Fivaz Fabien · Nationalrat · 2023-09-21
Fivaz Fabien · Nationalrat · Neuenburg · Grüne Fraktion · 2023-09-21
Wortprotokoll
Je vous présente la proposition de minorité sur la question des vulnérabilités et de leur signalement. J'aimerais rappeler l'objectif de la proposition, qui était soutenu par la majorité, ici au conseil, et jusqu'à mardi en commission: l'idée est d'obliger les infrastructures critiques à signaler non seulement les cyberattaques - c'est dans le projet, à la base, du Conseil fédéral -, mais également les vulnérabilités qui auraient été détectées dans leurs systèmes. Ces vulnérabilités sont au coeur du problème: ce sont les failles de sécurité qui, si elles ne sont pas corrigées, sont simplement des portes ouvertes à des cyberattaques et qui peuvent être exploitées. Dans ce sens, il est logique et nécessaire qu'elles soient communiquées et connues pour être corrigées rapidement, et cela dans un cercle relativement large.
La proposition de compromis que nous faisons est un peu le compromis du compromis. Selon cette nouvelle proposition, seules les vulnérabilités critiques devraient être signalées lorsqu'elles concernent des moyens qui sont essentiels pour l'exploitation de l'infrastructure. Il faut également que cette vulnérabilité soit jusque-là inconnue du public - c'est essentiel - et qu'elle ne résulte pas de développements internes à l'entreprise.
Le délai de signalement a, quant à lui, été prolongé. A la base, on prévoyait vingt-quatre heures - c'est ce qui est prévu pour les cyberattaques - mais il a été prolongé à sept jours, ce qui permettra, entre autres, de corriger le problème avant de le signaler.
Afin de rassurer celles et ceux qui craignent que les vulnérabilités puissent être communiquées si elles sont publiques, et donc utilisées, la proposition contient également, à l'article 74f, une obligation, pour le Centre national pour la cybersécurité, de traiter ces signalements sur des systèmes qui sont eux-mêmes sécurisés.
J'aimerais dire quand même que nous attendons des infrastructures critiques qu'elles corrigent dans les plus brefs délais l'ensemble des vulnérabilités qu'elles détectent, afin de limiter le risque d'exploitation et le risque systémique où finalement une vulnérabilité détectée dans un système se propage à l'ensemble et rend possible des cyberattaques à très large échelle.
Je vous propose donc de suivre ma minorité et vous en remercie.