23.3995 · Interpellation · 2023-09-13
Département des finances
Liquidé
Wortlaut
Je prie le Conseil fédéral de répondre aux questions suivantes:
1.
Le Conseil fédéral est-il aussi d'avis que la loi devrait interdire aux assureurs de prendre en charge les rançons en cas de cyber-attaque et non uniquement le montant occasionné par la réparation des dommages informatiques ?
Si oui, est-il prêt à en informer le public et à modifier en urgence les dispositions légales applicables aux entreprises d'assurance ?
Si non, pourquoi ?
2.
Quelles autres solutions propose-t-il pour endiguer la cybercriminalité ?
3.
Où se situe la Suisse, dans ce contexte, en ce qui concerne la réglementation des cryptomonnaies et des actifs numériques ?
4.
Quel est le risque, selon le Conseil fédéral, que les entreprises et les particuliers trouvent d'autres moyens de se faire extorquer de l'argent par des cybercriminels (paiements en espèces ou en métaux précieux, arrangements internationaux impossibles à retracer pour la Suisse, etc.) ?
5.
Dans quelle mesure la Confédération travaille-t-elle avec d'autres États pour lutter contre ces problèmes ?
6.
La loi devrait-elle être modifiée ? Si oui, quelles dispositions ?
Stellungnahme des Bundesrates
Question 1: Le Conseil fédéral souligne qu’il ne faut en aucun cas verser une rançon à la suite d’une cyberattaque, sous peine de renforcer le modèle d’affaires des cybercriminels. Comme ils l’ont fait observer à plusieurs reprises, les assureurs ont conscience des répercussions négatives de ces versements, et ils ont tout intérêt à les éviter. Le Conseil fédéral considère par conséquent qu’ils prendront les mesures voulues et qu’aucune interdiction ne s’impose en l’espèce. Question 2: La lutte contre la cybercriminalité passe avant tout par l’adoption de mesures de prévention techniques et organisationnelles. Le Centre national pour la cybersécurité renseigne sur celles-ci et mène régulièrement des actions pour sensibiliser les entreprises à l’importance de la protection contre les cyberattaques. Dans le rapport qu’il établira en réponse au postulat 21.4512, le Conseil fédéral traitera la question de savoir si et comment des mesures supplémentaires telles que l’introduction de normes minimales contraignantes ou l’imposition d’une obligation de signaler les versements de rançons pourraient être mises en œuvre. Questions 3 et 4: Des explications concernant les mesures qui sont prises pour réduire les risques liés aux cryptomonnaies figurent dans l’avis du Conseil fédéral sur la motion 21.4068. Dans le passé, les cybercriminels ont toutefois démontré une très grande créativité dans l’élaboration de nouvelles méthodes d’attaque. Ils ont pour habitude de réagir vite aux mesures qui sont prises pour les contrer et cherchent de nouveaux moyens d’obtenir des rançons de leurs victimes. Question 5: En collaboration avec d’autres États, la Confédération s’emploie de manière intensive à combattre la cybercriminalité (cf. réponse à l’interpellation 23.3197). Elle participe ainsi notamment à la Counter Ransomware Initiative. Cette initiative, qui réunit plus d’une trentaine d’États ainsi que l’Union européenne, vise à coordonner la lutte contre la cybercriminalité sur les plans politique et stratégique. Question 6: Comme il l’indique dans sa réponse à l’interpellation 23.3197, le Conseil fédéral estime qu’il est urgent de créer les instruments nécessaires à la collecte de preuves électroniques au-delà des frontières nationales, et il est déjà en train d’examiner la question d’une éventuelle modification de la législation en vigueur. Par ailleurs, la motion 18.3592, qui porte sur la création de dispositions légales autorisant l’échange de données entre corps de police, est en cours de mise en œuvre. Enfin, le Conseil fédéral se déterminera sur la nécessité, ou non, de mesures supplémentaires sur la base des rapports qui seront établis en réponse aux postulats 21.4512 et 22.3145.