniers. Dans cette optique, ils peuvent par exemple recourir à des analyses des aspects liés à la politique de sécurité des fournisseurs et de leurs produits ou encore inclure des critères de sécurité dans le cahier des charges de l'appel d'offres. Pour les exploitants qui y sont soumis, le droit des marchés publics admet l'utilisation de critères de ce type. L'égalité de traitement des soumissionnaires doit toutefois être garantie. Il n'est donc pas possible de restreindre de facto le marché à une poignée de soumissionnaires pour des raisons de sécurité d'ordre général.
Question b.: Le Conseil fédéral est disposé à examiner si, dans certains cas, des prescriptions supplémentaires en matière d'acquisition de TIC sont nécessaires et si celles-ci devraient figurer dans le cahier des charges de l'appel d'offres. Il estime toutefois qu'au vu des grandes disparités qui existent entre les exploitants d'infrastructures critiques et de la variété des secteurs concernés, l'élaboration de prescriptions générales n'est pas indiquée. Il est dans l'intérêt économique des exploitants d'infrastructures critiques d'appliquer les critères de sécurité pertinents dans le cadre de leurs projets d'acquisition. Des prescriptions générales ne tiendraient guère compte de la complexité des processus d'acquisition, qu'elles ralentiraient tout en engendrant des coûts supplémentaires. En outre, elles constitueraient une atteinte à la liberté économique des adjudicateurs privés.
Question c.: Oui, le Conseil fédéral partage cet avis.
Question d.: Le Conseil fédéral reconnaît que les capacités de contrôle doivent être développées en Suisse. En l'occurrence, la mise en place d'un organisme indépendant est en cours dans le canton de Zoug sous la forme d'un institut national de test pour la cybersécurité (NTC). Le Centre national pour la cybersécurité apporte son expertise à ce projet. L'objectif du NTC est de fournir une assistance aux entreprises et aux autorités en proposant des contrôles de sécurité avancés pour les systèmes et les applications informatiques. L'institut a fait ses preuves, entre autres, avec le contrôle des fonctionnalités et de la sécurité du système de certificat COVID suisse.
Réponse du Conseil fédéral.