Lexipedia

24.4398 · Interpellation · 2024-12-18

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

Il y a un an, le Conseil fédéral a répondu à l’interpellation 23.3689 (« Les systèmes de sécurité informatique de la Confédération face à la menace de l’informatique quantique ») et, en novembre 2024, à l’interpellation 24.4215, qui concernait la Suisse de manière générale. Les questions suivantes se posent concernant la Confédération :

  1. Quelle est la stratégie adoptée par cette dernière pour la mise en œuvre et le passage à la cryptographie post-quantique des systèmes de la Confédération et des infrastructures critiques ?

  2. Comment les données et les systèmes concernés (et leurs risques et systèmes cryptographiques) sont-ils identifiés ?

  3. Une attention particulière est-elle accordée aux scénarios requérant une réaction rapide, tels que la stratégie consistant à récolter des données pour les déchiffrer plus tard (« harvest now/decrypt later ») ?

  4. Quelles sont les prescriptions applicables aux systèmes et produits de la Confédération (passeport suisse compris) qui sont menacés et pour lesquels les processus d’adaptation seront longs ?

  5. Comment la Confédération et les entreprises fixent-elles les priorités pour la migration des systèmes et des produits ? Des lignes directrices sont-elles élaborées ?

  6. Comment la Confédération gère-t-elle les nouvelles acquisitions qui seront déployées dans les années à venir et qui sont concernées par ce problème ? Y a-t-il déjà des prescriptions à respecter pour que les systèmes soient prêts et pour éviter une nouvelle implémentation ? (Je pense notamment au projet Swiss Government Cloud et à l’infrastructure de confiance pour l’e-ID.)

  7. Qui est responsable de la stratégie en matière de cryptographie post-quantique au sein de la Confédération ?

  8. De qui relèvent, au sein de la Confédération, la mise en œuvre et la surveillance de la cryptographie post-quantique ?

  9. Pourquoi la Confédération doit-elle se concentrer sur la cryptographie post-quantique ou les normes de distribution quantique de clés ?

Begründung

L’arrivée d’ordinateurs quantiques performants est proche, tout comme les problèmes de sécurité qui l’accompagneront. Les technologies actuelles de chiffrement ne seront alors plus sûres. Jusqu’ici, les ordinateurs avaient besoin de plusieurs années pour déchiffrer des données chiffrées. Mais la situation va radicalement changer avec l’arrivée des ordinateurs quantiques, lesquels rendront les chiffrements vulnérables. Des criminels volent à l’heure actuelle déjà des données chiffrées dans l’espoir de pouvoir les déchiffrer un jour au moyen de la technologie quantique.

En avril 2024, les États membres de l’UE ont été invités à élaborer une stratégie globale pour l’adoption de la cryptographie post-quantique, afin de garantir une transition coordonnée et synchronisée entre les différents États membres et leurs secteurs publics.

Stellungnahme des Bundesrates

1, 2 et 5) La protection cryptographique des informations est un élément central de la sécurité de l’information. Le niveau de protection nécessaire est déterminé par la classification des informations conformément à l’art. 13 de la loi sur la sécurité de l’information (LSI ; RS 128). Lors du traitement d’informations à l’aide de moyens informatiques, il faut en outre déterminer le besoin de protection des informations, d’où découlent les exigences techniques et organisationnelles en matière de sécurité de ces moyens (art. 16 à 19 LSI). Ces procédures sont également appliquées pour déterminer quelle protection cryptographique est nécessaire et constituent la base des décisions relatives aux éventuelles priorités à fixer lors de la mise en œuvre de solutions sûres face à la menace de l’informatique quantique. Dans sa réponse à l’interpellation 23.3689, la Conseil fédéral a présenté les mesures en vigueur pour le chiffrement d’informations classifiées SECRET. 3) En ce qui concerne la stratégie « harvest now / decrypt later », il convient de noter que la Confédération n’a jamais été d’avis qu’une protection cryptographique seule serait suffisante pour garantir pleinement la sécurité d’informations classifiées tout au long de leur cycle de vie. L’accès à de telles informations doit être protégé par d’autres mesures techniques et organisationnelles afin que ces informations ne puissent pas être dérobées par des personnes non autorisées. Il est donc important que les besoins en matière de protection et de classification des informations soient correctement enregistrés. 4, 6, 7 et 8) Comme la Conseil fédéral l’a déjà expliqué dans sa réponse à l’interpellation 24.4215, les travaux de standardisation en matière de cryptographie pour faire face à la menace de l’informatique quantique progressent au niveau international mais ne sont pas encore assez avancés pour établir des lignes directrices, des calendriers et des objectifs contraignants. Conformément à l’art. 21 et à l’art. 29 de l’ordonnance sur la sécurité de l’information (RS 128.1), le service spécialisé de la Confédération pour la sécurité de l’information, rattaché au Secrétariat d’État à la politique de sécurité, peut émettre de telles directives. Il s’appuie pour cela sur l’expertise de l’Office fédéral de la cybersécurité, du service cryptographique de l’armée et du Cyber-Defence Campus de l’Office fédéral de l’armement (armasuisse). Les départements garantissent la mise en œuvre des directives du service spécialisé et procèdent à des vérifications. Les directives indiquent le niveau de protection minimal qui doit être respecté lors de l’exploitation et de l’acquisition. 9) La Confédération met l’accent sur la cryptographie post-quantique. Les méthodes utilisant une distribution de clés quantiques n’offrent pas de solution viable, du moins au stade actuel de développement, et ne sont pas non plus recommandées par la plupart des organismes internationaux spécialisés.