Lexipedia

26.3628 · Motion · 2026-06-11

Département de la défense, de la protection de la population et des sports

Déposé

Wortlaut

Le Conseil fédéral est chargé d’élaborer, en collaboration avec les cantons, les hautes écoles, les instituts de recherche, les autorités de surveillance sectorielles et le secteur privé, une feuille de route nationale pour la transition de la Suisse vers la cryptographie post-quantique. Cette feuille de route doit garantir la protection durable des données et des communications sensibles, la résilience des infrastructures critiques, la validité à long terme des signatures et des documents électroniques, l’interopérabilité internationale des systèmes suisses et la compétitivité des entreprises actives sur les marchés internationaux. Elle doit en particulier :

  1. établir, d’ici à fin 2027 au plus tard, une stratégie nationale de migration — c’est-à-dire de remplacement progressif des algorithmes vulnérables — fondée sur les risques, comprenant un inventaire des usages cryptographiques critiques, une cartographie des dépendances, y compris à l’égard des fournisseurs étrangers, et le lancement de projets pilotes pour les cas d’usage présentant un risque élevé ou une longue durée de confidentialité ;

  2. fixer des jalons coordonnés avec les calendriers internationaux pertinents, notamment la migration prioritaire des cas d’usage à haut risque d’ici à fin 2030 et la transition progressive des autres systèmes critiques ou sensibles d’ici à fin 2035, sous réserve de la maturité des standards, de l’interopérabilité et de la proportionnalité des mesures ;

  3. désigner les responsabilités de pilotage et de coordination au sein de l’administration fédérale, en s’appuyant en particulier sur l’Office fédéral de la cybersécurité (OFCS, anciennement NCSC), l’Office fédéral de l’informatique et de la télécommunication (OFIT) et les autorités sectorielles compétentes, sans créer de structures redondantes, et présenter au Parlement un rapport biennal sur l’état d’avancement ;

  4. définir les exigences minimales applicables aux infrastructures critiques, aux systèmes d’information de la Confédération et aux fournisseurs de prestations numériques critiques, notamment en matière d’inventaire cryptographique standardisé et interopérable — fondé, lorsque cela est approprié, sur des formats reconnus tels que le Cryptographic Bill of Materials (CBOM) —, de crypto-agilité, de capacité de mise à jour et de gestion sécurisée des dépendances fournisseurs, ces inventaires étant traités comme des informations sensibles de sécurité à accès restreint et non destinées à publication détaillée ;

  5. intégrer des exigences de préparation à la cryptographie post-quantique dans les marchés publics fédéraux et dans les contrats fournisseurs pour les produits et services numériques dont la durée de vie, la criticité ou la durée de confidentialité attendue dépasse 2030 ;

  6. garantir la résilience quantique de la signature électronique et de l’archivage à long terme, afin de préserver la validité durable des signatures, certificats, horodatages, actes authentiques, dossiers médicaux, registres publics et archives, en cohérence avec les travaux de la Swiss Government PKI ;

  7. assurer la cohérence avec les cadres internationaux applicables, en particulier la feuille de route coordonnée adoptée par le NIS Cooperation Group de l’Union européenne le 11 juin 2025, ainsi que les exigences du Cyber Resilience Act applicables dès le 11 décembre 2027 aux produits placés sur le marché européen ;

  8. examiner les adaptations légales ou réglementaires nécessaires, notamment dans le cadre de la législation sur la sécurité de l’information, de l’ordonnance sur la cybersécurité, des prescriptions de marchés publics et des réglementations sectorielles applicables ;

  9. prévoir des mesures de soutien proportionnées pour les cantons, les PME, les hautes écoles et les entreprises suisses, notamment par des lignes directrices, des modèles d’inventaire, des projets pilotes, des tests d’interopérabilité et la mobilisation des compétences nationales, dans une logique de souveraineté technologique cohérente avec l’objectif de la motion 24.3209.

La feuille de route respecte les principes de neutralité technologique, d’ouverture des standards, de sécurité par conception et de proportionnalité économique — les obligations étant graduées selon le risque, la criticité, la durée de confidentialité des données et la durée de vie des systèmes. Conformément à la tradition suisse de conditions-cadres favorables plutôt que de politique industrielle sélective, elle ne vise pas à privilégier un fournisseur ou une technologie, mais à fixer les exigences de sécurité applicables aux infrastructures de l’État. Les informations sensibles contenues dans les inventaires cryptographiques sont protégées.

Begründung

La montée en puissance de l’informatique quantique représente une menace majeure pour la sécurité numérique à long terme. À terme, des ordinateurs quantiques suffisamment puissants pourraient compromettre les systèmes de chiffrement à clé publique actuellement utilisés pour protéger les communications, les paiements, les signatures électroniques et les identités numériques. Même si ces machines ne sont pas encore opérationnelles, leur arrivée est envisagée dans les dix à quinze prochaines années. Le risque est déjà réel à travers la stratégie dite « moissonner maintenant, déchiffrer plus tard », qui consiste à collecter aujourd’hui des données sensibles afin de les déchiffrer ultérieurement.

Face à cette menace, plusieurs partenaires de la Suisse ont déjà engagé une transition vers la cryptographie post-quantique. L’Union européenne, les États-Unis, le Royaume-Uni, la France et l’Allemagne ont adopté des feuilles de route, des standards techniques et des calendriers de migration. En Suisse, les autorités ont identifié l’enjeu et lancé des travaux de réflexion, mais aucune stratégie nationale opérationnelle de migration n’existe encore pour les infrastructures critiques et les données de l’État.

La motion propose donc de combler cette lacune en établissant une feuille de route nationale coordonnée, avec des objectifs, des échéances et un pilotage clair. Elle vise en priorité les systèmes critiques, les données nécessitant une protection de longue durée et les acquisitions dont la durée de vie dépasse 2030. Cette démarche s’inscrit dans la continuité des travaux déjà menés par les autorités fédérales et repose sur des principes de neutralité technologique, d’interopérabilité et de proportionnalité.

Enfin, une planification anticipée permettrait d’éviter des migrations d’urgence coûteuses et de renforcer la souveraineté numérique de la Suisse. L’objectif est de garantir que les mécanismes protégeant les données, les communications et les signatures électroniques restent fiables face à l’évolution de la menace quantique.