Lexipedia

23.4461 · Interpellation · 2023-12-21

Département de la défense, de la protection de la population et des sports

Liquidé

Wortlaut

En 2022, les résultats de l’enquête administrative Oberholzer sur les collectes d’informations du Service de renseignement de la Confédération (SRC) dans le domaine Cyber ont donné lieu à des comptes rendus médiatiques. Juste avant, le Conseil fédéral avait décidé de rattacher le Centre national pour la cybersécurité (NCSC) au DDPS à partir du 1er janvier 2024.

Le rapport Oberholzer recommandait de réfléchir à la possibilité de détacher complètement le domaine Cyber du SRC et de créer un pool d’experts indépendant chargé d’analyser les données issues du trafic réseau. Il estimait judicieux de rattacher ce pool au NCSC et de le mettre à la disposition de toutes les unités organisationnelles de la Confédération qui s’occupent de cybersécurité.

Le 7 décembre 2023, peu avant le transfert du NCSC au DDPS, des médias ont annoncé une vague de démissions parmi les experts : six des neuf spécialistes du groupe d’intervention en cas d’urgence informatique (GovCERT) ont décidé de ne pas rejoindre le DDPS, 20 % des effectifs du NCSC ont préféré démissionner. Des conflits éthiques ont été invoqués, étant donné que les collaborateurs du NCSC s’efforcent de combler les failles de sécurité pour la société civile et l’économie, alors que le SRC et le DDPS auraient un intérêt à maintenir certaines failles qu’ils veulent utiliser pour la collecte d’informations.

Dans l’enquête administrative de 2022, on pouvait lire qu’à l’époque le chef du domaine Cyber du SRC avait fait preuve de peu de compréhension pour les directives légales et les procédures institutionnalisées au sein des services étatiques et que son chef l’avait laissé faire.

  1. Le Conseil fédéral a-t-il sous-estimé les divergences entre les objectifs du NCSC et ceux du SRC/DDPS ainsi que les différentes cultures d’entreprise qui en découlent ?

  2. Comment s’assure-t-il que, sous la conduite du DDPS, le NCSC préservera les intérêts de la société civile et de l’économie en se concentrant sur la détection et l’élimination des failles de sécurité dans le réseau, et ne défendra pas les intérêts opportunistes du SRC qui entend utiliser ces failles ?

  3. Comment l’interface entre le NCSC et le SRC est-elle organisée et surveillée en ce qui concerne l’échange automatisé de données ?

  4. Comment le Conseil fédéral s’assure-t-il que les spécialistes du NCSC pourront transmettre de manière sûre et rapide à l’autorité de surveillance compétente (AS-Rens, DélCdG) les éventuelles erreurs d’interprétation des bases légales dans le domaine Cyber du SRC ?

Stellungnahme des Bundesrates

1) Le nouvel Office fédéral de la cybersécurité (OFCS) reprend sans changement les tâches qui incombaient jusqu’à présent au Centre national pour la cybersécurité (NCSC). Celles-ci sont complémentaires aux tâches du Service de renseignement de la Confédération (SRC). Le SRC est un instrument d’action préventive de la politique de sécurité. Il assure un service d’alerte précoce et de prévention des menaces pour la sûreté intérieure ou extérieure de la Suisse, qui proviennent notamment des cyberattaques.

Le SRC et l’OFCS sont tous deux placés sous la conduite directe de la cheffe du DDPS. Ils développent chacun leur culture d’entreprise afin de remplir au mieux leurs tâches dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC).

Le SCR définit les responsabilités et les compétences de la société civile, de l’économie et de l’État. Tous les départements et tous les offices de l’administration fédérale travaillent de manière complémentaire, guidés par le même objectif : accroître la protection de la population contre les cyberrisques. Cet objectif vaut aussi pour l’OFCS et le SRC.

2) Le 29 septembre 2023, le Parlement a adopté la révision de la loi sur la sécurité de l’information (LSI ; RS 128) qui porte sur l’introduction d’une obligation de signaler les cyberattaques contre les infrastructures critiques. Selon l’art. 73b, al. 3, l’OFCS est tenu à l’avenir d’informer immédiatement les fabricants de produits matériels ou logiciels s’il a connaissance d’une vulnérabilité dans ces produits. La loi garantit ainsi que l’OFCS met en œuvre le processus de la divulgation coordonnée des vulnérabilités.

Les tâches du SRC sont réglées à l’art. 6 de la loi sur le renseignement (LRens ; RS 121). Toutes les activités de renseignement du SRC qui sont de nature offensive (p. ex. l’utilisation de vulnérabilités, cf. art. 26 LRens) se déroulent selon une procédure soumise à autorisation définie par la loi.

3) Aucun échange ne se fait automatiquement. En outre, le SRC n’a pas accès aux informations de l’OFCS sur des vulnérabilités. L’OFCS accorde au SRC l’accès aux informations qui concernent l’identité et le mode opératoire des agresseurs. La surveillance du traitement de l’information par le SRC s’effectue dans le cadre de la surveillance des activités du SRC. L’échange de données établi par le passé entre l’OFCS (anciennement NCSC) et le SRC se poursuit sur le même mode et il est également réglé dans la LRens et dans la LSI révisée. Le rattachement de l’OFCS au DDPS ne change rien à cette pratique.

4) La loi sur le personnel de la Confédération (LPers ; RS 172.220.1) règle à l’art. 22a les obligations et les droits de dénoncer de tous les employés de la Confédération. Ceux-ci sont tenus de dénoncer à leurs supérieurs, aux autorités de poursuite pénale ou au Contrôle fédéral des finances (CDF) tous les crimes et délits poursuivis d’office dont ils ont eu connaissance ou qui leur ont été signalés dans l’exercice de leur fonction (al. 1). L’al. 4 intègre un droit général, selon lequel les employés ont aussi le droit de signaler au CDF les autres irrégularités dont ils ont eu connaissance ou qui leur ont été signalées dans l’exercice de leur fonction.

Le CDF a la possibilité, en raison de sa fonction, dans le cadre de l’exercice de son activité de surveillance, de vérifier de manière discrète et sur site, la plausibilité des reproches soulevés. Il est tenu par la loi, lorsqu’il constate, dans le cadre de l’exercice de son activité de surveillance, des défauts dans l’organisation, la gestion administrative ou dans l’exécution des tâches, d’informer l’unité administrative compétente ; celle-ci lui fait rapport des mesures qu’elle a prises (art. 13, al. 2, de la loi sur le Contrôle des finances LCF ; RS 614.0).

Ce système de signalement s’applique à tous les employés de la Confédération. Une possibilité, pour les employés, d’informer directement l’AS-Rens ou la DélCdG n’est ni prévue ni nécessaire.