Lexipedia

24.3810 · Motion · 2024-06-24

Département de la défense, de la protection de la population et des sports

Transmis au Conseil fédéral

Wortlaut

En Suisse, de nombreux contrôles de cybersécurité urgents et nécessaires d’infrastructures, d’applications et d’appareils interconnectés ne sont pas effectués. Ces contrôles sont indispensables à la protection de la société et au bon fonctionnement de l’économie et des autorités. Le Conseil fédéral est chargé de combler les lacunes critiques concernant l’absence de contrôles de cybersécurité. Pour ce faire, il créera les bases légales nécessaires et mettra à dispositions des moyens financiers.

Begründung

Les récents exemples de vols de données et d’interruptions d’activité graves subis par des autorités, des institutions publiques et des entreprises liées à la Confédération montrent que les cyberattaques constituent une menace réelle dans tous les domaines de la vie publique. Face à la rapidité de la numérisation, la Suisse est exposée à une forte augmentation des menaces dans le domaine de la cybersécurité. Tant la fréquence que le potentiel de dommages et la sophistication technique des attaques ne cessent d’augmenter.

Or, dans le domaine des produits et infrastructures numériques, il n’existe actuellement pratiquement pas de lois ou de normes contraignantes, pas d’exigences minimales à l’échelle nationale et pas de responsabilité du fait des produits pour les logiciels qui soit inscrite dans la loi. Par conséquent, de nombreux produits et applications peu sûrs arrivent sur le marché suisse sans avoir été testés, ce qui permet aux cybercriminels et aux acteurs étatiques opérant au niveau international de les exploiter. Pour une multitude de raisons, ces produits ne sont toutefois pas soumis à un contrôle de sécurité : (1) Pour que l’industrie privée suisse de la cybersécurité, bien développée, effectue de sa propre initiative et à ses frais les contrôles de cybersécurité nécessaires de toute urgence sur les produits, les applications et leurs composants (y compris les logiciels open source), il faudrait qu’elle y soit incitée. (2) Souvent, les responsabilités et les compétences en matière de cybersécurité – notamment au sein des organisations actives dans les nouvelles technologies – ne sont pas suffisamment bien définies ou la sensibilisation est insuffisante. (3) L’Office fédéral de la cybersécurité n’est pas investi d’un tel mandat, notamment pour s’associer les compétences du secteur privé. (4) Dans ces domaines, la réglementation intervient souvent tardivement et vient de l’extérieur. (5) La Suisse ne maintient pas suffisamment de capacités de contrôle neutres et financièrement indépendantes.

Pour assurer durablement la stabilité sociale et économique ainsi que la sécurité et la souveraineté numériques de la Suisse, il faut constamment identifier les produits et composants critiques des infrastructures en réseau, y compris des infrastructures logicielles (frameworks) et des composants open source fréquemment utilisés. Leur cybersécurité doit régulièrement être vérifiée par des organismes indépendants. À cet égard, il est important d’encourager le développement de compétences supplémentaires dans le domaine des vulnérabilités numériques pertinentes pour la sécurité publique et l’approvisionnement du pays.

Antrag des Bundesrates

Adoption

Stellungnahme des Bundesrates

Dans la mesure où les contrôles de cybersécurité demandés concerneraient également des tiers extérieurs à l’administration fédérale, il conviendra d’analyser en détail l’étendue des compétences fédérales pour la mise en œuvre de la motion. Si cette tâche incombe à la Confédération, son financement devra être entièrement assuré par les bénéficiaires, par exemple au moyen de la perception d’émoluments.

Le Conseil fédéral propose d'accepter la motion.

Réalisation de contrôles de cybersécurité urgents et nécessaires | Lexipedia | Lexipedia