Lexipedia

17.4004 · Interpellation · 2017-11-30

Département des finances

Liquidé

Wortlaut

La Confédération déploie des activités dans un nombre impressionnant de domaines "cyber". Alors que le DDPS est en train de mettre en place un cybergroupe (avec apparemment quelques retards), il existait, au DFF, un groupe de travail compétent en matière de cybersécurité de la place financière, mais les travaux de ce dernier se sont enlisés et n'ont débouché sur aucun résultat ni recommandation. Au DEFR, le Secrétariat d'État à l'économie développe actuellement différents projets en matière de cybersécurité pour le domaine de l'économie et compte visiblement instituer un groupe de travail à cet effet. Fedpol réfléchit ouvertement à des questions de cybersécurité et le procureur de la Confédération compte augmenter ses capacités dans les domaines "cyber". La Confédération exploite en outre la Centrale d'enregistrement et d'analyse pour la sûreté de l'information, spécialisée dans le domaine de la cybersécurité. Il se dégage de tout cela une impression de chaos. Je prie le Conseil fédéral de répondre aux questions suivantes :

1. Comment le Conseil fédéral garantit-il une approche sérieuse et cohérente dans les différents domaines "cyber"?

2. Comment la Confédération s'assure-t-elle qu'il n'y a pas de doublons dans les activités déployées par les différents groupes ?

3. Comment le Conseil fédéral garantit-il que les efforts qu'il déploie aboutissent à des résultats (il n'a jusqu'ici soumis aucune stratégie en la matière au Parlement)?

4. Quels sont les coûts totaux engendrés jusqu'à aujourd'hui par tous ces groupes et organes de travail ?

Stellungnahme des Bundesrates

La cybersécurité recouvre une grande variété de menaces, depuis la cybercriminalité jusqu'au cyberterrorisme en passant par le cyberespionnage et le cybersabotage, auxquelles s'ajoute le recours, de plus en plus fréquent, aux cyberattaques à l'appui de campagnes de désinformation et comme arme de guerre. Pratiquement tous les secteurs de l'économie et de l'administration sont concernés.

Le sujet préoccupe par conséquent de nombreux acteurs, chacun dans son champ de responsabilités. Les services évoqués par l'auteure de l'interpellation sont responsables des domaines suivants : la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) contribue à protéger l'économie, et en particulier les infrastructures d'importance vitale, contre les cyberrisques. Le DDPS est en train de développer la cyberdéfense afin de relever les défis sécuritaires importants pour la défense. Les autorités de poursuite pénale de la Confédération (Ministère public de la Confédération et Office fédéral de la police [fedpol]) et les cantons luttent ensemble contre la cybercriminalité. Enfin, le comité consultatif "Avenir de la place financière", que le Département fédéral des finances (DFF) a créé au printemps 2015 et placé sous la direction du professeur Aymo Brunetti, a achevé les travaux évoqués par l'auteure de l'interpellation. Le Conseil fédéral a pris connaissance de ceux-ci le 8 décembre 2017 et a chargé le DFF d'examiner deux recommandations du comité consultatif.

Voici sa réponse aux questions posées :

1. Avec la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), le Conseil fédéral dispose depuis 2012 d'une approche sérieuse et cohérente de la gestion des cyberrisques. Cette stratégie est en cours de révision avec l'ensemble des services concernés. Le Conseil fédéral doit en approuver la nouvelle version, pour la période 2018-2022, au printemps 2018.

2. La SNPC s'accompagne d'un plan de mise en oeuvre qui répartit les tâches entre les différents services. L'exécution de ces tâches est coordonnée par l'Unité de pilotage informatique de la Confédération, et les services concernés se consultent. On évite ainsi les doubles emplois. Cette coordination sera prochainement renforcée par la création du centre de compétence fédéral pour la cybersécurité voulu par le Parlement (voir la motion Eder 17.3508, transmise le 7 décembre 2017).

3. Les travaux effectués ont été soumis à un contrôle d'efficacité en 2016. Le rapport correspondant a été présenté aux commissions parlementaires compétentes ; il est accessible au public depuis avril 2017. La nouvelle SNPC contiendra elle aussi des mesures concrètes dont la réalisation pourra être vérifiée par rapport à des objectifs en matière de prestations.

4. Les activités relatives à la cybersécurité font partie du travail quotidien de différentes unités d'organisation. Les frais qu'elles engendrent ne sont pas systématiquement répertoriés comme tels. Pour la mise en oeuvre de la SNPC, les départements concernés disposent actuellement de 30 postes à plein temps, ce qui correspond à un budget annuel de 5,4 millions de francs.

Réponse du Conseil fédéral.