Lexipedia

24.3111 · Interpellation · 2024-03-07

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

1. Quelle analyse le Conseil fédéral fait-il des cyberattaques significatives qui ont été menées contre le DDPS, l’armée, RUAG, fedpol, l'OFDF ou encore l'OFPP, ainsi que leurs installations et fournisseurs durant la dernière législature et jusqu’aujourd’hui ?

2. A-t-il été procédé à une analyse de nos faiblesses ?

3. Quels sont les plans de protections, et qui en assume la responsabilité de leur mise en oeuvre au sein

  • de l’armée ?

  • du reste du DDPS ?

  • de l'OFPP ?

  • de fedpol ?

  • de l'OFDF ?

  • de RUAG ?

4. Quel est exactement le rôle de l’Office fédéral de la cybersécurité (OFCS) ? Quel est son niveau de responsabilité pour chacun des organismes décrits au point 3 et quels sont ses fournisseurs ?

5. Un audit indépendant et très poussé de la cyberprotection de chacun des organismes décrits au point 3 ainsi que de leurs fournisseurs ne devrait-il pas être mené ?

Stellungnahme des Bundesrates

1. et 2. L’armée et l’administration fédérale sont confrontées chaque jour aux cyberattaques, et recourent à des mesures de protection pour repousser ces attaques. Au cours de la dernière législature, il ne s’est produit aucun incident de nature à faire craindre une intrusion dans les réseaux de l’armée, de RUAG ou de l’administration fédérale. Une attaque visant l’entreprise Xplain – et non les réseaux de la Confédération – a toutefois eu des conséquences non négligeables : des données sensibles voire classifiées de la Confédération, en possession de cette entreprise, ont été dérobées. En date du 23 août 2023, le Conseil fédéral a ordonné une enquête administrative sur ce cas. L’enquête doit également établir les processus à renforcer au sein de l’administration fédérale pour minimiser ce genre de risques. 3. et 5. L’ordonnance sur la sécurité de l’information (OSI, RS 128.1) est entrée en vigueur au 1er janvier 2024. Ce texte régit les procédures appliquées par les unités de l’administration fédérale pour protéger leurs données et leurs moyens informatiques. Les unités sont tenues d’améliorer leur gestion de la sécurité, en actualisant régulièrement leurs concepts de sécurité et en présentant dans un plan annuel la manière dont elles entendent contrôler – à l’interne et chez les prestataires externes – le respect des prescriptions (planification annuelle de contrôle et d’audit, art. 13, al. 1, OSI). Rattaché au Secrétariat d’État à la politique de sécurité (SEPOS), le service spécialisé de la Confédération pour la sécurité de l’information effectue un relevé des besoins en matière de contrôle et d’audit, et peut lui-même effectuer des vérifications (art. 13, al. 3 et 4, OSI). Le SEPOS contrôle régulièrement les fournisseurs sensibles de la Confédération et procède à un audit au besoin. 4. L’Office fédéral de la cybersécurité (OFCS) est le centre de compétence suisse pour la cybersécurité. Ses tâches et fonctions sont décrites dans l’ordonnance sur l’organisation du Département fédéral de la défense, de la protection de la population et des sports (Org-DDPS, RS 172.214.1) et dans l’OSI. Rattaché au SEPOS, un service spécialisé se consacre à la sécurité de l’information pour l’ensemble de la Confédération, notamment en émettant des prescriptions et en exerçant la surveillance (voir réponses 3. et 5). Cette unité est mise en place par étapes en 2024, de concert avec l’OFCS, celui-ci étant compétent jusqu’à l’été 2025 pour les prescriptions et la surveillance (art. 51 OSI, Dispositions transitoires). Dès ce moment-là, les tâches de l’OFCS pour l’armée et l’administration fédérale se concentrent sur les conseils techniques en matière de cybersécurité. Cet office continuera néanmoins à leur proposer son aide pour le comblement de lacunes et le traitement des incidents. Dans les cas graves, il pourra se charger de la coordination, sur décision du SEPOS et d’entente avec l’unité et le département concernés. Il se consacrera aussi à la recherche de menaces et de vulnérabilités techniques dans la structure informatique de l’administration fédérale.

Cyberattaques à répétition dans le secteur défense et sécurité | Lexipedia | Lexipedia