Lexipedia

Pour une norme informatique contraignante minimale visant à améliorer la résilience en cas de cybermenaces en Suisse

25.3149 · Interpellation · 2025-03-19

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

  • Pourquoi n’existe-t-il pas encore en Suisse de norme informatique minimale pour les infrastructures critiques, alors que d’autres pays en mettent en place (p. ex., NIS2 / DORA dans l’UE) ? Que pense le Conseil fédéral des risques qui découlent de ce vide normatif ?

  • Quelles possibilités réglementaires envisage-t-il pour fixer des exigences minimales uniformes en matière de cybersécurité dans les infrastructures critiques ?

  • Depuis le mois de mars 2024, l’Office fédéral de la cybersécurité (OFCS) est responsable des normes informatiques minimales, mais ses compétences actuelles se limitent à émettre des recommandations. Les associations sectorielles sont libres de déclarer obligatoires ces normes ou leurs propres normes. Le Conseil fédéral estime-t-il que cette approche décentralisée qui ne fixe aucune obligation générale est adéquate et adaptée à notre époque ?

  • Comment évalue-t-il la résilience actuelle des infrastructures critiques par rapport aux cyberattaques ? Sur quelle base repose son évaluation et à quelle fréquence évalue-t-il la situation ?

  • Les cyberrisques sont-ils systématiquement recensés dans les différents secteurs des infrastructures critiques ? Comment le recensement des cyberincidents (obligation d’annoncer) contribuera-t-il à définir des mesures concrètes ou des exigences minimales ?

  • Comment le Conseil fédéral s’assure-t-il que la Suisse ne devienne pas le « maillon faible » des réseaux numériques internationaux ?

  • Quelles sont les mesures prévues pour harmoniser la cyberstratégie suisse avec les normes internationales (p. ex. UE NIS2, ISO 27001, NIST Cybersecurity Framework) ?

  • Le Conseil fédéral est-il d’avis que le guichet national pour la cybersécurité (OFCS, NCSC) dispose de suffisamment de ressources humaines et financières pour faire face efficacement aux cybermenaces ?

  • Pense-t-il que ce guichet national ou le Secrétariat d’État à la politique de sécurité (SEPOS) et la FINMA ont les compétences et les pouvoirs nécessaires pour faire face efficacement aux cybermenaces ou pour exiger et vérifier les mesures nécessaires ?

Begründung

Les infrastructures critiques, comme l’approvisionnement énergétique, le domaine de la santé, le système financier ou les transports, sont des cibles de choix pour les cyberattaques. Une norme informatique minimale actuelle pourrait garantir que les exploitants mettent en place les mesures de protection de base afin de réduire les risques au maximum.

Stellungnahme des Bundesrates

S’agissant de la standardisation, la Suisse adopte une approche décentralisée, qui fixe en fonction du secteur les normes en matière de cybersécurité et la façon de les appliquer. Il serait toutefois faux de dire que ces normes ne sont pas contraignantes pour les différentes branches. Par exemple, en vertu de l’ordonnance sur l’approvisionnement en électricité (OApEl ; RS 734.71), la norme minimale TIC est contraignante depuis le 1er juillet 2024 pour beaucoup d’entreprises qui assurent l’approvisionnement en électricité. Dès juillet 2025, ce sera aussi le cas pour les sociétés d’approvisionnement en gaz. Dans d’autres secteurs, les organes de surveillance se fondent également sur des normes pour évaluer la mise en œuvre des dispositions générales relatives à la sécurité et à la gouvernance dans les lois correspondantes. L’Autorité fédérale de surveillance des marchés financiers (FINMA) a notamment, dans plusieurs circulaires et communications, fait part de ses attentes concernant le respect des normes en matière de cybersécurité. Quant à l’Office fédéral des transports (OFT), il se base pour ses tâches de surveillance sur des normes existantes. Enfin, l’ordonnance sur la sécurité de l’information (OSI ; RS 128.1) fixe de manière contraignante les éléments centraux des normes pertinentes pour les unités administratives de l’administration fédérale et l’armée.L’avantage de cette approche décentralisée est qu’il est possible de prendre en compte les spécificités de chaque secteur et de recourir aux processus de surveillance existants. Les organes compétents peuvent intégrer les contrôles relatifs à la cybersécurité dans leurs pratiques. Sur le plan technique, ces organes bénéficient du soutien de l’Office fédéral de la cybersécurité (OFCS), qui veille, via la norme minimale pour améliorer la résilience informatique, à ce que la standardisation soit coordonnée entre les différents secteurs et à ce que les normes soient développées de concert avec les parties concernées. L’OFCS garantit également la conformité des prescriptions avec les normes internationales. Dans ce contexte, il n’a pas besoin d’être doté d’un pouvoir d’instruction vu que cela reste de la compétence des autorités de surveillance. Le Secrétariat d’État à la politique de sécurité (SEPOS) et la FINMA ont en revanche un pouvoir d’instruction direct par rapport aux unités administratives et à l’armée (secteur financier). Vu l’évolution dynamique de la situation en matière de cybermenaces, la résilience des infrastructures critiques doit être réévaluée en permanence dans les secteurs concernés. Les indicateurs permettant une telle évaluation sont les suivants : mise en œuvre de mesures de protection, temps de réaction pour remédier aux vulnérabilités et nombre de cyberattaques réussies ainsi que leurs impacts. L’obligation de signaler les cyberattaques portées aux infrastructures critiques, entrée en vigueur au 1er avril 2025, permettra à l’OFCS d’avoir une meilleure vue d’ensemble des cyberattaques réussies (dernier indicateur susmentionné). Les défis posés par les cybermenaces restent de taille pour tous les acteurs impliqués. Il n’y a toutefois aucun signe indiquant que les entreprises suisses seraient, en comparaison internationale, moins bien protégées. Dans le cadre de ses compétences, le Conseil fédéral continuera à encourager l’application de normes en matière de cybersécurité. Il évalue donc en continu la nécessité d’édicter des prescriptions légales supplémentaires et d’allouer davantage de moyens financiers aux services compétents de l’OFCS. Dans le cadre de la mise en œuvre de mesures de protection contre les cybermenaces, une collaboration étroite et empreinte de confiance entre les autorités et les entreprises est tout aussi importante que l’introduction de normes et le contrôle de leur respect.