Lexipedia

Burkhalter Didier · Ständerat · 2008-06-02

Burkhalter Didier · Ständerat · Neuenburg · Freisinnig-demokratische Fraktion · 2008-06-02

Wortprotokoll

Que prévoit la motion pour l'essentiel? Elle tend à combler une lacune dans la politique de sécurité nationale au sens large. Elle préconise le développement d'une seule stratégie nationale de lutte contre la [PAGE 366] cybercriminalité conduite par la Confédération, en collaboration avec les cantons, en partenariat avec l'économie privée et en intégrant les réalités internationales. Et dans cette stratégie unique, la priorité des priorités devrait être donnée à la protection des infrastructures importantes, pour certaines vitales, qui relèvent du public ou du privé et de plus en plus des deux à la fois, en particulier et par exemple les réseaux énergétiques, la surveillance aérienne, les flux de données sensibles dans l'administration comme en matière économique. Enfin, cette stratégie devrait avant tout viser à contrer à la base, ou en amont si vous préférez, toutes les nouvelles tentatives d'attaque, qu'elles relèvent du terrorisme, de l'espionnage ou de toute autre forme de cybercriminalité.

Ces tentatives d'attaque multiformes vont s'intensifier à l'avenir. Le présent, d'ailleurs, ne manque pas déjà d'exemples originaux tous azimuts. On peut évoquer ici en vrac le piratage informatique à fin 2007 - mais qui vient d'être révélé - contre des ordinateurs du Département fédéral des affaires étrangères et du Secrétariat d'Etat à l'économie, le procès récent ayant opposé le groupe suisse Kudelski à l'un de ses concurrents accusé d'avoir recouru à des piratages informatiques pour casser les systèmes de cryptage utilisés en télévision, l'arrestation en Espagne il y a quelques jours de hackers - dont deux jeunes de 16 ans - soupçonnés d'avoir attaqué plus de 20 000 pages Internet en deux ans, dont des sites gouvernementaux des Etats-Unis, ou encore la condamnation toute aussi récente d'un internaute qui avait pénétré le système informatique de l'Université de Genève pour diffuser de la propagande incitant à la violence et à la discrimination raciale.

Dans sa réponse à notre motion, le Conseil fédéral paraît un peu en marge de cette réalité. Il nous dit en substance qu'il dispose déjà d'une série de stratégies de lutte contre la criminalité par Internet, que dans le cadre de ces stratégies des collaborations diverses existent, que les bases légales de collaboration avec les cantons ont été renforcées dans le domaine pénal, et enfin qu'une série d'organismes et d'offices se préoccupent activement du sujet. Tout cela est certes bien réel, mais la question soulevée par la motion reste elle aussi bien réelle: y a-t-il véritablement une stratégie nationale efficace pour contrer la cybercriminalité dans ses formes les plus nouvelles et les plus dangereuses?

Peut-on vraiment se satisfaire du statu quo, comme l'estime le Conseil fédéral? Le statu quo est souvent un peu la politique de l'exécutif, comme on l'a vu récemment aussi avec la réforme du gouvernement. Les réponses concrètes données sur le terrain à ces questions véridiques ne sont pas positives, en tout cas pas aussi positives que ne le laisse entendre le Conseil fédéral dans sa réponse à la motion. Je vais citer quelques exemples de ces réactions.

A la fin de l'année dernière, le Congrès suisse d'informatique de la police aboutissait à un constat très critique: des déficits dans la lutte contre la criminalité par Internet; un manque de coordination entre les cantons, notamment dans le domaine technique; un manque de conduite politique au niveau de la Confédération; un manque de moyens affectés à ces tâches. D'ailleurs, l'une des analyses faites dans le cadre de ce congrès l'avait été par l'un de nos collègues, Bruno Frick, qui n'avait visiblement pas mâché ses mots. Je voudrais vous citer une de ses phrases: "Die Schweiz ist bei der Bekämpfung der Internetkriminalität, überhaupt beim Informatikeinsatz durch die Polizei, ein Entwicklungs- oder Schwellenland." Il va certainement le dire après, dans le cadre du développement de son postulat.

Un autre exemple de réaction de la part des spécialistes du sujet, c'est celui du Center for Security Studies (CSS) de l'Ecole polytechnique fédérale de Zurich, qui a publié une analyse il y a un peu moins d'un an en la matière. Selon ce centre, il y a quatre défis à relever en vue de la protection des infrastructures critiques: le premier est l'évaluation des risques, le deuxième est la compréhension des vulnérabilités, le troisième concerne la définition de ce qui rend une infrastructure critique, et le quatrième est la coopération la plus vaste possible entre l'Etat et les privés, notamment en raison de la libéralisation dans de nombreux domaines. En résumé et en conclusion de son étude, le CSS estime que:

1. la Suisse se défend bien, c'est vrai, en matière d'évaluation - la centrale Melani est particulièrement efficace. Cette efficacité devrait d'ailleurs servir de base à une stratégie de protection des infrastructures critiques qui n'existe pas encore;

2. l'analyse des vulnérabilités est insuffisante en Suisse, notamment en comparaison avec les programmes de recherche européens en la matière;

3. la définition des seuils pour juger du caractère critique des infrastructures exige un débat politique qui n'a pas encore eu lieu en Suisse, d'autant que cela doit reposer sur une approche unique pour tous les départements;

4. concernant la nécessité d'une vaste coopération, il existe pour la Suisse aussi bien des points forts que des déficits importants. Il s'agit ici en particulier de mieux exploiter les partenariats déjà formés et "de mettre les bouchées doubles au niveau de la coopération internationale".

Un autre exemple de réaction, brièvement: celle de l'administration. Ainsi, par exemple, les responsables de Fedpol, eux-mêmes, ont décrit devant la sous-commission financière de notre conseil les difficultés rencontrées en termes de moyens et surtout de compétences pour tout ce qui concerne la lutte contre la criminalité informatique. La problématique de sécurité, posée par la tendance à recourir à l'"outsourcing" dans les technologies informatiques, est également évoquée.

Par ailleurs et à ma connaissance, le Conseil fédéral n'a pas retenu l'idée selon laquelle la sécurité des infrastructures doit être examinée et testée par des teams spécialisés en la matière, comme cela se fait dans d'autres pays et dans des entreprises privées, et cela malgré que cette mesure soit généralement jugée indispensable dans une véritable stratégie en la matière.

Bref, la Suisse dispose, certes, d'une série d'éléments sur lesquels on peut se baser pour construire une stratégie, mais elle ne dispose pas encore vraiment d'une stratégie. On a des pièces, mais on n'a pas encore le puzzle, et on ne sait pas vraiment si on a toutes les pièces et si on est capable de le terminer. C'est d'ailleurs aussi et déjà l'avis de notre Parlement, qui demande qu'une telle stratégie soit décidée dans le cadre du programme de législature. Notre conseil a déjà approuvé ce point et la commission préparatoire du Conseil national le propose également, sans opposition à ma connaissance.

C'est pourquoi je vous demande d'adopter la motion qui renforce cette volonté politique, ainsi que le postulat Frick qui constitue en fait une étape nécessaire dans cette même opération globale de lutte contre la cybercriminalité.