Lexipedia

26.3830 · Motion · 2026-06-18

Département de la défense, de la protection de la population et des sports

Déposé

Wortlaut

Le Conseil fédéral est chargé de modifier les prescriptions relatives à l’acquisition, au renouvellement et au développement des prestations informatiques utilisées par la Confédération de sorte que les systèmes relevant de la cryptographie soient progressivement réorientés vers la crypto-agilité et les capacités de migration post-quantique.

Il veillera notamment à ce que :

  1. l’acquisition et le renouvellement de grande ampleur de systèmes informatiques présentant un besoin de protection accru intègrent des exigences en matière de crypto-agilité, documentent les dépendances cryptographiques et prévoient la prise en charge ultérieure de processus post-quantiques normalisés ;

  2. une migration prioritaire vers des processus cryptographiques post-quantiques ou hybrides soit préparée pour les données sensibles et durablement confidentielles et pour les infrastructures de la Confédération essentielles pour la sécurité ;

  3. les soumissionnaires des appels d’offres pertinents exposent clairement quels processus, bibliothèques, protocoles et composants de gestion de certificats et de clés cryptographiques seront utilisés et comment ils pourront être mis à jour ou remplacés ;

  4. des dérogations restent possibles si la maturité commerciale, l’interopérabilité ou la proportionnalité l’exigent, à condition qu’elles soient limitées, justifiées et assorties d’une évaluation des risques et de mesures de compensation appropriées ;

  5. la mise en œuvre suive des normes et des recommandations reconnues à l’échelle internationale et que les services compétents de la Confédération rendent régulièrement compte des progrès réalisés, des risques encourus et des actions qui s’imposent.

Begründung

La Confédération achète et exploite des systèmes informatiques qui restent en service pendant de nombreuses années. Les acquisitions d’aujourd’hui marquent l’architecture de sécurité de demain. Si elles ne tiennent pas compte des dépendances cryptographiques et des capacités de migration, elles créent de nouvelles dettes techniques, et les conversions ultérieures seront plus coûteuses et plus risquées.

Plutôt que d’engager le remplacement précipité des systèmes existants en visant une conversion totale et immédiate, il faut adopter une démarche pragmatique, axée sur les risques, fondée sur des normes, neutre sur le plan technologique et prévoyant des solutions transitoires lorsque c’est nécessaire. Les mots d’ordre de cette démarche sont la crypto-agilité, la communication transparente des dépendances cryptographiques et la capacité de migrer à temps les données sensibles vers des processus post-quantiques.