13.3558 · Interpellation · 2013-06-20
Département des finances
Liquidé
Wortlaut
1. Quelle importance le Conseil fédéral accorde-t-il aux menaces liées au cyberespionnage de nouvelle génération ?
2. Quelle stratégie et quelles mesures prévoit-il pour défendre la Suisse ? Quelles sont les possibilités de coopération internationale ? Lesquelles sont-elles envisagées ? La Confédération a-t-elle la possibilité de coopérer avec des acteurs privés pour disposer d'un un savoir-faire de pointe en cas de besoin ? Où la limite entre la nécessité de prévoir un plan de défense et la responsabilité des entreprises et des particuliers se situe-t-elle ?
3. Les stratégies existantes de la Confédération, telles qu'E-Government, Cloud et E-Health, prennent-elles en compte les menaces informatiques de nouvelle génération ?
4. De quelle manière les entreprises proches de la Confédération participent-elles à un éventuel dispositif de défense ?
Begründung
Le cyberespionnage semble être un phénomène en pleine expansion. Depuis quelques semaines, le programme PRISM de la NSA est au centre de l'actualité. Or, le préposé fédéral à la protection des données et à la transparence ne semble même pas surpris. D'après lui, le furetage se fait aujourd'hui en exploitant des données. Cette nouvelle approche n'intéresse pas seulement les réseaux sociaux et les services secrets, mais toutes sortes d'acteurs possibles et imaginables, des entreprises aux criminels. Les données de masse sont considérées comme les nouveaux puits pétroliers de l'économie. La simple exploitation de données ne semble être pourtant que la partie visible de l'iceberg. Depuis 2010, de plus en plus de chevaux de Troie ont fait leur apparition. Les plus connus sont Stuxnet (2010), Duqu (2011), Flame (2012) et Red October (2013). L'origine de ces attaques reste souvent inconnue. Il est dès lors impossible d'exclure la participation de gouvernements ou d'importants réseaux criminels. Des analystes de renom expliquent que les activités de surveillance des programmes Flame et Red October n'ont pu être découvertes qu'après des années et qu'il est presque impossible d'analyser entièrement les effets des chevaux de Troie pesant jusqu'à 20 MB. Une carte du monde, rendue publique, représentant les pays frappés par Red October indique que la Suisse a été victime d'espionnage diplomatique.
Stellungnahme des Bundesrates
1. Le Conseil fédéral estime que le cyberespionnage de nouvelle génération constitue un grand danger, qui menace la Suisse au moins autant que d'autre pays. Les types de cyberattaques contre des entreprises suisses et l'administration peuvent être par exemple des attaques de phishing simples ("Password Fishing"), des attaques DDOS ("Distributed Denial of Service") ou même des attaques d'espionnage hautement complexes, probablement soutenues par des États.
2. Le Conseil fédéral a approuvé le 27 juin 2012 la "Stratégie nationale de protection de la Suisse contre les cyberrisques" (SNPC) et, le 15 mai 2013, le plan de mise en oeuvre de cette stratégie. A travers cette dernière, il vise à détecter suffisamment tôt les menaces pesant sur le cyberespace, à augmenter la capacité de résistance des infrastructures d'importance vitale, à réduire les cyberrisques et à prévenir les incidents.
Les différentes unités d'organisation qui, au sein de l'administration fédérale, sont chargées de prévenir et combattre les cyberattaques travaillent en partenariat avec des services oeuvrant dans ce domaine en Suisse ou à l'étranger. Notamment la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (Melani) dispose d'un réseau mondial. Elle est également membre des deux organisations techniques en la matière, à savoir l'European Government CERTs (EGC) et le Forum of Incident Response and Security Teams (FIRST). Le Service de renseignement et la police fédérale (fedpol) collaborent eux aussi avec des partenaires étrangers. Par ailleurs, l'armée entretient des relations au sein de l'OTAN, le DFAE au sein de diverses organisations politiques, etc. Les différents réseaux mis en place ont aussi permis de créer un système d'alerte précoce en vue d'identifier à l'étranger une menace pouvant toucher aussi la Suisse.
Les divers organes de la Confédération disposent de relations dans le secteur privé tant auprès de fabricants que de fournisseurs de services, relations auxquelles ils peuvent s'adresser si nécessaire.
La protection contre les cyberrisques fait partie intégrante de toute gestion des risques. Une entreprise ne peut donc pas déléguer les tâches en la matière à un service externe et endosse la responsabilité primaire dans ce domaine. La mise en oeuvre de la SNPC et MELANI permettent à la Confédération d'aider les entreprises à assumer cette responsabilité.
La décision relative à des mesures immédiates ist toujours du ressort de la société concernée. Celle-ci peut aller d'une simple nettoyage des ordinateurs inectés à la fermeture compléte temporaire de l'entreprise à partir du World Wide Web. Sur demande, MELANI soutient la société concernée dans cette décision.
3. La mise en oeuvre de la SNPC doit tenir compte de la protection contre les cyberrisques. Celle-ci sera assurée grâce à la collaboration étroite que la stratégie prévoit entre l'économie privée et tous les départements et offices concernés.
4. Les entreprises liées à la Confédération telles que Swisscom, la Poste, les CFF ou RUAG, participent au dispositif de défense. En outre, la plupart d'entre elles sont également impliquées dans la mise en oeuvre de la SNPC par le biais des tâches qui leur incombent en matière d'approvisionnement économique du pays.
Réponse du Conseil fédéral.