Français Olivier · Ständerat · 2023-06-01
Français Olivier · Ständerat · Waadt · FDP-Liberale Fraktion · 2023-06-01
Wortprotokoll
C'est un article important parce que c'est la définition de la mission. Nous nous achoppons sur un seul terme: "vulnérabilité". La majorité de la commission veut élaborer la loi de façon à croire que la vulnérabilité sera très clairement définie quoi qu'il arrive. Alors, dans ce cas, franchement, il ne faut pas faire de loi! Si on fait une loi pour signaler une cyberattaque et que l'infrastructure critique attaquée est vulnérable, le Centre national pour la cybersécurité (NCSC) fera son travail. Il est impossible que les autorités puissent assurer la sécurité d'un système informatique, et on ne peut pas rédiger le texte de manière à faire croire qu'elles en sont capables.
C'est pour cela que le texte du Conseil fédéral est cohérent. S'il y a des problèmes en cas de cyberattaque et que l'on constate que le système informatique est vulnérable, alors il faut intervenir. Il ne faut pas inverser le fardeau de la preuve, bien au contraire. A mon avis, on ferait une très grosse erreur. On donnerait une responsabilité, mais le système informatique est de toute façon incontrôlable.
Je pense que la version du Conseil national, soutenue par la majorité de la commission, est inapplicable. Je ne peux que vous recommander d'accepter la version du Conseil fédéral, qui me paraît nettement plus cohérente par rapport à l'action à mener. On ne peut pas faire d'un système informatique un coffre-fort. La majorité de la commission donne l'impression qu'on peut faire d'un système informatique un coffre-fort. Ce n'est pas possible! Comme je l'ai dit: si on avait la certitude [PAGE 388] qu'on peut faire d'un système informatique un coffre-fort, on ne ferait même pas de loi. Or, si on fait une loi, c'est parce que justement ce coffre-fort est vulnérable et que c'est parce qu'il est vulnérable qu'il faut donner la garantie au NCSC d'aller au coeur du système informatique.
Deux ou trois phrases sont un peu contraignantes. Il est dit que les organes publics et parapublics sont soumis à l'obligation de signaler les cyberattaques contre leur système informatique.
Dieu merci. Mais on parle de la connaissance du grand public. Or, la cyberattaque n'est pas le fait du grand public. La cyberattaque est composée de systèmes terriblement pervers qui ne sont pas à la portée du grand public - peut-être de milieux spécialisés, mais pas du grand public. Beaucoup d'erreurs, à mon avis, se trouvent dans le texte du Conseil national. J'ai de la peine à comprendre comment on peut suivre cette proposition.
Je ne peux que vous recommander de suivre le projet du Conseil fédéral et de la minorité de la commission.