Parmelin Guy · Bundesrat · 2018-05-31
Parmelin Guy · Bundesrat · Waadt · 2018-05-31
Wortprotokoll
Les constats de l'auteur de la motion sont pertinents, c'est la méthode et les mesures proposées qui nous inquiètent. Le Conseil fédéral vous recommande de rejeter la motion, qui, à ses yeux, souffre en particulier de quatre défauts majeurs.
Premièrement, la forme de la menace qui est relevée dans la motion n'est qu'une facette d'un problème qui est bien plus vaste. Vous le savez, les technologies de l'information recèlent un nombre élevé de failles, donc de possibilités d'en abuser. Est-ce que ces failles sont le résultat d'une volonté délibérée? Sont-elles simplement le résultat d'erreurs fortuites? Nous montrent-elles simplement les limites des connaissances du moment? La question reste ouverte. Voyez, par exemple, les vulnérabilités critiques, les failles de sécurité qui ont été découvertes en début d'année dans certains processeurs, que, jusque-là, tout le monde considérait comme extrêmement sûrs. La découverte de ces failles a constitué une surprise de taille pour de très nombreuses personnes. Récemment, d'autres failles ont été découvertes, ce qui pose alors légitimement la question suivante: va-t-on encore en découvrir prochainement de nouvelles, dans des systèmes que nous estimons particulièrement sûrs? Cela pourrait concerner des failles qui pourraient être encore plus critiques.
Si on répond par l'affirmative à la question que pose la motion - aurions-nous pu découvrir ces failles, qui affectent des[NB]milliards d'appareils dans le monde, par nos propres moyens? -, alors on doit se poser la question suivante: à quel prix? Je crois qu'il ne faut pas non plus tomber dans la paranoïa et s'imaginer que ces failles ont été conservées volontairement par des puissances étrangères. C'est premièrement indémontrable, et je pense que c'est un peu réducteur.
L'industrie, elle, continue à inonder le marché, pour des raisons commerciales, d'objets connectés peu ou pas sécurisés. Elle porte, elle aussi, une responsabilité - il y a d'ailleurs un postulat en cours de traitement par le Conseil national sur le sujet.
Deuxièmement, la solution qui consiste à vérifier les codes n'est qu'une des multiples mesures possibles pour réduire les risques. Au Département fédéral de la défense, de la protection de la population et des sports, nous mettons en place un large éventail de mesures. Il y a des mesures de sécurité, mais aussi l'entraînement des différentes personnes, la gestion des risques, la planification prévisionnelle.
Mettez-vous à la place d'un commandant militaire: celui-ci sait que, si ces systèmes devaient le lâcher au pire moment, cela aurait des conséquences extrêmement lourdes, pour lui-même et pour ses cadres, sur l'accomplissement de leurs missions. Il y a donc tout un ensemble de mesures techniques, préventives et organisationnelles qui sont prises pour minimiser ces risques.
Troisièmement, telle qu'elle est formulée, cette motion risque d'entraîner la Confédération dans un aventurisme technologique et vers des dépenses inconsidérées et immaîtrisables. Il faudrait aussi se demander où nous trouverions le nombre de personnes nécessaires et disposant des compétences suffisantes alors qu'il s'agit, déjà aujourd'hui, d'un marché sur lequel il faut lutter âprement pour l'engagement de chaque ingénieur. A titre d'exemple, ICT Switzerland estime qu'il manquera à la branche, d'ici 2022, près de 25[NB]000 professionnels. C'est là une question qui dépasse de loin le domaine des technologies de l'information et de la communication, puisqu'elle touche aussi l'économie et notre politique étrangère.
Pour terminer - c'est le quatrième point -, comme cela est mentionné dans le texte de la motion, il s'agit de questions qui touchent aussi les infrastructures critiques, et donc cela dépasse de loin le cadre du Département fédéral de la défense, de la protection de la population et des sports et la question du matériel militaire. Si une discussion doit être menée, celle-ci doit avoir lieu, comme l'a justement relevé Monsieur Français, dans le cadre de la Stratégie nationale de protection de la Suisse contre les cyberrisques, une stratégie placée sous la conduite du Département fédéral des finances. Dernièrement, un séminaire qui a eu lieu sur le sujet a permis de répartir les différentes missions dans les départements. Des experts ou des spécialistes ainsi que les hautes écoles sont également invités à participer aux discussions sur le sujet. Nous y travaillons.
En conclusion, nous avons reconnu l'importance du thème, nous prenons déjà toutes les mesures concrètes possibles pour identifier les dangers, réduire les risques potentiels et, en définitive, les ramener à un niveau que l'on pourrait qualifier d'acceptable.
Je pense que cette motion va beaucoup trop loin, comme je l'ai démontré, en termes d'aventurisme technologique. Cette seule limite risque de confronter la Confédération à l'impossibilité de remplir la mission qui lui est confiée dans la motion, faute de ressources en personnel disponible et en raison des coûts qui seraient engendrés. [PAGE 360]
Nous vous proposons, comme votre commission, de rejeter la motion.