24.4014 · Interpellation · 2024-09-25
Département de la défense, de la protection de la population et des sports
Liquidé
Wortlaut
Les cyberattaques font courir un risque considérable aux infrastructures critiques de notre pays, et donc également à la population. En septembre 2023, le Parlement a adopté une révision de la loi sur la sécurité de l’information (LSI) qui fait obligation, à partir du 1er janvier 2025, de signaler les cyberattaques contre les infrastructures critiques. Le nouvel art. 73a LSI charge ainsi l’Office fédéral de la cybersécurité (OFCS) de réceptionner et de traiter les signalements concernant les cyberincidents et les cybermenaces.
Le système de santé, en particulier les hôpitaux, est l’une des infrastructures critiques les plus sensibles. Pour mieux protéger ce secteur, l’OFCS a lancé le projet « Healthcare – Cyber Security Centre », qui est en cours de mise en œuvre. L’objectif est de mieux protéger les hôpitaux contre les cyberattaques.
Dans ce contexte, je prie le Conseil fédéral de répondre aux questions suivantes :
Entend-il renforcer le budget et le personnel de l’OFCS, puisque la révision de la LSI devrait alourdir sa charge de travail ?
Les hôpitaux sont-ils actuellement bien protégés contre les cyberattaques ?
Le projet « Healthcare – Cyber Security Centre » s’est-il bien déroulé jusqu’à présent ? La collaboration avec les cantons et les hôpitaux sur ce projet est-elle bonne ?
Serait-il judicieux d’un point de vue sécuritaire de définir pour les hôpitaux des standards minimaux ou de bonnes pratiques contre les cyberattaques ? Quelle serait la meilleure manière de procéder pour introduire de tels standards minimaux ?
Les hôpitaux doivent être protégés de manière appropriée contre les cyberattaques. Selon le Conseil fédéral, qui assume la responsabilité de cette protection ?
En cas de cyberattaque contre un hôpital, quelle est la répartition des compétences, tant en temps de paix qu’en temps de guerre (déclarée ou non déclarée) ? Quels sont les rôles de l’OFCS, de l’Office fédéral de la police, du Service de renseignement de la Confédération et des cantons ? Les processus et les interfaces permettant la collaboration entre ces institutions sont-ils clairement définis ?
Stellungnahme des Bundesrates
1) En créant l’Office fédéral de la cybersécurité (OFCS), le Conseil fédéral a décidé de renforcer la cybersécurité civile. Il a fortement augmenté les ressources en personnel de l’OFCS. Depuis 2020, le nombre de collaboratrices et de collaborateurs est passé de 28 (au sein du Centre national de cybersécurité de l’époque) à 67 actuellement. Cette augmentation d’effectif a déjà permis d’anticiper les tâches supplémentaires que l’OFCS sera amené à endosser avec la révision de la loi sur la sécurité de l’information (LSI ; RS 128). Le Conseil fédéral examinera si l’augmentation des ressources en personnel est suffisante pour que l’OFCS puisse assumer pleinement ses tâches. 2) Les hôpitaux font partie des infrastructures critiques de la Suisse, raison pour laquelle leur protection contre les cybermenaces constitue une priorité absolue. Au cours des cinq dernières années, les cyberattaques menées contre des hôpitaux suisses n’ont eu que des effets sporadiques. Durant la même période, d’autres pays (p. ex. la France et l’Angleterre) ont connu plusieurs cyberattaques entraînant des conséquences directes sur le fonctionnement de grands hôpitaux. Cela montre que les hôpitaux suisses sont relativement bien protégés. Toutefois, les défis restent importants et la protection contre les cybermenaces doit encore être renforcée. 3) Le projet « Healthcare - Cyber Security Center » du secteur de la santé rassemble les forces des hôpitaux suisses, de l’OFCS et d’autres acteurs pour renforcer la cybersécurité. Le projet en est à sa phase initiale, mais il montre déjà des progrès prometteurs grâce à la collaboration efficace de tous les participants. 4 et 5) Les normes et les bonnes pratiques sont des facteurs importants pour le renforcement de la cybersécurité. Il en existe déjà pour le secteur de la santé. Pour les hôpitaux, l’association H+ a défini des lignes directrices fixant des exigences minimales pour la sécurité informatique des systèmes tiers. L’OFCS a également publié en 2022 des bonnes pratiques pour le secteur de la santé, en concertation avec la Conférence suisse des directrices et directeurs de la santé (CDS). La responsabilité de la cybersécurité incombe aux hôpitaux eux-mêmes. En vertu de l’art. 74 de l’ordonnance sur les dispositifs médicaux (RS 812.213), ils sont tenus de protéger les dispositifs pouvant être mis en réseau contre les cybermenaces, conformément à l’état de la technique. Les cantons édictent des directives pour les hôpitaux répertoriés et peuvent s’orienter sur les lignes directrices et les bonnes pratiques existantes recommandées par les associations et l’OFCS. Ainsi, des normes sont introduites tout en préservant les compétences existantes. 6) Oui, la répartition des tâches est réglée et établie indépendamment de la situation : l’OFCS soutient les hôpitaux à titre subsidiaire en cas de cyberattaques (art. 74 LSI). Le Service de renseignement de la Confédération est responsable de la détection précoce et de la prévention des cybermenaces (art. 6, al. 1, let. a, ch. 4, LRens ; RS 121) et peut, en vertu des art. 26, al. 1, let. d, ch. 2, et 37, al. 2, LRens, prendre des mesures pour détecter les systèmes informatiques utilisés pour attaquer les exploitants d'infrastructures critiques. Les autorités cantonales ou, en cas de compétence fédérale en vertu des art. 23 et 24 du Code de procédure pénale (RS 312), le Ministère public de la Confédération, conjointement avec la Police judiciaire fédérale, sont compétents en matière de poursuite pénale.