13.4023 · Interpellation · 2013-11-27
Département des finances
Liquidé
Wortlaut
Le Conseil fédéral a pris en juin 2011 une décision de principe qui veut que l'administration fédérale n'assurera plus elle-même la transmission des données, mais achètera les prestations concernées sur le marché. Les arguments avancés faisaient état à la fois de la nécessité de renouveler l'infrastructure technique et des coûts. Ce sont donc des fournisseurs externes qui à partir de 2014 assureront progressivement la gestion du réseau informatique. Aux termes du dossier d'appel d'offres, les deux entreprises à qui le projet sera adjugé auront cinq ans pour équiper d'une nouvelle infrastructure informatique 400 sites de l'administration fédérale répartis sur toute la Suisse, exception faite des sites de Berne, que la Confédération a dotés d'un réseau de fibre optique propre. Cela signifie concrètement qu'à partir de l'an prochain, l'infrastructure TI de la Confédération sera gérée pour une grande part par des fournisseurs privés. Or, on n'a pas attendu les révélations sur les pratiques de la NSA pour savoir que les États étrangers pratiquent le renseignement actif (comme, et de plus en plus, l'espionnage économique). Le dossier d'appel d'offres cite par ailleurs un certain nombre de conditions que les fournisseurs doivent remplir, preuves à l'appui. Comme il s'agit d'une procédure de l'OMC, les entreprises étrangères sont autorisées à soumissionner.
Eu égard aux considérations ci-dessus, je prie le Conseil fédéral de bien vouloir répondre aux questions suivantes :
1. La Confédération peut-elle, et doit-elle, déléguer à un tiers la gestion de son réseau informatique ?
2. Sous-traiter la gestion de son réseau informatique revient pour la Confédération à donner à un tiers le contrôle des données qui y transitent. Cela est-il compatible avec les règles de sécurité pertinentes ?
3. Est-il certain que les fournisseurs privés concernés ne feront pas appel à leur tour à des sous-traitants, ce qui augmenterait encore les risques ?
4. Pour des raisons notamment économiques, un fournisseur privé n'a-t-il pas beaucoup moins intérêt que son client, en l'occurrence la Confédération, à investir à grands frais dans la sécurité ?
5. Comment s'assure-t-on que les données sont efficacement protégées ? Comment s'assure-t-on que les centres de calculs externes sont équipés de dispositifs protégeant suffisamment les appareils comme les données ?
6. Est-il obligatoire de lancer une procédure d'appel d'offres conforme aux règles de l'OMC, ou le Conseil fédéral peut-il se contenter d'un appel d'offres restreint ?
7. La privatisation prévue est-elle conforme à la stratégie de la Confédération pour la protection des infrastructures critiques ?
Stellungnahme des Bundesrates
1. Prenant en compte notamment les demandes récurrentes du Parlement, le Conseil fédéral avait décidé en juin 2011 d'externaliser les services de transfert de données afin de concentrer les prestations de l'administration fédérale sur les besoins actuels et d'augmenter la rentabilité. En 2013, un appel d'offres a été lancé pour la fourniture de prestations préalables dans le domaine de la communication de données. C'est Swisscom qui a obtenu le marché.
Compte tenu des connaissances actuelles en matière de risques, le Conseil fédéral entend, pour des raisons liées à la sécurité de l'État et de manière générale, confier la fourniture des prestations destinées aux infrastructures centrales de l'administration qui revêtent une importance vitale uniquement à des entreprises soumises exclusivement au droit suisse, détenues en majorité par des propriétaires suisses et fournissant toutes leurs prestations sur le territoire suisse.
2. L'administration fédérale ne peut pas compter uniquement sur elle-même pour concevoir le système, fournir les prestations et implémenter les éléments et les applications dans le domaine des TIC. Il faudra toujours faire la balance entre rentabilité, capacités propres de fournir les prestations requises et sécurité. En l'occurrence, les directives de sécurité sont respectées et également appliquées au fournisseur des prestations préalables en matière de communication de données.
3. Dans le cas présent, le contractant sera obligé contractuellement à obtenir d'accord de la Confédération avant toute implication d'entreprises tierces. De même, le contrat prévoit un droit d'audit pour la Confédération pour le contrôle du respect des spécifications. Le fournisseur doit garantir, pour lui-même et pour ses sous-contractants, la sécurité et la confidentialité convenues par le contrat.
4. Le fournisseur est tenu de garantir le niveau de sécurité convenu dans le contrat. Avec le droit d'audit, la Confédération peut contrôler la conformité elle-même ou la faire contrôler par des tiers.
5. Se référant aux connaissances actuelles acquises sur la recherche de données électroniques par les services de renseignements de pays étrangers, le Conseil fédéral souhaite procéder à une analyse et une évaluation approfondies des menaces qui pèsent sur l'ensemble du dispositif de fourniture des prestations destinées à l'administration fédérale en matière de technologies de l'information et de la communication (TIC). Les principes établis sur la base de cette analyse concernant la fourniture de prestations en matière de TIC devront permettre aux départements et à la Chancellerie fédérale de réexaminer, à la lumière de leurs besoins en termes de protection, le système de fourniture des prestations et de prendre d'éventuelles mesures de protection supplémentaires. En signant le contrat, les prestataires externes s'engagent à respecter les mêmes directives de sécurité que celles qui sont appliquées aux prestataires internes. Dans le cas où un besoin accru en termes de protection est avéré, une stratégie de protection des données et de sécurité de l'information doit être définie en collaboration avec le prestataire interne responsable des systèmes informatiques.
6. En l'occurrence, il a été possible de lancer un appel d'offres répondant aux règles de l'OMC. Selon l'objet, en vertu de l'article 3 de la loi sur les marchés publics, voire de l'article 13 de l'ordonnance sur les marchés publics, il est toutefois permis de prendre des mesures qui entraînent une restriction de la concurrence au cas où le danger pour la sécurité publique n'est pas suffisamment maîtrisé .
7. Les objectifs de la Stratégie nationale de protection de la Suisse contre les cyberrisques sont la détection précoce des menaces, l'augmentation de la capacité de résistance et la réduction des cyberrisques. Ce sont précisément ces principes que le Conseil fédéral a appliqués au sein de l'administration en examinant avec soin la rentabilité et en axant les activités de l'administration sur l'utilisation des TIC.
Réponse du Conseil fédéral.