Lexipedia

Parmelin Guy · Bundesrat · 2017-06-14

Parmelin Guy · Bundesrat · Waadt · 2017-06-14

Wortprotokoll

En fait, l'interpellation Eder peut se résumer ainsi: face à la cybermenace, la Suisse agit-elle de manière juste et en fait-elle assez?

En termes de moyens, vous le savez, l'administration fédérale dispose de 86 postes pour lutter contre les cyberrisques. A lui seul, le Département fédéral de la défense, de la protection de la population et des sports en compte 50. Ce nombre ne permet toutefois que de traiter les incidents quotidiens. Avec l'intensification de la cybermenace, le Conseil fédéral a jugé absolument nécessaire, le 26 avril dernier, de revoir toute la stratégie nationale, qui dépend du Département fédéral des finances et qui est en cours depuis 2012. Il veut la réactualiser pour la période 2018-2023. Au sein de mon département, en parallèle, j'ai ordonné en 2016 déjà, suite au cas RUAG, l'élaboration du plan d'action "Cyber defence". L'objectif est qu'il soit réalisé d'ici 2020, dans le cadre des moyens et des compétences du département et surtout, et c'est important, dans l'esprit de la stratégie nationale. En fait, si vous pouvez visualiser une image, la stratégie nationale est un grand carré, dans lequel chaque département doit faire ses gammes. Nous avons au niveau de mon département un petit carré qui se concentre sur les deux aspects "Abwehr und Verteidigung". Il n'y a pas de mot français pour traduire exactement cette expression, mais nous pourrions dire "défense active aussi bien en temps de paix qu'en temps de conflit".

La révision de la stratégie nationale est pour nous impérative et est la conséquence logique de trois évolutions.

D'abord l'intensification quotidienne qu'on constate au niveau des cybermenaces, la mise en oeuvre de la nouvelle loi sur le renseignement et de la révision de la loi sur l'armée et les multiples attentes qui sont formulées à l'adresse du département en matière d'aide subsidiaire pour mieux protéger les infrastructures critiques qui pourraient subir des cyberattaques. A cet effet, nous avons décidé, au sein du département, de porter l'effectif de personnel de 50 à 150 postes. Pour y parvenir, malgré les plans d'économies voulus par le [PAGE 501] Parlement, nous allons procéder à des réallocations internes de manière intense, ce qui signifie que nous pourrions devoir abandonner des tâches que nous estimons moins prioritaires.

Monsieur le conseiller aux Etats Français a évoqué tout à l'heure le cas de la France. J'y reviendrai plus tard. Il est clair que ce plan peut paraître modeste en comparaison internationale, mais il sera aussi rendu possible par une collaboration, ainsi que le demandait Monsieur le conseiller aux Etats Eder, avec les hautes écoles, avec les opérateurs d'infrastructures critiques, ainsi que par un recours accru à l'armée de milice.

Selon le rapport d'analyse qui a été commandé par le Département fédéral des finances sur l'efficacité de la stratégie nationale, la répartition des tâches durant les cinq dernières années était jugée correcte. Il est difficile de le mesurer concrètement, mais on peut dire que les buts généraux fixés ont été globalement atteints. Mais, comme cela a été précédemment évoqué, la situation évolue et il faut adapter ce dispositif lors de la révision de la stratégie nationale et faire en sorte qu'en 2023, cette stratégie soit encore adaptée et réponde aux nouvelles menaces et aux nouveaux besoins.

On peut dire qu'en 2012, les objectifs définis étaient justes. Les solutions de la stratégie pour cette première phase ont été appliquées, mais maintenant il faut passer à l'étape suivante.

Dans le cadre de votre interpellation, Monsieur le conseiller aux Etats Eder, vous suggérez une certaine centralisation des tâches. Le Conseil fédéral estime qu'il faut aborder cet aspect avec une grande prudence. On se rend compte en effet que le cadre dans lequel évoluent les acteurs est extrêmement complexe en termes de métiers, de bases légales. On ne peut pas simplement procéder à la fusion de certaines choses; il faut procéder de manière extrêmement prudente.

Nous tenons compte, dans la nouvelle définition du terme "défense", qui a été approuvée fin 2015 et qui se trouve dans le rapport du Conseil fédéral "La politique de sécurité de la Suisse", du 24 août 2016, de la dimension "cyber" pour l'armée aussi. Le cyberespace est devenu maintenant - et les contacts que j'ai avec mes homologues étrangers le confirment - vraiment une sphère d'opérations quasiment à part entière.

Les solutions mises en place au sein du département devront, en raison de la très rapide évolution que l'on constate dans ce domaine, être continuellement vérifiées et suivies de très près, notamment à la lumière de ce qui se passe dans les autres pays. C'est aussi pour cela que nous avons signé une lettre d'intention avec le ministre de la défense français, pour pouvoir faire des évaluations régulières. Nous encourageons finalement chacun à privilégier des approches comparatives qualitatives. Avec notre système de milice, nous avons des compétences qui nous permettent de relativiser une comparaison strictement quantitative, effectif par effectif. Il est clair que la France a créé quasiment une armée de 3200 "cyberpersonnes". Mais il faut faut voir qu'en Suisse, avec l'armée de milice, nous avons aussi des collaborations avec les hautes écoles; nous avons aussi des compétences qu'on peut utiliser. Nous ne pouvons pas simplement dire que la France dispose d'un effectif de 3200 unités et que nous sommes à un niveau inférieur; il faut relativiser ce type de comparaison.

J'en viens à la coopération avec les milieux scientifiques, académiques et économiques. Le cyberespace est devenu toujours plus un domaine dont la maîtrise dépend d'un réseau extrêmement dense de compétences et de capacités. Il faut un échange régulier, continu, suivi avec les milieux académiques et économiques. C'est par cet échange qu'on sortira renforcé. Ce renforcement s'inscrit aussi dans le cadre international. Vous savez que le Département de la défense et le Département des affaires étrangères viennent d'initier une participation accrue au centre d'excellence de Tallinn en Estonie. Nous devenons ce qu'on appelle en bon anglais, Monsieur le conseiller aux Etats Français, une "contributing nation", une nation contributrice, c'est traduisible en français.

Dans le cadre de son plan d'action, le Département de la défense veut cette collaboration avec les hautes écoles. Pour nous, c'est un élément cardinal, essentiel. Des collaborations ont déjà été initiées avec Armasuisse. Vous avez pu le voir dernièrement puisque Armasuisse sciences et technologie ainsi que l'Ecole polytechnique fédérale de Zurich ont mis au point tout récemment un nouvel instrument qui doit permettre de détecter beaucoup plus vite des cyberattaques. Entre parenthèses, cela nous aurait rendu un grand service dans le cadre de l'affaire RUAG puisqu'un des problèmes actuels, c'est que les entreprises ou les administrations ne détectent que très tardivement les cyberattaques et les dégâts causés par celles-ci, c'est-à-dire une fois que l'ennemi s'est infiltré dans le système informatique. Nous allons donc intensifier cette collaboration. Le Conseil fédéral propose d'ailleurs au Parlement d'approuver le postulat Dobler 17.3106.

Nous devons aussi avoir un regard assez neutre sur ces aspects-là. C'est pour cela - et j'en viens aux questions complémentaires que vous avez posées - que le DDPS, déjà en automne 2013, a créé le conseil consultatif de cyberdéfense (Beirat Cyberdefence). Ce conseil de cyberdéfense a été voulu et créé par le délégué cyberdéfense du chef de l'armée, qui souhaitait précisément disposer d'avis extérieurs, d'avis neutres, pour concevoir le dispositif cyberdéfense de l'armée. Et ce groupe informel, dont les membres provenaient du monde académique essentiellement, s'est graduellement étoffé et, à fin 2015, il comptait dix personnes qui offraient - et c'est à souligner - gracieusement de leur temps. Nous avons simplement décidé de structurer ce conseil de cyberdéfense, en définitive afin de le pérenniser. Le chef de l'armée avait approuvé sa composition et sa mission. Il était principalement rattaché à la Base d'aide au commandement.

Depuis, dans le courant 2016, ce conseil de cyberdéfense s'est réuni à une dizaine de reprises pour accompagner les travaux relatifs au plan d'action cyberdéfense du DDPS dont, vous le savez, le concept de réalisation a été approuvé. Ces travaux du conseil de cyberdéfense profitent maintenant non seulement à l'armée, mais aussi à l'ensemble du département. C'est pour cela que nous avons décidé de le faire migrer au secrétariat général. Et j'ai tout dernièrement approuvé le règlement dudit conseil.

Quelle est la structure de ce conseil de cyberdéfense du DDPS? La direction est composée d'un président, d'un vice-président, de la secrétaire générale du DDPS et du chef de la cellule cyberdéfense du DDPS. Il comporte un bureau - c'est ce qu'on appelle la partie opérationnelle - dont sont membres les experts qui étaient présents depuis le début. Et c'est là que se fait le travail de fond, à raison d'environ une séance par mois. Hormis le séminaire dont vous avez parlé et qui a eu lieu les 9 et 10 juin derniers, un autre séminaire a eu lieu en mars et le prochain est prévu pour le mois de septembre.

Une partie du conseil consultatif de cyberdéfense, composé de hautes personnalités issues du monde académique, du monde l'économie et du domaine des infrastructures critiques, est consultée deux à trois fois par an lors de manifestations précises ou sur une base bilatérale. La prochaine rencontre est prévue le 20 septembre 2017 et le thème qui sera abordé touche à la cybersouveraineté.

Tout cela pour dire que ce conseil consultatif n'est pas secret et qu'il est régulièrement évoqué dans les prises de position du DDPS. Toutefois, en raison du caractère sensible des thèmes traités, nous avons jugé qu'il n'était pas indispensable, voire pas souhaitable, de mener une communication offensive sur le sujet.

Votre deuxième question soulève un autre point, à savoir la collaboration avec le Département fédéral de l'environnement, des transports, de l'énergie et de la communication et le Département fédéral de l'économie, de la formation et de la recherche. C'est une question tout à fait justifiée. Il faut voir que le plan d'action cyberdéfense du DDPS a été développé en raison de l'intensification des cybermenaces auxquelles est particulièrement exposé le département, des nouvelles tâches qui sont prévues par la loi fédérale sur le renseignement et la loi sur l'armée, ainsi que des missions que la stratégie nationale confie au DDPS. C'est dans ce cadre-là que le conseil consultatif nous aide, qu'il apporte [PAGE 502] un regard neutre, critique, dans un domaine extrêmement complexe où se combinent des aspects liés au droit, au renseignement, à l'armée, à l'innovation, aux technologies, à l'instruction, aux opérations de défense et à toutes sortes de collaborations, aussi bien en Suisse qu'à l'étranger où, parfois, il y a un mélange ou une imbrication entre les dimensions civile et militaire.

Selon les premiers contacts que nous avons avec l'organe consultatif nouvellement créé du DETEC et du DEFR, ce dernier ne traite pas de cyberdéfense mais s'intéresse aux questions liées à la digitalisation. Il faut faire une différence entre la cyberdéfense et la cybersécurité. On pourrait faire un parallèle avec la circulation routière: d'un côté, il y a des acteurs qui s'attèlent à créer un réseau routier performant et extrêmement sûr et, de l'autre, des acteurs qui s'assurent de pouvoir intervenir s'il y a des accidents sur ce réseau. Finalement, cela veut dire que des deux côtés, les acteurs s'intéressent à la sécurité, mais sous des angles totalement différents. Nous avons donc pris des contacts avec l'organe consultatif du DETEC et du DEFR et nous pouvons déjà vous dire que le DDPS a été prié de formuler des propositions en matière de cyberdéfense pour contribuer à l'initiative de ces deux départements.

Au sein de mon département, nous pensons que ces deux conseils consultatifs sont complémentaires et qu'ils doivent naturellement collaborer. Nous avons nos propres intérêts, mais dans le cadre de la digitalisation, comme nous le voyons là, nous avons l'opportunité d'aider les autres départements à développer ou à écrire un chapitre de ce livre, sous l'angle strict de la cyberdéfense.

Nous voulons donc aussi créer un centre de compétences, et là je reviens sur ce qu'a dit Monsieur Français, dans le cadre duquel nous pourrons améliorer, dans l'intérêt non seulement du département, de l'armée, mais aussi de l'économie, la formation des personnes et les systèmes avec lesquels on pourra échanger des compétences.

Vous avez relevé, Monsieur Français, la création du Pôle d'excellence cyber, en France. A terme, 3200 personnes devraient être formées, mais malgré cela la France connaît des difficultés en raison d'une concurrence effrénée entre le monde civil et militaire. Le but de la collaboration, en particulier avec les écoles polytechniques fédérales, mais aussi avec les hautes écoles techniques et les universités, c'est d'éviter de se cannibaliser les uns et les autres et de profiter au mieux des compétences de tous.

Voilà ce que je voulais dire, je m'excuse d'avoir peut-être été un peu long. Nous sommes attentifs à ce qui se passe à l'étranger et nous voulons surtout, au département, être capables de maîtriser une attaque, dans n'importe quelles circonstances. Vous avez vu dernièrement que la Grande-Bretagne a subi une attaque contre son système de santé, contre les hôpitaux. Nous voulons pouvoir réagir très vite, dans un tel cas, et assumer les fonctions indispensables et vitales pour ce pays. C'est le rôle du département et de notre stratégie, qu'accompagne le conseil de cyberdéfense.