Lexipedia

AB 324181

Pointet François · Nationalrat · Waadt · Grünliberale Fraktion · 2023-09-11

Wortprotokoll

Le projet qui nous occupe aujourd'hui établit l'obligation de signaler les cyberattaques contre les infrastructures critiques. Nous sommes au niveau des divergences. Il nous en reste encore une avec le Conseil des Etats, qui concerne une obligation d'annoncer les vulnérabilités inconnues du public.

Cette proposition d'ajouter cette obligation a été suivie en première lecture par une majorité forte de votre commission, et acceptée en plénum. Depuis, le Conseil des Etats a refusé sèchement la proposition, mais en indiquant qu'il était ouvert à la recherche d'un compromis.

La commission a donc reconsidéré sa position lors de sa séance du 19 juin et vous propose justement un compromis. L'obligation d'annonce a été allégée, en ce sens qu'elle ne concerne plus les systèmes développés en interne de l'entreprise concernée. Autrement dit, l'obligation d'annonce des vulnérabilités reste, dans la proposition que nous vous [PAGE 1481] faisons aujourd'hui, lorsqu'il est fort probable qu'elle existe pour une autre infrastructure critique ou une organisation qui ne la connaîtrait pas encore. Cela fait donc sens, aux yeux de la majorité de la commission, pour augmenter la sécurité face aux cyberattaques en comblant au plus vite les vulnérabilités non connues du public.

La commission a pris connaissance des griefs annoncés par les milieux économiques. Ces arguments sont essentiellement les suivants: la crainte que les informations fournies au Centre national pour la cybersécurité (NCSC) puissent être piratées et utilisées à des fins d'attaques, et une augmentation inconsidérée des tâches administratives.

Ces arguments ont convaincu la minorité de la commission, mais la majorité reste d'avis que le compromis proposé permettrait d'augmenter la cybersécurité de nos infrastructures critiques et ne conduirait pas à une augmentation inconsidérée des coûts. En effet, les infrastructures critiques doivent de toute manière gérer et corriger les vulnérabilités qu'elles constatent. Communiquer au Centre national pour la cybersécurité (NCSC) les vulnérabilités non publiées hors des systèmes développés en interne ne constituerait pas une tâche coûteuse ou inconsidérée du point de vue des efforts. Pour ce qui est de la crainte que les informations collectées par le NCSC soient volées, il est bon de rappeler que le NCSC gère déjà des annonces de vulnérabilité non publiées.

La commission vous propose de soutenir le compromis par 14 voix contre 9 et 1 abstention.

AB 324181 | Lexipedia | Lexipedia