Lexipedia

AS 2019 565

Ordonnance sur la cyberdéfense militaire

Ordonnance sur la cyberdéfense militaire (OCMil)

du 30 janvier 2019

Le Conseil fédéral suisse, vu l’art. 100, al. 4, de la loi du 3 février 1995 sur l’armée (LAAM)1, arrête:

Art. 1 Objet 1 La présente ordonnance règle les mesures à prendre dans le domaine de la cyber- défense concernant l’autoprotection et l’autodéfense de l’armée et de l’administra- tion militaire en cas d’attaque contre leurs systèmes d’information et leurs réseaux informatiques. 2 La cyberdéfense militaire comprend l’ensemble des actions menées dans le cyber- espace aux échelons de conduite militaro-stratégique et opératif visant à assurer l’autoprotection et l’autodéfense des systèmes d’information et des réseaux informa- tiques militaires, notamment: a. la cyberdéfense: action menée dans le cyberespace visant à identifier les at- taques et la cyberexploration et à protéger les ressources de l’Armée suisse; b. la cyberexploration: action menée dans le cyberespace visant à y acquérir des informations; c. la cyberattaque: action menée dans le cyberespace visant à perturber, à en- traver ou à ralentir les ressources ou capacités de l’adversaire dans ou à tra- vers le cyberespace.

Art. 2 Mesures soumises à autorisation et mesures non soumises à autorisation

1 Les mesures qui exigent de pénétrer dans des systèmes ou réseaux informatiques

de tiers dans le cadre d’une action menée dans le cyberespace sont soumises à auto- risation.

RS 510.921 1 RS 510.10

2018-2319 565

Cyberdéfense militaire. O RO 2019

2 Les mesures qui n’exigent pas de pénétrer dans des systèmes ou réseaux informa- tiques de tiers dans le cadre d’une action menée dans le cyberespace ne sont pas soumises à autorisation.

Art. 3 Demandes de mesures soumises à autorisation Les demandes de mesures soumises à autorisation doivent être motivées par écrit et contenir les informations suivantes: a. le but de l’action à mener dans le cybersespace; b. la période durant laquelle l’action doit être menée dans le cyberespace; c. les systèmes ou réseaux informatiques concernés; d. le nombre maximal de pénétrations dans les systèmes ou réseaux informa- tiques concernés; e. la preuve de la légalité, notamment de la proportionnalité, ainsi que l’évalua- tion des risques liés à l’action à mener dans le cyberespace.

Art. 4 Compétences de la Base d’aide au commandement

1 La cyberdéfense militaire incombe à la Base d’aide au commandement (BAC) qui

l’assure avec ses propres ressources, celles qui lui sont subordonnées et celles qui lui sont attribuées.

2 Les tâches de la BAC sont les suivantes:

a. exécuter des missions consistant à mener des actions dans le cyberespace; b. prendre des mesures préventives d’autoprotection des systèmes d’informa- tion et des réseaux informatiques militaires; c. contrôler la légalité et la faisabilité de nouvelles actions avant de les mener dans le cyberespace; d. bloquer l’accès aux systèmes d’information et aux réseaux informatiques mi- litaires; e. veiller, de manière autonome, à disposer des informations techniques néces- saires à l’accomplissement des tâches; f. évaluer les systèmes et les réseaux informatiques mis en sûreté qui ont été utilisés ou détournés à des fins d’attaque; g. entretenir, en coordination avec les autorités responsables de la Confédéra- tion, des contacts directs avec des services techniques sis en Suisse ou à l’étranger; h. soutenir l’engagement et la formation dans le domaine de la cyberdéfense militaire; i. documenter les mesures soumises à autorisation dans le cadre d’une action menée dans le cyberespace.

566

Cyberdéfense militaire. O RO 2019

3 Les mesures soumises à autorisation prises dans le cadre d’une action menée dans le cyberespace sont mises en œuvre exclusivement par le Centre des opérations électroniques de la BAC.

Art. 5 Compétences du chef de l’Armée 1 Le chef de l’Armée confie les missions concernant les actions dans le cyberespace.

2 Il soumet au préalable les demandes de mesures soumises à autorisation au chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) pour examen. 3 Lors d’un service actif au sens de l’art. 76, al. 1, LAAM, le chef de l’Armée ou le commandant en chef de l’armée peut approuver des mesures soumises à autorisa- tion. Il peut déléguer cette compétence.

Art. 6 Compétences du chef du DDPS Le chef du DDPS statue sur les demandes du chef de l’Armée.

Art. 7 Compétences du Conseil fédéral Le Conseil fédéral approuve les mesures soumises à autorisation.

Art. 8 Surveillance 1 Le Secrétariat général du DDPS assure la surveillance de la cyberdéfense militaire au niveau départemental, fait régulièrement rapport au Conseil fédéral et informe les organes chargés de la haute surveillance parlementaire. 2 Le chef de l’Armée chapeaute et règle la surveillance de la cyberdéfense militaire au sein de l’armée.

Art. 9 Recherche La BAC peut signer des conventions de coopération avec des instituts de recherche et des hautes écoles, en accord et en coordination avec les unités administratives compétentes du DDPS.

Art. 10 Exécution Le chef du DDPS exécute la présente ordonnance et édicte des directives sur l’engagement et la formation. Il peut en déléguer l’exécution au chef de l’Armée.

567

Cyberdéfense militaire. O RO 2019

Art. 11 Entrée en vigueur La présente ordonnance entre en vigueur le 1er mars 2019.

30 janvier 2019 Au nom du Conseil fédéral suisse: Le président de la Confédération, Ueli Maurer Le chancelier de la Confédération, Walter Thurnherr

568