22.4344 · Interpellation · 2022-12-13
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Un incident qui s'est produit il y a quelques semaines en Allemagne doit nous alerter. Des saboteurs ont en effet sectionné à plusieurs endroits des lignes destinées au réseau radio des chemins de fer. Le trafic a été interrompu et la communication entre les conducteurs de locomotives et les centres de contrôle a été coupée.
Un scénario similaire pourrait se produire à n'importe quel autre endroit. Or, chez nous, en Suisse, au niveau fédéral, la sécurité et la confiance au travail sont vus comme essentiels.
Il existe cependant encore des locaux et des bâtiments où les employés de la Confédération travaillent et doivent pouvoir mener des entretiens confidentiels, mais où il n'est pas toujours garanti qu'ils constituent un environnement sécurisé. D'autres entreprises peuvent travailler dans le même bâtiment et les lignes informatiques de ces entreprises aboutir dans la même salle de serveurs que celles de nos services fédéraux. Aussi un acte de sabotage ou une écoute ciblée ne peuvent-ils être exclus d'emblée.
C'est dans ce contexte que je prie le Conseil fédéral de bien vouloir répondre aux questions suivantes :
1. La Confédération dispose-t-elle d'une synthèse qui lui permet de savoir si tous les offices sensibles peuvent travailler de manière sûre ?
2. Existe-t-il des indices qui font soupçonner que d'autres États mènent des activités secrètes dans l'environnement de la Confédération ?
3. Lorsqu'il y a plusieurs locataires (Confédération et externes) dans un bâtiment, y a-t-il ou y a-t-il eu un contrôle officiel de ces personnes ou entreprises ?
4. Quelles mesures ont-elles été prises à ce jour pour garantir que tous les offices sensibles puissent travailler de manière sûre ?
5. Les offices et services font-ils l'objet d'une différenciation ou d'une classification s'agissant de l'environnement de confiance ou du niveau de sécurité qui doit être établi pour l'exercice de leur action ?
6. Les mesures prises à ce jour sont-elles jugées suffisantes pour pouvoir garantir une protection effective contre les risques de sabotage ou d'écoute ?
Stellungnahme des Bundesrates
1. Non, il n'existe pas de vue d'ensemble consolidée de la Confédération quant aux offices sensibles en termes de sécurité et à leur niveau de sécurité. Les offices fédéraux sont eux-mêmes responsables de leur sécurité. Dans le cadre de leur gestion des risques, ils doivent évaluer les risques d'écoutes illicites et de sabotage et mettre en oeuvre les mesures de sécurité nécessaires. En cas de risque accru pour la sécurité, ils en informent leur département, qui peut exiger des mesures supplémentaires.
2. Oui, il existe des indices concrets de tentatives de mise sur écoute dans des bâtiments de la Confédération en Suisse comme à l'étranger. Des informations supplémentaires sont contenues dans le rapport " La Sécurité de la Suisse 2022 " du Service de renseignement de la Confédération ( https ://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-89472.html) .
3. Non, il n'existe pas de contrôle institutionnalisé des personnes et entreprises externes dans le cas de locations partagées. Les bases légales nécessaires font défaut. Les offices fédéraux doivent évaluer les risques liés à une location partagée et décider s'ils sont acceptables.4. Les mesures de la Confédération destinées à la protection contre les écoutes illicites et le sabotage sont appliquées à différents niveaux :
- L'ordonnance concernant la protection des informations (RS 510.411) et l'ordonnance sur les cyberrisques (RS 120.73) définissent, en fonction des risques, les mesures de protection des informations classifiées et des moyens informatiques contre les écoutes et le sabotage. Si des informations sensibles sont traitées ou que des moyens informatiques sensibles sont utilisés, les offices doivent procéder à une analyse des risques et, sur cette base, élaborer un concept de sécurité. Ce dernier définit notamment les mesures à prendre dans les domaines de l'organisation, du personnel, de la technique et de l'architectonique pour garantir la protection contre les écoutes et le sabotage.
- L'ordonnance sur la protection des personnes et des bâtiments relevant de la compétence fédérale (RS 120.72) règle les mesures de protection des bâtiments de l'administration fédérale. L'Office fédéral de la police (fedpol) évalue les risques auxquels sont exposés les bâtiments, les installations et les équipements qui relèvent de sa compétence, détermine un niveau d'exposition pour chacun d'entre eux et fixe les objectifs de protection. Se basant sur cette analyse des risques, l'Office fédéral des constructions et de la logistique établit la planification des mesures architectoniques et techniques et convient avec fedpol de la planification définitive des mesures. En outre, fedpol recommande des mesures de sécurité organisationnelles aux titulaires du droit de domicile. Ceux-ci décident des mesures architectoniques, techniques et organisationnelles à mettre en oeuvre. Pour les bâtiments, les ouvrages et les installations du Groupement Défense, le domaine Sécurité intégrale de l'État-major de l'armée établit des concepts de sécurité intégrale dans lesquels sont définies les mesures à mettre en oeuvre.
- L'ordonnance sur les contrôles de sécurité relatifs aux personnes (RS 120.4) règle les contrôles de sécurité auxquels sont soumis les employés de la Confédération, les militaires et les tiers qui accomplissent des tâches de la Confédération sensibles en matière de sécurité. Le contrôle de sécurité relatif aux personnes sert tout particulièrement à la protection contre les écoutes et les sabotages effectués par des personnes agissant de l'intérieur.
- Le Service de renseignement de la Confédération et le Renseignement militaire informent respectivement les offices et le Groupement Défense lorsqu'ils disposent d'indices d'une menace concrète.
5. Sur la base de son analyse des risques, fedpol classe les bâtiments de l'administration fédérale civile en quatre niveaux d'exposition, avec à chaque fois des objectifs de protection et des mesures de sécurité différents. À l'intérieur des bâtiments, les locaux sont répartis en différentes zones en fonction de la sensibilité de l'activité ou du contenu en termes de sécurité. Les salles de serveurs, par exemple, sont généralement désignées comme des zones de sécurité et font l'objet d'une protection particulière. En fin de compte, c'est le détenteur du droit de domicile qui décide de la mise en oeuvre des mesures. Des concepts de zones similaires s'appliquent aux bâtiments militaires.
6. Dans la mesure où les offices appliquent systématiquement les directives et les mesures de la Confédération en matière de sécurité de l'information et des objets, une protection adéquate est garantie contre les écoutes illicites et le sabotage. Les menaces sont toutefois devenues plus complexes avec la numérisation croissante, la mise en réseau et la miniaturisation des moyens d'écoute. La tendance aux bureaux ouverts et aux formes de travail mobiles constitue en outre un autre défi. Il incombe aux offices, dans le cadre de leur gestion des risques, d'observer l'évolution des menaces, de vérifier et de remettre régulièrement en question l'efficacité des mesures de protection et de former leurs collaborateurs. Ils sont soutenus dans cette tâche par les organes de sécurité de la Confédération.
Les mesures de protection de la Confédération contre les écoutes illicites et le sabotage seront actualisées dans le cadre de la mise en oeuvre de la loi du 18 décembre 2020 sur la sécurité de l'information. Cette dernière devrait entrer en vigueur avant la fin de l'année 2023.
Réponse du Conseil fédéral.