Lexipedia

preparatory:AB 317596

Pointet François · Nationalrat · Waadt · Grünliberale Fraktion · 2023-03-16

Wortprotokoll

Le projet qui nous occupe aujourd'hui règle l'obligation de signaler les cyberattaques contre les infrastructures critiques et inscrit dans la loi les tâches du Centre national pour la cybersécurité (NCSC), créé en 2019. Il règle en particulier la fonction de guichet unique qui est attribuée au NCSC et qui consiste à réceptionner les signalements obligatoires de cyberincidents, de même que les signalements volontaires de cyberincidents et de vulnérabilités des moyens informatiques.

L'obligation de signaler est mise en place pour les cyberattaques perpétrées par des tiers non autorisés qui visent intentionnellement des infrastructures critiques. Le signalement d'une cyberattaque n'est cependant obligatoire que si l'attaque a des conséquences graves, comme la mise en péril du fonctionnement de l'infrastructure critique touchée.

Sur le fond, personne ne conteste la nécessité de cette obligation d'annonce. C'est en effet un moyen efficace d'augmenter la résilience de notre économie et de notre pays face aux dites cyberattaques: communiquer et partager les informations pour, tous ensemble, mieux résister.

La commission a surtout discuté des données collectées et traitées et de qui serait touché par ces obligations d'annonce.

Dans les faits, votre commission a ajouté, sans opposition et avec seulement une abstention, des obligations d'annonce de vulnérabilités non publiées.

C'est le changement principal que nous avons apporté au projet du Conseil fédéral. Cela permettra au NCSC de mieux remplir les tâches de signalement qui lui incombent pour les vulnérabilités inconnues du public, c'est l'article 73b alinéa 3. L'ajout de l'obligation d'annonce des vulnérabilités a provoqué certains remous. Il est en particulier reproché de mettre l'ensemble des vulnérabilités non corrigées dans un système d'information qui pourrait être attaqué, et ces informations pourraient alors être utilisées pour attaquer les infrastructures critiques. Ce scénario est un tout petit peu étriqué; il faut toutefois mettre ce risque de scénario en relation avec l'avantage de faire circuler l'information, par exemple auprès des fournisseurs de logiciels, pour permettre un correctif rapide.

Pour le reste du projet, la majorité de la commission vous propose de suivre le Conseil fédéral et de rejeter les deux minorités Zuberbühler.

La première minorité demande, à l'article 74e, d'augmenter le délai d'annonce aux 72 heures suivant la détection de la cyberattaque ou de la vulnérabilité. Il faut bien se rendre compte de la situation en cas d'attaque. Le responsable informatique à qui on annonce une attaque doit prendre immédiatement toutes les mesures pour contenir ladite attaque, toutes les équipes doivent être appelées pour régler le problème au plus vite. Une annonce rapide au NCSC permet de prendre les mesures de contrôle pour les autres infrastructures critiques et au NCSC de se préparer à soutenir l'exploitant sous attaque, c'est l'article 74. Tout va très vite, et 72 heures, c'est beaucoup trop long.

Pour ceux qui croient que faire un signalement c'est beaucoup de travail, parce qu'ils ont autre chose à faire, j'aimerais ajouter qu'en pratique le premier signalement pourrait être simplement: "Nous sommes sous attaque." La commission a rejeté cette proposition de minorité, par 16 voix contre 7.

La proposition de minorité Zuberbühler demande, à l'article 74e, de supprimer la possibilité d'amender celui qui ne respecte pas l'obligation de signalement. Tout d'abord, on ne peut pas être amendé pour ne pas avoir détecté une attaque. De plus, il est prévu que si le signalement a été oublié et que le NCSC le constate, l'entreprise reçoit tout d'abord un avertissement et que si, suite à cela, l'entreprise n'effectue pas son signalement, une décision formelle est prise. Ensuite, si l'entreprise ne fait toujours pas son travail, une amende peut être prononcée. Nous constatons que l'entreprise coupable doit avoir fait preuve de beaucoup de mauvaise volonté ou d'une extrême négligence coupable pour qu'une amende puisse être prononcée. La commission a rejeté cette proposition de minorité, par 16 voix contre 7.

Le projet, dans son ensemble, a été accepté, par 16 voix contre 1 et 6 abstentions. Votre commission vous recommande d'accepter le projet tel que sa majorité vous le propose.