Lexipedia

23.3755 · Interpellation · 2023-06-15

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

1. Les dernières attaques de hackeurs connues contre des communes, des cantons, la Confédération et leurs prestataires sont-elles graves ? Que faut-il en penser ?

2. Les apparences sont-elles trompeuses, ou la fréquence et l'intensité des attaques abouties ont effectivement augmenté ?

3. Il y a peu, notre Monsieur cybersécurité, Florian Schütz, et le Centre national pour la cybersécurité ont donné une bonne note à la Confédération et aux cantons quant à leur cyberprotection. Comment faut-il comprendre cela à la lumière des événements de ces derniers jours, semaines et mois ?

4. Y a-t-il un lien avec le discours de Volodymyr Zelensky ou avec la guerre ?

5. Sommes-nous déjà engagés dans une cyberguerre sans en avoir conscience ?

6. Comment les cas présentés sont-ils traités ? Quels enseignements pouvons-nous en tirer ?

7. Connaissons-nous les dégâts que cela cause ? Sur le plan économique, mais aussi dans le cas du piratage de XPLAIN ou de la fuite de données opérationnelles des autorités de sécurité, quelles sont les conséquences pour notre architecture de sécurité et notre avenir ?

Stellungnahme des Bundesrates

1) Parmi les cyberattaques qui ont été signalées en mai et en juin 2023, il faut faire la distinction entre celles qui visaient la disponibilité des sites Internet de la Confédération et des cantons et l’attaque par rançongiciel contre Xplain. Les premières revêtent certes un caractère exceptionnel en raison du nombre élevé de sites Internet qu’elles ont ciblé et de leur lien avec la guerre contre l’Ukraine explicitement revendiqué par les auteurs. Toutefois, elles ont pu être maîtrisées rapidement et n’ont à aucun moment menacé la sécurité de la Suisse. Il n’y a jamais eu de risque que des informations confidentielles ou secrètes de la Confédération ou des cantons soient dérobées ou divulguées. Ces attaques ne peuvent donc pas être qualifiées de graves. En revanche, la cyberattaque contre l’entreprise Xplain a entraîné le vol et la publication de données sensibles et doit donc être considérée comme nettement plus grave.

2) La fréquence des cyberattaques contre les entreprises et les administrations publiques en Suisse a de nouveau augmenté en 2023, après avoir diminué en 2022. Cette tendance s’observe au niveau international et ne concerne pas uniquement la Suisse. On ne peut en tout cas pas parler d’escalade dans ce domaine.

3 et 6) Les attaques visant la disponibilité des sites Internet peuvent être considérées comme du vandalisme numérique. Elles ne compromettent la cybersécurité de la Confédération que dans une moindre mesure, raison pour laquelle le risque qui en découle a été jugé acceptable. Le Centre national pour la cybersécurité procédera à une analyse de ces attaques afin de déterminer si des mesures doivent être prises.

Même si la cyberattaque contre Xplain n’a pas touché l’infrastructure informatique de la Confédération et des cantons, elle montre clairement que la cybersécurité doit être améliorée sur le plan de la gestion des fournisseurs. La Confédération et les cantons doivent davantage veiller à ce que les sous-traitants respectent également les normes de sécurité de la Confédération. La loi sur la sécurité de l’information, qui devrait entrer en vigueur le 1er janvier 2024, offre une base légale à cet effet. Elle fixe les procédures de sécurité lors de l’utilisation de moyens informatiques (art. 16) et renforce, grâce à la procédure de sécurité relative aux entreprises (art. 49 à 73), les moyens dont dispose la Confédération pour contrôler la sécurité de l’information au sein des entreprises auxquelles elle confie des mandats sensibles.

4) Selon les dires des cybercriminels, les attaques contre la disponibilité des sites Internet de la Confédération et des cantons ont un lien politique direct avec la guerre contre l’Ukraine. Le discours du président ukrainien Volodymyr Zelensky tenu le 15 juin 2023 devant le Parlement suisse a également été évoqué. Comme l’indiquent leurs propos, les cybercriminels ont principalement des visées de propagande et veulent faire croire que la Suisse est engagée dans une cyberguerre.

5) Non. Le Conseil fédéral prend très au sérieux la menace des cyberattaques. Qualifier ces attaques de cyberguerre est excessif, car cela conforte les cybercriminels dans leur intention de semer le trouble.

7) Il n’est actuellement pas possible de chiffrer les dommages causés par l’attaque contre Xplain, car les travaux visant le remplacement ou le rétablissement des systèmes touchés ne sont pas encore terminés. Dès que l’attaque a été révélée, les unités administratives concernées ont pris des mesures immédiates pour garantir la sécurité opérationnelle. Elles ont, par exemple, tout de suite bloqué les données d’accès et mots de passe publiés. Le Conseil fédéral a ordonné une enquête administrative dans le but notamment de déterminer les mesures à prendre pour écarter les risques liés aux prestataires externes qui pèsent actuellement sur la sécurité.

Les attaques visant la disponibilité des sites Internet n’ont pas entraîné de perte de données et n’ont causé que des dommages minimes.