Renforcement de la sécurité des réseaux et protection contre les cybermenaces (révision partielle des ordonnances dans le domaine des télécommunications)
Département fédéral de l'environnement, des transports, de l'énergie et de la communication DETEC
Berne, le 27 mai 2026
Renforcement de la sécurité des réseaux et protection contre les cybermenaces (révision partielle des ordonnances dans le domaine des télécommunications)
Rapport explicatif relatif à l’ouverture de la procédure de con sultation
BK-D-BB8A3401/1090
Aperçu Contexte
En Suisse, l’infrastructure de télécommunication constitue désormais un pilier essentiel pour la société et l’économie, ainsi qu’un élément clé de la politique de sécurité. Cela vaut en particulier pour le réseau de radiocommunication mobile. Alors que l'accent était mis par le passé sur les performances techniques telles que la bande passante et la qualité, les risques liés à la sécurité occupent désormais le devant de la scène depuis l’essor de la numérisation et la mise en réseau mondiale.
Les cybermenaces et autres infractions commises au moyen d’infrastructures de télé communication, les violations de la protection des données et les dépendances géo politiques représentent une menace croissante. Les anciennes générations de ré seaux, qui ne sont pas conçues pour prévenir les cyberattaques, posent un problème particulier. Il est donc nécessaire d’agir afin d’éviter au plus tôt les failles de sécurité dans les réseaux mobiles actuels et de renforcer le fonctionnement indépendant et la stabilité des infrastructures de communication suisses.
La protection ne doit cependant pas se limiter aux infrastructures. Avec la numérisation et les progrès technologiques, les consommateurs sont eux aussi exposés à des dan gers croissants qu’il convient de prévenir.
Contenu du projet
Le contenu du projet découle principalement de la mise en œuvre du postulat Pult (20.3984) «Infrastructure numérique. Réduire les risques géopolitiques». Au regard du mandat confié par le Conseil fédéral au DETEC, certaines des mesures de sécurité requises peuvent être prises au niveau de l’ordonnance sur la base de l’actuel art. 48a, al. 2, de la loi du 30 avril 1997 sur les télécommunications (LTC; RS 784.10). Le projet vise à renforcer la sécurité de l’infrastructure de télécommunication contre les cyber menaces et autres risques sécuritaires. Pour atteindre cet objectif, il convient notam ment de rendre l’exploitation de l’infrastructure de télécommunication plus résiliente, plus sûre et plus diversifiée. A cette fin, les dispositions nécessaires sont prises au niveau de l’ordonnance. Des modifications ponctuelles dans le domaine des res sources d’adressage sont également prévues sur la base de l’art. 28, al. 6, let. a et d, LTC, en particulier une meilleure protection contre le «spoofing» (usurpation d’identité) et des restrictions concernant la sous-attribution des numéros de téléphone. Ces me sures permettent elles aussi de renforcer la sécurité de la population.
1.3 Relation avec le programme de la législature, le plan financier et les stratégies 4.2 Ordonnance du 25 novembre 2015 sur les installations de télécommunication .. 22
Rapport explicatif
1 Contexte
1.1 Nécessité d’agir et objectifs visés
Nécessité d’agir
La situation géopolitique actuelle exacerbe, les tensions et les incertitudes, ce qui pro voque un besoin de sécurité accru dans de nombreux domaines politiques et écono miques et en particulier dans le secteur des communications. En effet, pour bien fonc tionner, l’Etat, l’économie et la société doivent pouvoir compter sur des infrastructures de télécommunication sûres, fiables et disponibles à tout moment. Les dépendances technologiques représentent une faille qui permet à des acteurs étrangers étatiques ou proches de l’Etat d’exercer une pression politique ou économique, voire de saboter des infrastructures critiques ou d’obtenir des informations stratégiques.
En Suisse, les infrastructures de télécommunication, à commencer par les infrastruc tures de réseau mobile, sont devenues des piliers de la vie sociale et économique. Il faut donc réduire les risques susceptibles de menacer la sécurité de la Suisse. En outre, il est dans l'intérêt public d'éviter les pannes de réseau dans toute la mesure du possible.
Dans ce contexte, le Parlement a transmis ces dernières années diverses interventions relatives à un renforcement de la sécurité des infrastructures et des services de télé communication et de leur résilience face aux nouvelles formes de menaces. La numé risation et l’interconnexion croissantes des systèmes multiplient également les failles, et donc la vulnérabilité aux menaces hybrides. Ces failles permettent d’exploiter des moyens technologiques à des fins de déstabilisation, de chantage ou d’influence ciblée. Une infrastructure de télécommunication résiliente, sûre et diversifiée constitue donc un élément essentiel pour la capacité d’action de la Suisse, la stabilité économique et la confiance de la population dans les infrastructures de base.
Le développement technologique a offert de nouvelles possibilités non seulement aux experts bien intentionnés, mais aussi aux cybercriminels. Dans le contexte géopolitique actuel, des Etats et des services de renseignement étrangers pourraient aussi saboter le cyberespace à des fins politiques. Le secteur des télécommunications est d’ailleurs depuis quelque temps dans le viseur de cyberacteurs étatiques. Internet, les réseaux sociaux et l’intelligence artificielle présentent non seulement d'énormes avantages, mais aussi de très grands risques potentiels de dommages. L’utilisation de ces tech nologies comporte des dangers considérables pour la sécurité. Ces cybermenaces re vêtent différentes formes, par exemple une violation de la protection et de la sécurité des données ou une diminution des capacités de contrôle et d’intervention sur les in frastructures critiques. En outre, les cybermenaces et les escroqueries par téléphone ont augmenté ces dernières années et se maintiennent à un niveau élevé, causant des dommages financiers importants aussi bien aux personnes physiques qu’aux per sonnes morales.
Les réseaux informatiques et de télécommunication d’anciennes générations sont dif ficiles à modifier pour les protéger des cyberattaques ou du cyberespionnage. Leur sécurisation passe souvent par des solutions provisoires, car les remplacer à l’échelle mondiale nécessiterait beaucoup de temps et de moyens. Il faut donc impérativement éviter que les réseaux mobiles modernes ne présentent les mêmes lacunes et ne posent les mêmes problèmes. 4/32
Le projet mis en consultation contribue à la mise en œuvre de la stratégie en matière de politique de sécurité, de la stratégie nationale pour la protection des infrastructures critiques (stratégie PIC)1 ainsi que de la cyberstratégie nationale NCS2 contre les cy bermenaces. Il propose en outre des mesures pour protéger les ressources d’adres sage suisses sur la base de l’art. 28, al. 6, let. a et d, LTC.
Objectifs
Sur la base du postulat Pult (20.3984) «Infrastructure numérique. Réduire les risques géopolitiques» et de l’art. 48a, al. 2, LTC, le Conseil fédéral propose l’introduction, au niveau de l’ordonnance, de certaines des mesures requises pour l’infrastructure de té lécommunication, en particulier les réseaux de radiocommunication mobile. Les me sures prévues doivent être en force avant la prochaine attribution des fréquences de radiocommunication mobile. Une révision s'impose donc à l'heure actuelle de sorte que les soumissionnaires qui participent à la mise aux enchères pour l’utilisation des fré quences puissent avoir connaissance des nouvelles conditions-cadres. Une révision à la suite de la révision en cours de la LTC serait dès lors trop tardive au regard de cette exigence.
En Suisse, la sécurité des réseaux est étroitement liée à l’interconnexion mondiale des infrastructures de télécommunication. Une lutte efficace contre les cybermenaces exige l’étroite collaboration des acteurs du secteur. La mise en commun des forces et des synergies permet une mise en œuvre cohérente et rapide des mesures de sécurité. Le développement de bonnes pratiques et de lignes directrices ainsi que la création d’une base de données commune recensant les vulnérabilités, les attaques et les me sures correctives constituent les étapes décisives d’une approche ordonnée.
Adopter et appliquer des règles et des normes internationales permet aussi d’améliorer la robustesse des réseaux exploités et il convient de le faire aussi bien pendant toute la durée de vie des systèmes que lors de changements technologiques. Avant de mettre des infrastructures en service, les concessionnaires de radiocommunication mo bile et les opérateurs de réseaux mobiles virtuels complets (Full MVNO, à savoir les opérateurs de réseau mobile qui offrent à titre indépendant des services de radiocom munication mobile en recourant au réseau d'accès radio (Radio Access Network [RAN]) d’un concessionnaire de communication mobile) doivent s’assurer que leurs infrastruc tures respectent le principe «Secure by Design» et qu’elles sont configurées conformé ment au principe «Secure by Default», à savoir qu’elles sont déjà sécurisées et qu’elles fonctionneront dès le départ avec des paramètres standard sécurisés. Cela inclut éga lement l’utilisation d’instruments pour détecter les intrusions et les compromissions dans les réseaux.
A moyen terme, le projet vise à renforcer la protection et la sécurité des données ainsi que les capacités de contrôle et d’intervention sur les infrastructures critiques, ce qui passe par l’exploitation de centres d’opérations du réseau (Network Operations Center [NOC]), de centres des opérations de sécurité (Security Operation Center [SOC]) et des réseaux centraux (core networks) des réseaux mobiles modernes qui soient situés en Suisse.
Il s’agit de mieux contrôler, dans les réseaux de télécommunication, l’utilisation des équipements considérés comme critiques et d’introduire des exigences de sécurité plus
Conseil fédéral (2023b). Conseil fédéral (2023a).
strictes pour l’acquisition de composants du réseau central. Pour y parvenir, il convient de créer ou de modifier certaines définitions, de fixer des conditions générales et de mettre en place des procédures de contrôle, d’évaluation des risques et de conformité applicables aux installations critiques de réseaux. Les fabricants de ces équipements devront dorénavant procéder à une évaluation des risques et mener une procédure d’évaluation de la conformité appropriée, en faisant appel à un organisme tiers.
Les dispositions proposées dans le domaine des ressources d’adressage visent à mieux protéger les utilisateurs d’outils de communication modernes contre les cyber menaces et les infractions commises au moyen d’infrastructures de télécommunica tion. Même si le droit des télécommunications ne peut pas résoudre les problèmes en matière de poursuite pénale et de prévention, il devrait contenir autant que possible des règles qui soutiennent les autorités de poursuite pénale et servent à la prévention, sans compromettre le bon fonctionnement des communications.
L’introduction des mesures de sécurité et de protection appropriées nécessite d’adap ter les dispositions réglementaires en vigueur. Il y a lieu en l’occurrence de réviser partiellement l’ordonnance du 9 mars 2007 sur les services de télécommunication3 (OST), et de modifier l’ordonnance du 25 novembre 2015 sur les installations de télé communication4 (OIT) ainsi que l’ordonnance correspondante de l’OFCOM du 26 mai 2016 sur les installations de télécommunication5 (OOIT). Des modifications ponctuelles de l’ordonnance du 6 octobre 1997 sur les ressources d’adressage dans le domaine des télécommunications6 (ORAT) sont également nécessaires.
1.2 Alternatives examinées et solution retenue
Les options ci-après ont été examinées et rejetées.
Maintien du statu Quo Si aucune nouvelle règle de sécurité n’était mise en place, le développement des télécommunications ne pourrait pas suivre le rythme des progrès technolo giques. Les failles de sécurité persisteraient et s’aggraveraient. Comme au jourd’hui, les fournisseurs ne pourraient lutter contre l’utilisation abusive des numéros d’appel (spoofing) que lorsqu’ils en ont effectivement connaissance. La protection contre les appels frauduleux resterait donc limitée. En outre, un nombre presque incontrôlable de fournisseurs pourraient continuer à utiliser des numéros de téléphone suisses et la surveillance des sous-attributions se rait pratiquement impossible.
Autorégulation renforcée au lieu de dispositions contraignantes Des recommandations ou des règles sectorielles volontaires ne suffisent pas, car elles sont souvent contraires à l’intérêt des fournisseurs. Leur mise en œuvre volontaire serait en outre complexe et coûteuse. Des améliorations effi caces nécessitent donc des prescriptions légalement contraignantes et appli cables.
3 RS 784.101.1 4 RS 784.101.2 5 RS 784.101.21 6 RS 784.104
Autorisation de l’OFCOM pour les composants centraux du réseau Soumettre à homologation les composants centraux du réseau et à autorisa tion les organismes de contrôle externes engendrerait une charge administra tive importante et des coûts excessifs.
Exploitation des fonctions critiques indépendamment des autres sys tèmes juridiques Se contenter d'imposer aux opérateurs de réseau mobile de veiller à ce que les fonctions centrales telles NOC, SOC et l’exploitation de réseaux modernes destinés aux services suisses soient exploités indépendamment des systèmes juridiques étrangers est difficile à contrôler et à faire respecter.
Cyberdéfense étatique centralisée au service des fournisseurs privés Les ressources financières manquent actuellement pour une cyberdéfense étatique centralisée au service des entreprises privées.
Obligation de siège en Suisse L’obligation pour les opérateurs de réseau mobile d’avoir un siège en Suisse n’apporterait pas d’avantages en matière de sécurité par rapport à une simple adresse de correspondance ou une inscription au registre du commerce.
Compétences élargies pour la ComCom dans le cadre de l’octroi des fré quences La proposition de donner une plus grande marge de manœuvre à la ComCom pour qu’elle puisse prévoir des conditions de sécurité dans le cadre de l’octroi des fréquences devrait être prévue au niveau de la loi.
Affiliation obligatoire à la GSMA Même si la GSMA met à disposition de ses membres des moyens utiles pour améliorer la sécurité et qu’elle calcule les contributions en fonction de leur chiffre d’affaires, l’obligation d’affiliation a été écartée car elle porterait atteinte à la liberté d’association.
Possibilités d’allégement pour les entreprises Les MVNO sont exclus d’une grande partie des dispositions en matière de sé curité. Il n’est pas envisageable de prévoir d’autres possibilités d’allégement au sens de l’art. 4, al. 1 de la loi fédérale du 29 septembre 2023 sur l’allége ment des coûts de la réglementation pour les entreprises (LACRE)7. Sinon, le risque serait trop grand que des vulnérabilités soient rapidement identifiées et que des conséquences importantes surviennent. La solution choisie se compose des éléments énumérés ci-dessous. Elle est décrite plus en détail au chiffre Fehler! Verweisquelle konnte nicht gefunden werden. sq:
• Exigences de sécurité plus strictes pour les installations de réseau cri tiques Introduction de procédures de contrôle et d’évaluation des risques et de la con formité pour les installations de réseau critiques.
7 RS 930.31
Vérification de la conformité des installations de réseau critiques Les fabricants garantissent que leurs installations de réseau critiques répon dent aux exigences spécifiques en matière de sécurité et démontrent la confor mité de ces installations au moyen d’une procédure adéquate.
Obligation de «Secure by Design» et de «Secure by Default» Les concessionnaires de radiocommunication mobile et les opérateurs de ré seau mobile virtuel complet exploitent des réseaux conçus et configurés dès le départ de manière sécurisée et activent toutes les fonctionnalités de sécurité fournies par les fabricants.
Coopération obligatoire et banque de données nationale pour les vulné rabilités Les concessionnaires de radiocommunication mobile et les opérateurs de ré seau mobile virtuel complet coopèrent activement, entre eux et avec la Confé dération, et s’informent régulièrement des vulnérabilités et des cyberattaques dans leurs réseaux.
Obligation de détection des attaques et des manipulations Les concessionnaires de radiocommunication mobile et les opérateurs de ré seau mobile virtuel complet mettent en place des méthodes et des outils per mettant de détecter des attaques et des manipulations dans les réseaux de ra diocommunication mobile.
Exploitation de centres d’opération du réseau et centres des opérations de sécurité obligatoirement en Suisse Les centres d’opération du réseau (NOC) et les centres des opérations de sé curité (SOC) doivent être exploités en Suisse. Les fonctions de sécurité et d’exploitation essentielles doivent aussi se trouver en Suisse, même si des sites à l’étranger sont autorisés comme infrastructures redondantes tempo raires.
Simplification de la lutte contre l’utilisation abusive de numéros d’appel (spoofing) Les fournisseurs doivent pouvoir intervenir dès les premiers indices d’utilisation abusive, afin de mieux protéger les consommateurs.
Limitation des sous-attributions à un seul niveau Les numéros de téléphone ne doivent pouvoir être transmis qu’une seule fois afin de garantir la traçabilité, réduire les coûts de surveillance et empêcher les abus.
Limitation de l’utilisation abusive de ressources d’adressage Des adaptations concernant l’utilisation des codes MNC (Mobile Network Codes), des blocs de numéros et des adresses globales (Global Title, GT) vi
sent à empêcher que ces ressources ne soient utilisées abusivement dans le réseau de signalisation pour des attaques numériques ou pour la localisation. • Obligation de respecter des normes de sécurité internationales Les concessionnaires de radiocommunication mobile et les opérateurs de ré seau mobile virtuel complet doivent respecter les normes de sécurité interna tionales.
Les obligations prévues concernent des domaines du marché des télécommunications en partie non encore réglementés. Comme indiqué au point Fehler! Verweisquelle konnte nicht gefunden werden., elles sont rendues nécessaires par les évolutions technologiques et les nouvelles possibilités d’utilisation abusive qui vont avec. Ces évo lutions n’ont pas pour conséquence de retrancher le besoin de réglementation dans d’autres domaines du droit des télécommunication. Il n’y a dès lors pas de possibilité d’alléger la charge des entreprises concernées en abrogeant d’autres réglementations, comme le prévoit l’art. 4, al. 1, let. d, LACRE.
1.3 Relation avec le programme de la législature, le plan financier et les straté gies du Conseil fédéral Le projet n’est annoncé ni dans le message du 24 janvier 20248 sur le programme de la législature, ni dans l’arrêté fédéral du 6 juin 20249 sur le programme de la législature 2023-2027.
La révision partielle des ordonnances susmentionnées se justifie néanmoins car les mesures proposées contribuent à la réalisation de l’objectif 20 de l’arrêté fédéral sur le programme de la législature 2023-202710. Conformément à cet objectif, la Confédéra tion doit anticiper les cyberrisques et prendre des mesures efficaces pour protéger la population, l’économie et les infrastructures critiques. Les mesures de sécurité propo sées joueront un rôle important à cet égard.
Les stratégies nationales contre les cybermenaces (CSN)11 et de protection des infras tructures critiques12, notamment l’objectif «Services et infrastructures numériques sûrs et disponibles»13, suivent aussi cette approche préventive. Elles chargent par ailleurs le Conseil fédéral d’analyser les cyberrisques et les vulnérabilités, et de proposer les réglementations nécessaires au vu des besoins et des lacunes juridiques. Le projet de consultation correspond à ces stratégies et contribue à leur concrétisation.
1.4 Classement d’interventions parlementaires
Le projet de consultation met en œuvre au niveau des ordonnances les mesures de sécurité demandées dans le postulat Pult (20.3984) «Infrastructure numérique. Réduire les risques géopolitiques». Il contribue en outre à répondre aux demandes formulées dans le postulat Maret (24.3632) «Appels indésirables. De nouvelles mesures sont- elles nécessaires ?», dans la motion Seiler-Graf (24.4392) «Prendre des mesures effi caces pour empêcher l’utilisation abusive de numéros de téléphone suisses» et dans la motion Candinas (24.4391) «Prendre des mesures de protection contre les appels publicitaires masqués provenant de numéros de téléphone suisses».
2 Comparaison juridique, en particulier avec le droit européen
L’Union européenne (UE) se préoccupe de manière très sérieuse de la sécurité de ses réseaux et systèmes d’information numériques en tant qu’infrastructures vitales pour son économie et sa société. Le droit de l’UE cherche ainsi à créer un écosystème nu mérique sûr et résilient en imposant des obligations de sécurité aux acteurs clés, en 8 FF 2024 525 9 FF 2024 1440 Conseil fédéral (2023a). Conseil fédéral (2023b). NCS (2023).
favorisant la coopération entre Etats membres et en mettant en place des mécanismes de certification, de supervision et de sanction. Il s’agit de protéger les citoyens, les entreprises et les institutions contre les cybermenaces et de garantir le bon fonction nement du marché unique numérique.
Les bases légales du droit de l’UE forment un cadre juridique complet en matière de sécurité des infrastructures numériques qui se divisent en trois catégories: celles qui sont pleinement dédiées à la cybersécurité, celles qui contiennent des dispositions re latives à la cybersécurité et celles qui y font référence. Les dispositions déterminantes qui régissent la sécurité des infrastructures, des services et des appareils terminaux découlent pour l’essentiel de la loi sur la cybersécurité (Cybersecurity Act, CSA)14, de la loi sur la cyberrésilience (Cyber Resilience Act, CRA)15, la directive « NIS2 » sur la sécurité des réseaux et des systèmes d’information16 ainsi que la boîte à outils de con nectivité pour la 5G et le haut débit de la Commission européenne (« 5G-Toolbox »)17.
L’accord entre la Confédération suisse et l’UE relatif à la reconnaissance mutuelle en matière d’évaluation de la conformité (ARM CH-UE)18 constitue un instrument visant à supprimer les entraves techniques au commerce dans la commercialisation de nom breux produits industriels entre la Suisse et l’UE, en particulier le secteur des équipe ments hertziens et des équipements terminaux de télécommunications (chapitre 7). L’ARM CH-UE intègre à ce titre un certain nombre de prescriptions en matière de cy bersécurité qui se conforment à la législation européenne. Conformément à ses obli gations découlant de l’ARM, la Suisse a aligné sa législation sur la directive 2014/53/UE relative aux équipements radioélectriques (RED)19. Ce texte établit un cadre réglemen taire pour la mise sur le marché de ces équipements qui comprend des exigences techniques relatives à la protection de la vie privée et des données à caractère person nel, ainsi qu’à la protection contre la fraude. Intégrées comme exigences essentielles additionnelles dans l’OOIT en 2022 (voir art. 1 et annexe 1 OOIT), ces dispositions renforcent la cybersécurité de certains appareils sans fil connectés (par ex. smart phones, montres, applications de gestion de l’activité physique et jouets) disponibles sur le marché suisse. Ceux-ci doivent disposer de fonctions empêchant toute pertur bation du réseau de communication afin d’en renforcer la résilience. Les dispositions de l’OOIT s’appliquent également aux installations 5G.
Règlement (UE) 2918/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des commu nications, et abrogeant le règlement (UE) n° 526/2013 (Règlement sur la cybersécurité), JO L 151 du 7.6.2019, p. 15; modifié par la directive (UE) 2025/37, JO L, 2025/37, 15.1.2025). Règlement (EU) 2024/2847 du Parlement européen et du Conseil du 23 octobre 2024 concernant des exigences de cy bersécurité horizontales pour les produits comportant des éléments numériques et modifiant (UE) n° 168/2013 et (UE) 2019/1020 et la directive (UE) 2020/1828 (Règlement sur la cyberrésilience), JO L, 2024/2847, 20.11.2024. Directive (EU) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures desti nées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (EU) 2016/1148 (Directive SRI 2), JO L 333 du 26.12.2022, p. 80. EU (2020). 18 RS 0.946.526.81 Directive 2014/53/UE du Parlement européen et du Conseil du 16 avril 2014 relative à l'harmonisation des législations des États membres concernant la mise à disposition sur le marché de matériel de radiocommunication et abrogeant la directive 1999/5/CE Texte présentant de l'intérêt pour l'EEE, JO L 153 du 22.5.2014, p. 62.
3 Grandes lignes du projet
3.1 La nouvelle réglementation proposée
La nouvelle réglementation impose des exigences de sécurité plus strictes pour l’ac quisition et l’exploitation d’installations de télécommunication telles que les antennes de radiocommunication mobile et les logiciels. Elle concerne aussi bien les concession naires de radiocommunication mobile que les opérateurs de réseaux mobiles virtuels complets (Full Mobile Virtual Network Operator [Full MVNO]. En effet, la notion d’ins tallation de réseau critique et les exigences de sécurité y relatives dans l’OIT impliquent des procédures de contrôle, d’évaluation des risques et de vérification de la conformité applicables aux appareils et équipements de réseau fixes et mobiles. Les fabricants auront l’obligation de remettre une copie de la documentation technique prouvant la conformité des installations de réseau critiques aux exigences renforcées de sécurité. Les nouvelles mesures de sécurité introduites par cette révision ne concernent que les réseaux de télécommunication publics qui servent à fournir des services aux clients finaux (cf. art. 2 et art. 28b et 28c OIT).
Par ailleurs, en vertu des prescriptions techniques et administratives (PTA) pour la sé curité des réseaux de télécommunication mobiles, les concessionnaires de radiocom munication mobile et les opérateurs de réseau mobile virtuel complet doivent vérifier régulièrement la conformité de leur réseau central et de leurs autres installations cri tiques, et fournir la preuve que les différentes normes internationales harmonisées sont respectées (art. 96fbis OST). L’OFCOM est habilité à contrôler la documentation tech nique en possession des opérateurs (art. 28b et 28c, OIT).
Les concessionnaires de radiocommunication mobile et les opérateurs de réseau mo bile virtuel complet sont en outre tenus d’exploiter des réseaux de télécommunication dits «Secure by Design» et d’implémenter toutes les options et fonctions de sécurité «Secure by Default» mises à disposition par les fabricants d’équipements de réseau
Par ailleurs, le projet vise à obliger les concessionnaires de radiocommunication mobile et les opérateurs de réseau mobile virtuel complet à collaborer activement entre eux et avec les services concernés de la Confédération sur le thème de la sécurité des ré seaux et des services de télécommunication, et à les amener à créer et à alimenter une base de données nationale des vulnérabilités et des intrusions dans les systèmes de télécommunication mobiles. Il s’agit aussi pour les opérateurs de mettre en place et d’utiliser des méthodes et des outils de détection d’intrusions et des compromissions dans les réseaux de télécommunication mobiles (art. 96fbis OST).
En outre, selon le projet de loi, les concessionnaires de radiocommunication mobile et les opérateurs de réseaux mobiles virtuels complets doivent exploiter leurs centres d’opérations du réseau (NOC) et leurs centres des opérations de sécurité (SOC) en Suisse. Les concessionnaires de radiocommunication mobile et les opérateurs de ré seaux mobiles virtuel complets veillent par ailleurs à ce que les fonctions essentielles à la sécurité et à l’exploitation de leurs réseaux soient assurées en Suisse, tout en pouvant compter sur des systèmes redondants à l’étranger en cas de panne (art. 96fbis OST).
En raison du risque d’utilisation abusive des numéros de téléphone suisses, les four nisseurs peuvent et doivent pouvoir prendre des mesures préventives. En règle géné rale, ils disposent d’indices et d’éléments qui leur permettent de supposer, sans toute fois en avoir la preuve, qu’un numéro est «usurpé». Cela facilite la protection des 11/32
consommateurs. Les fraudeurs exploitent délibérément la grande confiance de la po pulation vis-à-vis des numéros suisses. Actuellement, les conditions en matière d’utili sation et d’attribution de numéros de téléphone prévus par le droit suisse des télécom munications sont très libérales. Elles répondaient bien aux besoins lors de l’ouverture du marché, mais compliquent désormais à la fois la surveillance en matière de télé communications et le travail mené par les autorités de poursuite pénale compte tenu de la numérisation et de la mondialisation. Plusieurs pays européens (p. ex. Allemagne, France, Autriche et Finlande) ont déjà pris des mesures pour protéger leurs plages de numéros. Même si les modifications prévues du droit des télécommunications ne suffi sent pas à elles seules, elles contribuent néanmoins à endiguer les cybermenaces et les infractions commises au moyen d’infrastructures de télécommunication et à les poursuivre plus efficacement (art. 26a, al. 6, OST).
Conformément au cadre juridique en vigueur, le titulaire d’un bloc de numéros peut sous-attribuer des numéros aux fournisseurs de services de télécommunication enre gistrés selon l’art. 4 LTC. Bien que de telles sous-attributions doivent être signalées à l’OFCOM dans le cadre des relevés sur l’utilisation des ressources, les autorités de surveillance des télécommunications et de poursuites pénales peinent et parfois échouent à remonter jusqu’au titulaire en cas de sous-attributions multiples, à plus forte raison lorsque celles-ci se répartissent sur plusieurs niveaux et impliquent des fournis seurs aussi bien à l’étranger qu’en Suisse. Les autorités doivent souvent déployer des efforts considérables pour retracer ces sous-attributions en cascade, et poursuivre les fournisseurs. La correspondance avec les entreprises étrangères est souvent très fas tidieuse et rarement efficace. Bien qu’en théorie ces entreprises soient soumises au droit suisse des télécommunications, il est pratiquement impossible de leur faire res pecter les prescriptions légales en la matière comme elles peuvent se trouver n’importe où dans le monde. Il est dans ces conditions prévu de soutenir la lutte contre l'utilisation abusive de numéros suisses au niveau de l'ordonnance. Pour qu’il soit possible en tout temps d’identifier le titulaire, le projet autorise une seule sous-attribution à un seul ni veau, à savoir du titulaire du bloc à un autre fournisseur (basé en Suisse ou à l’étran ger). La limitation de la sous-attribution à un seul niveau vise à réduire le travail admi nistratif et réglementaire ainsi que les coûts que celle-ci engendre, tout en renforçant le contrôle de l’utilisation des numéros suisses. Cela permet en outre de lutter contre les abus, car des numéros suisses apparaissent souvent dans des cas de fraude, no tamment pour la création de faux comptes d’utilisateurs sur des plateformes en ligne (réseaux sociaux, applications de messagerie telles que WhatsApp) ou pour l’enregis trement auprès de banques et de services de paiement (p. ex. Twint) (art. 23, al. 2, let. a et b, ORAT).
Une autre adaptation proposée concerne les ressources d’adressage utilisées dans les réseaux de télécommunication mobiles. Elle prévoit une modification de l’art. 47 ORAT afin d’associer de manière non ambiguë l’attribution de ressources d’adressage (Mobile Network Code (MNC) et blocs de numéros E.164) à la construction d’un « Global Title » (GT). La construction du GT doit par conséquent intégrer explicitement une partie des identifiants associés aux blocs de numéros E.164 ainsi qu’au MNC attribués.
L’adresse globale (Global Title [GT]) est utilisée dans un système de signalisation afin d'assurer le routage des appels sur les réseaux de téléphonie mobile. Les mesures prévues visent à limiter l’utilisation de GT, qui ne seraient manifestement pas associés, de manière explicite aux ressources d’adressage attribuées, à des fins frauduleuses sur le réseau de signalisation des réseaux mobiles (par exemple pour suivre la locali sation des clients mobiles).
Enfin, l’introduction d’une obligation pour les concessionnaires de radiocommunication mobile et les opérateurs de réseau mobile virtuel complet de respecter les normes de sécurité internationales devrait également contribuer à renforcer la sécurité et, par con séquent, l’attractivité de la Suisse (art. 96fbis OST).
3.2 Mise en œuvre
Les mesures relatives aux risques pour la sécurité s’orientent principalement sur la boîte à outils 5G de l’UE, dont tiennent compte de toute façon les opérateurs actifs à l'échelle internationale. Elles se fondent en outre sur des normes techniques interna tionales. On peut donc partir du principe que ces mesures peuvent être mises en œuvre facilement, tout en évitant des exigences réglementaires plus strictes que celles figu rant dans les réglementations comparables à l’étranger (art. 4, al. 1, let. b, LACRE).
Il est difficile d’évaluer, conformément à l’art. 4, al. 1, let. c, LACRE, dans quelle mesure des moyens électroniques permettraient de simplifier l’exécution de la réglementation. Les interactions avec les autorités sont peu nombreuses. Les mesures concernent avant tout l’organisation opérationnelle de quelque 15 opérateurs de réseau mobile et d’un nombre inconnu, mais inférieur à 100, de fabricants internationaux d’installations de réseau. Les entreprises concernées sont libres de choisir les moyens à mettre en œuvre pour atteindre les objectifs fixés.
4 Explications article par article
4.1 Ordonnance du 9 mars 2007 sur les services de télécommunication
Art. 1, let. e Termes
L’art. 1, let. e, définit désormais également ce qu’il faut entendre par «Full Mobile Virtual Network Operator» (Full MVNO) ou opérateur de réseau mobile virtuel complet, à sa voir les fournisseurs de services de télécommunication qui offrent à titre indépendant des services de radiocommunication mobile en recourant au réseau d'accès radio (Ra dio Access Network [RAN]) d’un concessionnaire de communication mobile. Autrement dit, il s’agit d’un fournisseur de services de radiocommunication mobile à part entière, à l’exception près qu’il loue le RAN d’un concessionnaire de radiocommunication mo bile partenaire. Un Full MVNO peut dès lors se définir selon les critères suivants:
Enregistré comme fournisseur de services de télécommunication (FST) au près de l’OFCOM;
Détient sans restriction un code MNC (Mobile Network Code) attribué par l’OFCOM;
Détient des ressources d’adressage E.164 attribuées par l’OFCOM;
Est au bénéfice d’un accord d’itinérance nationale (National Roaming Agree ment [NRA]) avec un FST qui est concessionnaire de radiofréquences déli vrées par l’OFCOM;
Détient et opère, partiellement ou complètement, son ou ses propres ré seaux de cœur (Core Network) de radiocommunication mobile.
Art. 26a, al. 6 Transmission de numéros d’appel
Les appels passés sous couvert d’un numéro suisse usurpé (Calling Line Identification, [CLI] ou identification de la ligne appelante) constituent un fléau très répandu et peu vent causer des dommages considérables. Ils inspirent une confiance injustifiée
dont les escrocs abusent pour tromper de diverses manières les personnes qu’ils ap pellent en Suisse et, surtout pour leur porter préjudice sur le plan financier. Il faut pou voir lutter de manière rapide, préventive et efficace contre ce danger. C’est pourquoi, les fournisseurs devraient pouvoir prendre des mesures aussitôt qu’ils ont un soupçon fondé sur de tels appels, et non pas comme actuellement dès qu’ils en ont connais sance. Ils n’ont en effet aucun moyen d’avoir effectivement connaissance de ces ap pels frauduleux, notamment parce qu’il leur est fondamentalement interdit d’en surveil ler le contenu des télécommunications quand bien même ce serait parfois nécessaire dans ces cas. La connaissance effective ne peut souvent être acquise qu’à posteriori, une fois le préjudice causé.
En vertu du projet, il suffit que les fournisseurs aient des raisons de soupçonner qu’un numéro transmis n’est pas valable ou utilisé sans droit, et qu’il est donc a priori «usurpé». Les exigences relatives à la suppression d’un numéro ou au blocage d’un appel sont dans cette mesure assouplies afin de permettre une intervention plus rapide.
En vertu de l’art. 26a, al. 6, OST, les fournisseurs doivent soit empêcher la transmission d’un numéro (suppression du CLI), soit bloquer l’appel. Le législateur accorde cette latitude car, dans la pratique, les fournisseurs ne peuvent pas déterminer avec certi tude, pour chacune des configurations possibles impliquant des numéros suisses, si un numéro affiché n’est pas valable parce qu’il a été usurpé ou parce qu’il s’agit d’une erreur technique de transmission. Ils ont la possibilité de déterminer sans aucun doute si un numéro est utilisé avec un droit d'utilisation uniquement en se référant à leur plage de numéros ou en fonction de leur clientèle. Il n’existe aucune base de données qui permettrait une vérification globale. Les appelants exploitent délibérément cette lacune en usurpant le numéro de clients de A pour joindre des clients de B. Les circonstances concrètes varient considérablement d’un appel à l’autre et en fonction de la situation et des fournisseurs (taille, technologie de réseau, etc.), raison pour laquelle ceux-ci doi vent pouvoir choisir entre les deux options.
En principe, les fournisseurs devraient opter pour la mesure la moins restrictive et se limiter à supprimer l’identification de la ligne appelante, à moins de disposer d’informa tions qui permettent d’établir de manière quasi certaine qu’il s’agit d’un appel fraudu leux et leur permet d’opter pour le blocage de l’appel. Le blocage est par exemple en visageable si le fournisseur constate, sur la base de ses propres plages de numéros, que le client concerné ou le numéro qui lui a été attribué, ne peuvent pas se trouver à l’étranger, notamment parce que le numéro ou l’appareil est actif sur le réseau en Suisse, ce qui démontre une incohérence géographique manifeste. Il en va de même pour les séquences de chiffres qu’on sait ne pas être des numéros d’appel parce qu’elles ne respectent pas les prescriptions relatives aux blocs de numéros E.164 ou aussi pour les numéros provenant de plages protégées ou de numéros réservés (p. ex., les numéros d’urgence [117, 118]). Certaines circonstances indiquent également que les numéros affichés sont usurpés, par exemple lorsque de très nombreux appels identiques sont passés en l’espace de quelques secondes à partir de la même source avec des numéros qui changent systématiquement. Dans ces cas manifestes, un blo cage des appels serait indiqué. Cependant, comme les fournisseurs disposent rare ment de toutes les informations pertinentes et qu’ils doivent faire une évaluation en continu et en temps réel, une part d’incertitude demeure, raison pour laquelle la dispo sition les laisse libres d’appliquer plutôt la mesure la moins restrictive, à savoir la sup pression de l’identification de la ligne appelante (CLI).
La révision de l’ordonnance sur les services de télécommunication menée en 2022, a été calquée sur les travaux en cours dans l’UE en ce qui concerne la sécurité des réseaux de télécommunication, et ne concernait que les réseaux mobiles de cinquième génération (5G). Aujourd’hui, à l’instar de certains pays membres de l’UE, la législation émergente en matière de sécurité des réseaux s’élargit à toutes les générations de communication mobile voire aux réseaux de communication fixe.
En effet, tant que des réseaux d’anciennes générations seront opérés à travers le monde, les opérateurs suisses devront jouer le jeu de l’interconnexion et de ce fait, opérer dans la continuité certains nœuds et certaines fonctionnalités d’anciennes tech nologies (réseaux analogiques) qui, à la base, n’étaient pas prévus pour évoluer dans un contexte de cybersécurité aussi étendu et pointu.
Dans la même perspective, les sujets de droit concernés par les articles liés à la sécu rité (art. 96e, 96fbis et 96h), ne peuvent plus se restreindre aux seuls concessionnaires de radiocommunication mobile (MNO). Les opérateurs dits « Full MVNO » doivent éga lement désormais être obligés étant donné qu’ils opèrent certains nœuds et certaines fonctionnalités critiques de réseau de manière indépendante par rapport à leur MNO
Globalement, les nouvelles mesures de sécurité imposées aux concessionnaires de radiocommunication mobile et aux opérateurs de réseaux mobiles virtuels complets ne concernent que les entreprises qui opèrent un ou plusieurs réseaux de télécommuni cation publics servant à fournir des services aux clients finaux.
Art. 96e Système d’opérations de sécurité
L’al. 1 disposition est complété dans le sens où tant les concessionnaires de radiocom munication mobile que les opérateurs de réseaux mobiles virtuels complets doivent dorénavant développer, mettre en place et faire contrôler un système de gestion de la sécurité de l’information en se fondant sur une analyse sur des risques et sur les ob jectifs de sécurité qui en découlent. Vu que les MVNO complets exploitent eux-mêmes une grande partie de l’infrastructure de réseau, ils doivent être soumis aux mêmes règles que les concessionnaires de radiocommunication mobile.
Art. 96f Exploitation des installations de télécommunications critiques
Al. 1: L’al. 1 oblige explicitement aussi les opérateurs de réseau mobile virtuel complet à s’assurer que les installations de réseau critiques qu’ils exploitent correspondent à l’état de la technique. Pour déterminer quelles installations sont considérées comme des installations de ré seau critiques au sens de la présente disposition, il convient de se référer à la définition légale prévue à l’art. 2, al. 1, let. cbis, OIT. Al. 2: La contrainte géographique d’exploiter en Suisse des installations de télécommunica tion critiques doit s’appliquer aux installations essentielles pour l’exploitation, la com mande et la gestion des réseaux, en particulier au réseau central 5G (5G core network). Ce réseau est conçu selon une approche cloud natif. En d’autres termes, ses fonctions ou instances peuvent être exploitées dans une autre zone géographique que les an tennes de radiocommunication mobile (radio access network [RAN]). Alors que les pre mières ne sont pas liées à un lieu précis grâce à la possibilité de mise à disposition 15/32
virtuelle, les secondes doivent se trouver physiquement là où les services mobiles sont fournis. Par conséquent, il n’est pas nécessaire de fixer de contraintes géographiques pour la partie RAN d’un réseau mobile. Pour l’exploitation des installations de télécom munication critiques, en particulier les centres d’opérations du réseau et les centres des opérations de sécurité, la zone géographique est en principe limitée au territoire suisse. Ces exigences s’appliquent désormais aussi bien aux concessionnaires de ra diocommunication mobile qu’aux opérateurs de réseau mobile virtuel complet. L’obligation de localiser en Suisse certaines infrastructures critiques ou centres opéra tionnels à des fins de sécurité est admissible en vertu des art. XIV let. a (protection de l’ordre public), XIV let. c iii et XIVbis (sécurité) de l’annexe 1B à l’Accord instituant l’Or ganisation mondiale du commerce OMC20 (Accord général sur le commerce des ser vices AGCS). L’obligation vise à assurer la conformité exigée par le droit de l’OMC aux lois et réglementations suisses en matière de sécurité des télécommunications (art. 48a LTC). Elle remplit par ailleurs l’exigence de nécessité du droit de l’OMC dans la mesure où l’importance de sécuriser l’infrastructure suisse de télécommunication en la localisant s’impose tant du point de vue des nécessités techniques et opérationnelles qu’au regard du contexte sécuritaire et géopolitique actuel. Cette sécurisation passe ainsi désormais par la localisation d’infrastructures critiques de télécommunication et par l’obligation d’exploiter des centres opérationnels essentiels pour les télécommuni cations en Suisse, ceci afin de pouvoir être en mesure de garantir la continuité opéra tionnelle et la sécurité des télécommunications depuis notre pays. Il est tenu compte du principe de proportionnalité dans la mesure où l’al. 3 offre la possibilité aux conces sionnaires de radiocommunication mobile et aux opérateurs de réseaux mobiles vir tuels complets disposer à certaines conditions de systèmes redondants dans des pays qui garantissent une protection adéquate des données. Al. 3 Conformément à la let. a, les systèmes redondants peuvent être uniquement exploités dans des Etats qui garantissent un niveau de protection des données adéquat. Une liste de ces Etats figure à l’annexe 1 de l’ordonnance du 31 août 2022 sur la protection
des données21.
La condition de la let. b a pour but de garantir que les installations de télécommunica tion critiques pour la sécurité continuent de fonctionner même si les communications vers d’autres Etats sont perturbées, par exemple en raison de tensions diplomatiques ou d’évolutions politiques conduisant à un blocage des connexions internationales. En outre, cette condition conduit à empêcher que, dans un contexte de pressions poli tiques ou juridiques, des clés cryptographiques ne tombent entre les mains d’autres Etats.
La let. c vise à garantir le bon fonctionnement des services de téléphonie vocale et d’accès à Internet fournis par les concessionnaires de radiocommunication mobile et aux opérateurs de réseaux mobiles virtuels complets même lorsque les connexions aux systèmes redondants sont perturbées ou ne sont plus possibles. Elle a également pour but d’empêcher que des systèmes corrompus, dont le site d’exploitation est sou mis à une législation étrangère, n’entravent la garantie des services susmentionnés. A cet égard, la localisation géographique du contrôle et donc de la gestion des clés nu mériques et des certificats nécessaires à l’exploitation joue un rôle décisif. En toute logique, l’autorité administrative doit donc se situer en Suisse. Néanmoins, comme les
20 RS 0.632.20 21 RS 235.11
connexions sécurisées nécessitent généralement des clés privées des deux côtés, les clés gérées depuis la Suisse peuvent aussi être stockées dans d’autres Etats. Le contrôle des clés numériques comprend donc leur création, leur distribution, leur utilisation et leur désactivation, ainsi que la définition de directives concernant leur stockage. Les clés doivent absolument pouvoir être désactivées à tout moment depuis la Suisse. Le même principe vaut pour l’attribution des certificats numériques signés nécessaires à l’exploitation des installations: il faut veiller à ce que l’autorité de certifi cation racine (root certification authority), en tant qu’instance suprême et la plus fiable, se situe en Suisse et que la révocation des certificats délivrés puisse se faire à tout moment depuis la Suisse. Les directives de stockage doivent prévoir que les clés cryp tographiques et les certificats utilisés pour le cryptage des données stockées soient déposés exclusivement en Suisse. Leur gestion doit être assurée au moyen de mo dules de sécurité matériels exploités en Suisse et certifiés selon des normes recon nues, ce qui exclut les systèmes de gestion des clés entièrement basés sur le cloud (Key Management Systems [KMS]). En fin de compte, il y a lieu de garantir qu’une interruption des connexions internatio nales ne perturbe pas le service téléphonique public ni l’accès à Internet en Suisse. Il faut que la fonction de base des réseaux de télécommunication reste intacte et que les fournisseurs de services de télécommunication puissent garantir les services relevant de leur responsabilité sans subir les conséquences de l’interruption. Cette exigence ne concerne pas les dépendances à des services fournis via Internet et dont la mise à disposition dépend de serveurs situés à l’étranger. Ces derniers ne relèvent pas de la responsabilité des fournisseurs de services de télécommunication (let. d).
Al. 4 et 5: L’OFCOM doit être informé au plus tard 48 heures après la mise en service de l’exploi tation de secours. Selon le type et la gravité de la panne, il fixe une durée maximale pendant laquelle l’exploitation peut se faire via des systèmes redondants à l’étranger. Il peut prolonger la durée au cas par cas, sans aucun droit à la prolongation. Al. 6: Les clés cryptographiques dérivées et les certificats se caractérisent par le fait qu’il existe toujours une autre clé ou un autre certificat qui peut en limiter ou en empêcher l’utilisation. Les clés et certificats temporaires présentent l’avantage d’être valables uni quement à court terme et d’expirer après une période définie. L’OFCOM fixe une durée appropriée dans des prescriptions techniques administratives. Al. 7: Les éléments à consigner sont notamment la date et l’heure de l’accès, l’adresse IP de la source et de la destination, le nom d’utilisateur et le processus suivi pour l’accès, ainsi que les messages pertinents relatifs à l’événement.
Art. 96fbis Mesures de sécurité
Al. 1:
Les mesures de sécurité se déclinent en plusieurs thèmes, tous aussi importants les uns que les autres. Sur le plan technique, les concessionnaires de radiocommunication mobile et les opérateurs de réseaux mobiles virtuels complets veillent à acquérir des appareils et des logiciels auprès de fournisseurs fiables. Leurs infrastructures doivent être suffisamment redondantes. Ils appliquent également sans relâche les principes de
«confiance zéro» (zero trust), de segmentation des multiples entités (nœuds de ré seaux) ou fonctionnalités (network functions), de cryptage et de défense (firewalls) à l’ensemble de leurs infrastructures.
Comme la sécurité n'est pas qu'une affaire de machines mais aussi d'humains, les concessionnaires de radiocommunication mobile et les « Full MVNO » appliquent des accès restreints aux techniciens, qu’ils travaillent pour leur compte ou en sous-trai tance, aux locaux et infrastructures de leurs réseaux informatiques et de télécommuni cation. Ils éditent et distribuent à tout le personnel concerné des manuels expliquant dans les moindres détails les procédures à suivre en cas de cybermenaces ou de cy berattaques.
Le monde cyber ne connaît ni frontière ni répit, la vigilance 24 heures sur 24 est de ce fait impérative. Les concessionnaires de radiocommunication mobile et les « Full MVNO » assurent dans leurs réseaux, en continu, non seulement la détection des ano malies et des vulnérabilités, mais aussi la lutte contre l’espionnage, le sabotage et la fuite des données sensibles de leurs clients. Ils s’efforcent de maintenir leurs installa tions à jour et appliquent sans attendre toutes les solutions de correction des vulnéra bilités à disposition.
Al. 2:
Les infrastructures de réseau peuvent être définies ainsi : L`ensemble des équipe ments matériels (hardware) et logiciels (software) qui permettent de fournir des ser vices de télécommunication sans fil (voix, messages, internet) aux utilisateurs de télé phone mobile. Il s’agit en fait de toutes les machines des réseaux d’accès (Radio Acces Network), des réseaux de cœur (Core Network) et des réseaux de transport (Transport Network) de toutes les générations de réseaux de radiocommunication mobile (2G, 3G,
Les infrastructures de réseau doivent impérativement être testées le plus finement pos sible afin de détecter, avant leur mise en service, tout dysfonctionnement par rapport aux spécifications des constructeurs/fournisseurs et aux standards internationalement reconnus.
L’existence de portes dérobées (backdoors) doit faire l’objet de la plus grande attention afin d’éviter la manipulation d’éléments de réseau ainsi que la fuite de données liées aux clients abonnés ou de toutes autres informations pouvant nuire à l’intégrité et à la sécurité des individus, des entreprises, de l’économie ou encore de l’Etat. Aucune in frastructure de réseau ne doit être mise en service si un doute subsiste sur l’existence de telles menaces. Cela est également valable lors de la mise en service ultérieure lors de mises à jour importantes des systèmes.
Les concessionnaires de radiocommunication mobiles et les opérateurs de réseau mo bile virtuel complet utilisent des scanneurs de compromission performants aussi sou vent que nécessaire sur l’ensemble de leurs réseaux de télécommunication. Ils pren nent contact au niveau national ou international avec au moins deux autres opérateurs reconnus et disposant d’infrastructures semblables afin d’échanger sur d’éventuelles compromissions connues ou suspectées.
Toutes les options standardisées de sécurité des réseaux, matérielles ou logicielles, qui sont développées par les constructeurs/fournisseurs, doivent être implémentées dans tous les réseaux de télécommunication des concessionnaires et des « Full
MVNO » (al. 2, dernière phrase). Les « options standardisées de sécurité » se réfèrent en particulier aux spécifications techniques 3GPP « TS 33.501 »22 et aux recomman dations de la GSM Association « FS.40 - 5G Security Guide »23.
Al. 3
La surveillance est effectuée sur toutes les parties des réseaux, la partie accès (Radio Access Network), la partie centrale (Core Network) et la partie de transport (Transport Network). Elle concerne autant les réseaux de communication mobile que ceux desti nés à la signalisation et à l’interconnexion entre tous les réseaux.
Les concessionnaires de radiocommunication mobile et les « Full MVNO » utilisent en tout temps des outils appropriés afin de produire, de récolter et d’analyser les enregis trements d’événements (logfiles) de tous les nœuds de tous leurs réseaux, à la re cherche de vulnérabilités, d’anomalies et d’intrusions.
Les anomalies sont détectées sur la base de deux principes fondamentaux, à savoir la corrélation de plusieurs événements disparates mais improbables et la déviation inha bituelle par rapport au comportement normal des systèmes.
Si un danger imminent identifié par cette surveillance menace directement la sécurité des individus, des entreprises, de l’économie ou de l’Etat, les concessionnaires et les opérateurs de réseau mobile virtuels complets informent sans délai les polices ainsi que les autorités fédérales concernées. Ils collaborent activement pour minimiser les risques et supprimer la menace.
Al. 4
La sécurité des réseaux ne répond pas aux lois habituelles du marché et de la concur rence. Dans ce domaine, la solidarité et la coopération sont de mise. Le partage d’in formations est crucial dans la lutte contre les cyberattaques, pour le bien des individus, des entreprises, de l’économie et de l’Etat.
Outre l’obligation pour les FST d’annoncer les cyberattaques d’une certaine importance (10'000 abonnés touchés au moins) à la Centrale nationale d’alarme (CENAL) confor mément précisé à l’art. 96 OST, ils devront mutuellement s’informer de la nature de l’attaque, des dégâts occasionnés et des remèdes envisagés afin de retrouver rapide ment un fonctionnement normal et sécurisé.
Dans la mesure du possible, les concessionnaires de radiocommunication mobile et les « Full MVNO » se viennent en aide mutuellement, dans les limites permises par leur devoir de confidentialité et de protection des données. En outre, leurs départe ments de cybersécurité devraient se rencontrer plusieurs fois l’an afin de partager leurs expériences et trouver les meilleurs remparts contre les cyberattaques, dans les limites précitées.
Si nécessaire, les concessionnaires et les opérateurs de réseau mobile virtuels com plets organisent annuellement un ou plusieurs ateliers de travail en présence des auto rités fédérales comme l’Office fédéral de la cybersécurité (OFCS) ou encore l’OFCOM.
https://portal.3gpp.org/desktopmodules/Specifications/SpecificationDetails.aspx?specificationId=3169. https://www.gsma.com/solutions-and-impact/technologies/security/gsma_resources/5g-security-guide-version-3-0/.
Enfin, la création d’une base de données commune des vulnérabilités, des anomalies et des intrusions, que chaque concessionnaire de radiocommunication mobile et « Full MVNO » complet alimentée au fur et à mesure des découvertes et de l’actualité, est souhaitable.
Al. 5
Afin de lutter contre la propagation de messages SMS et de messages de signalisation frauduleux, les concessionnaires de radiocommunication mobil et les « Full MVNO » utilisent systématiquement et en permanence un système de «SMS Home Routing».
«SMS Home Routing» constitue une fonctionnalité réseau qui s’assure que tout mes sage SMS destiné à un abonné est d’abord routé vers le « Mobile Switching Center » (MSC) ou le « Short Message Service Center » (SMSC) du réseau domestique de l’abonné, même si cet abonné est en situation de « roaming ».
Le système « SMS Home Routing » des concessionnaires et des opérateurs de réseau mobile virtuels complets force leur « Home Location Register » (HLR) à toujours ré pondre avec une adresse domestique pointant vers leur « Home-Mobile Switching Center » (H-MSC) ou vers leur « Home-Short Message Service Center » (H-SMSC) et à ne jamais révéler l’emplacement réel, c’est-à-dire, l’adresse du « Visitor-Mobile Swit ching Center » (VMSC) étranger de l’abonné en situation de « roaming ».
Le rapatriement des messages SMS envoyés par les utilisateurs en situation de « roa ming » sur les réseaux des concessionnaires et opérateurs domestiques, avant d’être acheminés vers le destinataire, permet à ceux-ci de filtrer efficacement les messages anormaux ou frauduleux.
A défaut d’un tel système, les SMS sont acheminés vers le destinataire directement par l’opérateur du pays dans lequel les abonnés sont en situation de « roaming », sans contrôle possible de sécurité par le concessionnaire ou l’opérateur domestique. Selon le sérieux de l’opérateur de « roaming », qui procède ou non à des filtrages de sécurité, des messages frauduleux peuvent atteindre leur cible avec des conséquences poten tiellement fâcheuses (publicités non souhaitées et hameçonnage, etc.), voire dange reuses (localisation de personnes, interception ou manipulation de données, etc.).
Al. 6
Tant que des réseaux de télécommunication fixes ou mobiles analogiques seront ex ploités dans le monde, des protocoles de signalisation seront nécessaires à des fins d’interconnexion. Certains de ces protocoles, créés à une époque où le nombre d’ac teurs les utilisant était faible et dignes de confiance, n’ont pas été pourvus de méca nismes de sécurité avancés. Avec l’avènement des télécommunications mobiles et de l’internet, de plus en plus d’acteurs de tous horizons ont accès à ces protocoles comme aux réseaux. Comme il est impossible de régler ces lacunes de sécurité au niveau mondial, chaque concessionnaire et chaque opérateur de réseau mobile virtuel com plet doit agir au sein de ses propres infrastructures.
Les outils de filtrage consistent en des pares-feux (firewalls) de signalisation installés sur les points de transfert de signalisation de chaque type et de chaque génération de réseau. Si nécessaire, des opérations de filtrage sont aussi effectuées directement sur les « Home Location Register » (HLR) ou les « Mobile Switching Center » (MSC). Comme le paysage des cybermenaces évolue constamment, les règles de filtrage
ne sont pas statiques. Les concessionnaires de radiocommunication mobile et les opé rateurs de réseau mobile virtuels complets doivent mettre régulièrement à jour leurs règles de filtrage en fonction du développement technologique et des nouvelles me naces.
Même lors du démantèlement de certaines générations de réseaux de communication (2G, 3G), les concessionnaires et les opérateurs de réseau mobile virtuels complets continuent d’opérer certains nœuds (comme les nœuds «Signalling Transfer Points» [STP] pour les réseaux 2G) de ces réseaux obsolètes afin d’assurer l’interconnexion. Dans ce cas de figure, ils continuent d’opérer également les pares-feux qui leur sont liés.
Les concessionnaires de radiocommunication mobile et les opérateurs de réseau mo bile virtuel complet doivent recourir aux normes techniques et aux meilleures pratiques opérationnelles et de sécurité reconnue internationalement.
Les documents pertinents en termes de sécurité des réseaux de signalisation sont en particulier les suivants:
3GPP: 5G Security Evolution in 3GPP Release 18;
3GPP: Overview of 5G Security Evolution in 3GPP Release 19;
GSMA: FF.09 Introduction to SMS Fraud;
GSMA: FS.07 SS7 and SIGTRAN Network Security;
GSMA: FS.11 SS7 Interconnect Security Monitoring Guidelines;
GSMA: FS.21 Interconnect signalling security recommendations;
GSMA: FS.36 5G interconnect security;
GSMA: IR.70 SMS SS7 Fraud;
GSMA: IR.71 SMS SS7 Fraud Prevention;
GSMA: IR.82 SS7 Security Network Implementation Guidelines;
GSMA: SG.22 SMS Firewall Best Practices and Policies;
ENISA: 5G Threat Landscape for 5G networks;
ENISA: Signalling Security in Telecom SS7/Diameter/5G.
Il convient de signaler dans ce contexte l`obligation de lutter contre la fraude dans les réseaux de signalisation qui a été introduite à l’art. 47g ORAT (interdiction de louer des adresses globales).
Art. 96g al. 2 Prescriptions applicables, normes et surveillance
L’al. 2 du projet mentionne désormais également les opérateurs de réseau mobile vir tuels complets. L’OFCOM peut exiger qu’ils se soumettent au même titre les conces sionnaires de radiocommunication mobile à un audit qui sera réalisé à leurs frais par un organisme qualifié ou qu’ils fassent contrôler leurs installations de télécommunica tion, lorsqu’il existe un soupçon fondé de violation du droit et que cela s’avère néces saire pour constater les faits.
Art. 108e Disposition transitoire relative à la modification du ... Afin que les concessionnaires de radiocommunication mobile et les opérateurs de ré seau mobile virtuels complets disposent d’un temps suffisant pour mettre en œuvre les modifications requises à l’art. 96f, al. 2 et 3, en particulier l’exploitation en Suisse des
centres d’opération du réseau et des opérations de sécurité, un délai de 24 mois est prévu à compter de l’entrée en vigueur de la modification correspondante.
4.2 Ordonnance du 25 novembre 2015 sur les installations de télécommunica
tion Les articles 28b et 28c font partie de la nouvelle section 1a sur les installations de ré seau critiques, qui relève du chapitre 4 de l’OIT («Dispositions particulières»).
Globalement, les nouvelles mesures de sécurité imposées par l’OIT aux installations de réseau critiques se limitent aux installations destinées à être exploitées au sein de réseaux de télécommunication publics qui servent à fournir des services aux clients finaux.
Le fait que l’infrastructure de télécommunication au sens de l’art. 48a al. 2 LTC en globe largement tout produit comportant des éléments numériques au sens du règle ment de l’UE sur la cyberrésilience (CRA) permet de considérer le fait que les exi gences de cybersécurité se conçoivent désormais largement de manière horizontale et indépendamment des secteurs d’activités concernés. Dans ce contexte, il est judi cieux de se référer également aux normes techniques des comités de normalisation européens et, compte tenu de l’ARM CH-UE qui prévient les obstacles au commerce entre la Suisse et l’UE, d’harmoniser notre législation sur les installations et infrastruc tures de télécommunication avec le droit européen et les schémas de certification en matière de cybersécurité notamment pour la 5G prévus par l’Agence de l’UE pour la cybersécurité (European Network and Information Security Agency, ENISA).
Art. 2, al. 1, let. c et cbis Définitions
En premier lieu, la notion existante de «installation terminale de télécommunication» à l’art. 2, la. 1, let. c, OIT est précisée : il peut s’agir soit d’une installation de radio communication soit d`une installation filaire qui est destinée à être connectée directe ment ou indirectement à des interfaces de réseau de télécommunication servant en tièrement ou en partie à la fourniture de services de télécommunication. La référence à l’art. 3, let. b, LTC est supprimée car superflue.
Il s’agit ensuite de définir le terme nouveau d’«installation de réseau critique» à l’art. 2, al. 1, let. cbis, OIT, qui fait l’objet des règles de cette nouvelle section. Il s’agit de toute installation de télécommunication faisant partie d’un réseau servant à la fourni ture de services de télécommunication (cf. art. 3, let. b LTC) et dont la perturbation ou la défectuosité risque d’entraîner une défaillance ou une altération considérable du fonctionnement des infrastructures de télécommunication ou de mettre en danger la sécurité publique. Il est de la responsabilité du fabricant, lors de la mise sur le mar ché, de définir l’usage prévu de son installation et de la responsabilité de l’opérateur du réseau d’utiliser des installations qui sont prévues pour être intégrées et exploitées dans un réseau.
Constituent en particulier des défaillances ou altération considérable des infrastruc tures une panne généralisée du réseau mobile (4G/5G) empêchant les appels, SMS et l’accès à Internet sur une large zone géographique, l’interruption prolongée des ré seaux d’urgence rendant impossible la communication avec les services de secours, les cyberattaques de grande ampleur (par ex. attaque par déni de service) paralysant les réseaux d’un opérateur de télécommunication, des dommages physiques majeurs (incendie, inondation, sabotage) affectant des centraux téléphoniques, des câbles de
fibre optique ou des stations relais ou encore la défaillance des systèmes de signali sation ou de routage entraînant des communications erronées, retardées ou perdues à grande échelle. L’indisponibilité des systèmes d’alerte à la population (alertes SMS, sirènes, diffusion radio/TV) lors d’une catastrophe naturelle ou d’une menace immi nente, empêchant d’informer et de protéger la population est un exemple d’atteinte à la sécurité publique.
Une installation de réseau est soumise aux exigences prévues par les art. 28b et 28c OIT si elle constitue une installation de réseau critique (l’OFCOM tient à jour une liste des installations de réseau critiques) et est destinée à être intégrée et exploitée au sein d’un réseau public de télécommunication.
Art. 28b Principes
L’art. 28b, al. 1, OIT détermine la procédure d’évaluation qui permet aux fabricants de se conformer aux exigences de sécurité applicables aux installations de réseau cri tiques conformément à l`al. 2. Afin de ne pas leur compliquer la tâche, il est prévu d’appliquer une procédure sous la propre responsabilité des fabricants qui évaluent la conformité de leurs installations par rapport aux exigences de sécurité et dressent la documentation technique comportant entre autres une analyse des risques relatifs à la sécurité.
L’évaluation s’effectue en appliquant une méthodologie reconnue au niveau interna tional, en particulier au niveau européen. C’est en particulier la boîte à outils 5G de l’UE qui peut servir de référence. Le fabricant soumet la documentation technique à l’appréciation d’un organisme d’évaluation de la conformité reconnu. Sur la base de la documentation technique reçue et de son analyse, l’organisme d’évaluation de la con formité va déterminer si la conformité aux exigences de sécurité a été prouvée et déli vrer le cas échéant un certificat de conformité qui complète la documentation tech nique. Cette procédure qui s’approche d’un audit se base sur une procédure déjà ap pliquée pour les installations de radiocommunication et a fait ses preuves. L’évalua tion doit avoir lieu avant que l’installation ne soit mise sur le marché.
Selon l’al. 3 l’OFCOM peut déterminer, en tenant compte de la pratique internationale, dans l’OOIT quelles sont les installations de réseau critiques ainsi que de définir les exigences spécifiques en tenant compte des normes et de la pratique internationales reconnues. L’annexe 8 de l’OOIT liste ainsi les installations de réseau critiques néces sitant une évaluation de la conformité en matière de sécurité. La délégation de compé tence prévue par l’art. 48a, al. 2, LTC en matière d’infrastructure permet au Conseil fédéral d’appliquer, resp. d’étendre ce régime de l’OIT et de l’OOIT aux infrastructures qui ne constituent pas stricto sensu des installations de télécommunication comme les logiciels, les équipements électriques ou encore les systèmes d’exploitation et autres systèmes de gestion de la cybersécurité (voir l’annexe 8 de l’OOIT).
Art. 28c Evaluation de la conformité
Le fabricant qui procède à une évaluation de conformité selon l’art. 28b, al. 1, OIT se doit de conserver la documentation technique pour une période de dix ans et doit pouvoir la présenter sur demande de l’OFCOM. Cette durée standard pour la mise sur le marché de produits industriels découle du nouveau cadre réglementaire de l’UE («New Legislative Framework» [NLF]). La documentation technique démontre que le produit respecte les exigences essentielles posées par la législation. Pendant ces dix ans, les autorités peuvent demander au fabricant de prouver que le produit était
conforme au moment de sa mise sur le marché. Les autorités de surveillance du mar ché peuvent exiger l’accès à la documentation entre autres en cas d’inspection, après un accident ou de doute sur la conformité d’un produit (al. 1).
Dans la mesure où ce domaine n’est pas harmonisé au niveau international et que en particulier chaque Pays membre de l’UE applique des procédures différentes, l’OFCOM peut considérer d’autres procédures jugées comme équivalentes (al. 2). Il peut s’agir entre autres de procédures basées sur des schémas de certification ga rantissant un niveau de sécurité équivalent à celui requis par la législation suisse. Il s’agit d’éviter de soumettre une installation critique à une nouvelle procédure d’éva luation de la conformité alors qu’elle serait déjà « sure ».
La personne responsable de la mise sur le marché se doit de fournir une copie de la documentation technique à l’opérateur du réseau de télécommunication dans lequel l’installation critique est intégrée (al. 3).
Art. 44b Disposition transitoire relative à la modification du xx mmm 2026
Un délai transitoire de deux ans laisse le temps aux fabricants pour acter l’évaluation de conformité des installations réseau critiques. Au niveau des installations réseau, il ne sera demandé de procéder à une évaluation de la conformité pour des installa tions déjà intégrées dans des réseaux que si celles-ci sont encore commercialisés.
4.3 Ordonnance du 6 octobre 1997 sur les ressources d’adressage dans le do
maine des télécommunications Art. 23, al. 2, let. a et b Sous-attributions
Conformément aux dispositions en vigueur, les titulaires de blocs de numéros peuvent sous-attribuer des numéros à des fournisseurs enregistrés selon l’art. 4 LTC aux fins de fournir des services de télécommunication. Ils sont tenus d’en informer l’OFCOM dans le cadre des relevés annuels sur l’utilisation des ressources. Tant dans le cadre de la surveillance que de poursuites pénales, il y a lieu de constater qu’il est difficile, voire impossible, de remonter jusqu’au titulaire effectif dans les cas de transferts mul tiples (en cascade). Les difficultés sont particulièrement nombreuses lorsqu’il y a plu sieurs niveaux de sous-attributions à des entreprises situées en Suisse et à l’étranger.
L’OFCOM doit souvent déployer des efforts considérables pour retracer ces sous-attri butions en cascade, et poursuivre les fournisseurs. La correspondance avec les entre prises étrangères est souvent très fastidieuse et rarement efficace. Bien que celles-ci soient soumises au droit suisse des télécommunications puisqu’elles utilisent des nu méros suisses, il est pratiquement impossible de leur faire respecter les prescriptions légales en la matière, car elles peuvent se trouver n’importe où dans le monde. Pour qu’il soit possible en tout temps d’identifier le titulaire, le projet autorise une seule attri bution, à un seul niveau, à savoir du titulaire du bloc à un autre fournisseur (basé en Suisse ou à l’étranger).
Art. 47, al. 2, 4 et 5 Attribution d’un MNC
Al. 2
L’Union internationale des chemins de fer (UIC) encourage la coopération et les échanges entre les compagnies ferroviaires du monde entier. Elle a notamment pour
objectif d’améliorer la sécurité et l’efficacité du transport ferroviaire. Elle œuvre égale ment à l’élaboration de normes techniques et d’innovations qui soutiennent la moder nisation des infrastructures et des services. Ce faisant, elle contribue à l’intégration des différentes parties du réseau ferroviaire mondial.
Dans les années 1990, afin de garantir une communication sûre et fiable entre les trains et les centres d’exploitation, l’UIC a collaboré avec différentes compagnies ferroviaires européennes et des opérateurs de radiocommunication mobile pour créer le Global System for Mobile Communications – Rail(way) (GSM-R ou GSM-Rail). Ce système de communication radio a été élaboré sur la base de la technologie GSM (2G) usuelle à l’époque et compte tenu des exigences spécifiques de la communication ferroviaire et des besoins particuliers du transport ferroviaire. Il permet non seulement la transmis sion de communications vocales et de données, mais renforce aussi l’efficacité et la sécurité du rail. Il est utilisé dans de nombreux pays à travers le monde afin d’optimiser les processus opérationnels et de garantir l’interopérabilité entre les différents sys tèmes ferroviaires.
Le développement technologique de systèmes de radiocommunication plus perfor mants pour les applications ferroviaires, la numérisation, le renforcement des exi gences en matière de sécurité, la vitesse de transmission, sans compter l’échange de données entre les acteurs du transport ferroviaire, ainsi que l’abandon à moyen terme de la technologie GSM (2G) ont incité l’UIC à remplacer le système de communication radio GSM-R par le Future Railway Mobile Communication System (FRMCS), qui sup porte la technologie mobile 5G.
Le FRMCS devrait être pleinement opérationnel d’ici 2035 et fonctionner parallèlement au GSM-R jusqu’à cette date. Le GSM-R sera mis hors service progressivement. L’art. 47, al. 2, doit donc être adapté et inclure l’acronyme FRMCS, qui désigne la nou velle technologie de radiocommunication mobile adoptée pour les réseaux ferroviaires.
Al. 4 et 5
Dans l’exploitation de leurs réseaux, les opérateurs mobiles ont adopté et utilisent de puis plusieurs années un protocole de signalisation afin d’acheminer des messages permettant l’échange de différentes informations (données d’identification, données de destination, messages SMS, etc.) entre les différents opérateurs mobiles. Ce protocole de signalisation a été conçu sans dispositifs de sécurité, car il présumait la fiabilité des opérateurs réseau. Cependant, ses vulnérabilités intrinsèques permettent aujourd’hui à des acteurs malveillants ayant accès aux réseaux de signalisation d’exploiter cer taines failles.
Sensibilisé par des événements relevés par la presse spécialisée24 causés par des opérateurs mobiles peu scrupuleux qui utilisent le réseau de signalisation à des fins frauduleuses, la GSMA a rédigé des «Code of Conduct»25 qui contiennent des prin cipes de bonne conduite et dont l’objectif premier est de garantir la sécurité, la fiabilité et la protection des données transmises dans le réseau mobile. En adhérant à ces codes, les opérateurs d'un réseau de télécommunications s’engagent à mettre en
https://www.lighthousereports.com/investigation/ghost-in-the-network/. https://www.gsma.com/newsroom/wp-content/uploads//FS.52-v1.0.pdf.
œuvre des politiques conformes à leurs principes, à collaborer pour renforcer la con fiance au sein du secteur mobile mondial et à n’utiliser les ressources techniques (à l`instar aussi des GT) qu’aux fins prévues sans faciliter d’activités illicites.
Dans ces conditions, l’al. 4 prévoit que les fournisseurs de services de télécommuni cation et les exploitants d’un réseau de télécommunication visés aux al. 1 et 1bis doivent prendre les mesures techniques, organisationnelles et opérationnelles nécessaires contre l’utilisation abusive de MNC. Ils se conforment aux normes, recommandations et pratiques internationales reconnues en la matière, ce qui implique qu’ils doivent adopter les codes de conduite de la GSMA (al. 4; cf. ég. art. 96fbis al. 6 OST). L’OFCOM peut édicter les prescriptions techniques et administratives nécessaires, en particulier au besoin fixer les recommandations et pratiques internationales qui s’imposent (al. 5).
Art. 47g Adresses globales
Une adresse globale (Globale Title [GT]) sert à l’acheminement des messages de si gnalisation utilisés dans le protocole de signalisation, assurant ainsi un échange d’in formations entre les différents nœuds des réseaux mobiles. Cela permet d’acheminer des informations d’appels, des SMS et autres données d’identification d’un opérateur à un autre opérateur. Cette adresse réseau combinée avec un Mobile Network Code (MNC) attribué à un opérateur de réseau mobile permet d’identifier de façon unique un réseau mobile dans un pays donné et d’acheminer des messages d’informations sur le réseau de signalisation des réseaux mobiles. Cela sert à la gestion de l’authentification, à la localisation, à la facturation et à l’itinérance entre réseaux mobiles d’un opérateur auquel appartient un abonné ou un appareil mobile.
Les GT sont dérivés des numéros E.164 attribués par l’OFCOM aux opérateurs mo biles. En conséquence, seuls les fournisseurs de services de télécommunication qui détiennent des ressources d’adressage (bloc de numéros E.164 conformément à l’art.
20 ORAT) destinées aux services mobiles peuvent créer des GT dérivés de ces res
sources pour une utilisation dans les réseaux de signalisation et d’interconnexion.
Al. 2
Le GT leasing est une pratique par laquelle un opérateur mobile loue l’usage de ses GT à des tiers (par exemple à des agrégateurs SMS ou à des entreprises), permettant à ces derniers d’acheminer des messages de signalisation sans posséder directement leur propre GT et tout en leur évitant des investissements dans des infrastructures complètes. Cette pratique comporte néanmoins certains risques, en particulier en cas d’utilisation potentiellement illégale ou frauduleuse des GT loués. De tels usages peu vent conduire à l’exposition de données à caractère personnel nécessitant une protec tion particulière et nuire à la réputation de l’opérateur propriétaire originaire.
Un usage inapproprié de GT loués permet notamment au loueur d’intercepter ou de lire des SMS, y compris des codes d’authentification à usage unique (OTP), en exploitant les failles de sécurité du protocole de signalisation, de suivre et de localiser des abon nés en exploitant les requêtes de localisation à des fins de surveillance, de dissimuler l’origine des messages, facilitant la fraude ou l’usurpation d’identité et de dissimuler sa véritable identité sur le réseau de signalisation. Des enquêtes ont révélé que la mau vaise utilisation des GT a été liée à des crimes graves tels que des assassinats ciblés ou la surveillance illégale. Réguler leur usage contribue donc à la lutte contre toutes ces activités malveillantes.
L’al. 2 a donc pour objectif d’interdire la pratique du GT leasing afin de réduire le plus possible l’exploitation de failles du système de signalisation des réseaux mobiles qui permettent à des fraudeurs et acteurs malveillants l’interception ou le détournement de messages et d'appels, voire le traçage de la localisation des utilisateurs. Les opéra teurs concernés ne sont donc pas autorisés à louer les GT qu’ils dérivent de leurs propres numéros E.164 à des tiers. Dans des cas exceptionnels, clairement documen tés, pour autant que toutes les mesures de sécurité lors de l’utilisation des GT soient garanties, qu’il n’existe pas d’autre alternative et que l’utilisation des GT loués soit con forme aux recommandations de GSMA, l’OFCOM peut prévoir des dérogations et fixer des règles spécifiques concernant la manière dont les GT loués doivent être utilisés.
Ces mesures réduisent de manière significative les risques de sécurité pour les ré seaux mobiles, en limitant l’accès non contrôlé au réseau mobile mondial, ce qui dimi nue les possibilités d’activités malveillantes comme l’interception de communications, le traçage illégal ou l’envoi de spams. Elles assurent une meilleure transparence et traçabilité du trafic de signalisation, ce qui facilite la détection et la lutte contre les abus constatés à ce jour en lien avec la pratique du GT-Leasing. Elles réduisent également les risques de réputation pour les opérateurs mobiles qui évitent d’être associés à des usages frauduleux ou illégaux de leurs ressources. En somme, limiter le leasing des GT permet de combattre la fraude, d’accroître la sécurité, et de préserver l’intégrité et la confiance dans l’écosystème mobile national et international.
Art. 56d Disposition transitoire relative à la modification du ...
Al. 1
L’al. 1 des dispositions transitoires accorde aux fournisseurs de services de télécom munication un délai de deux ans dès l’entrée en vigueur pour résilier les sous-attribu tions de plus d’un niveau. En d’autres termes, les opérateurs qui ont reçu des numéros du titulaire d’un bloc et qui les ont à leur tour sous-attribués bénéficient de ce délai pour résilier les contrats existants avec leurs autres partenaires et ainsi annuler les sous- attributions. Les numéros doivent être transférés au titulaire du bloc ou au fournisseur du premier niveau de sous-attribution. Les clients qui utilisent les numéros doivent dis poser de suffisamment de temps pour souscrire une offre auprès de l’un de ces deux fournisseurs ou pour renoncer complètement aux numéros.
Al. 2
Les fournisseurs qui ont loué un Global Title à des tiers avant l’entrée en vigueur de la présente ordonnance sans avoir obtenu d’autorisation de l’OFCOM sont tenus de mettre fin à la location dans les 12 mois suivant l’entrée en vigueur ou au prochain délai de résiliation contractuel si ce délai a été convenu avant le 27 mai 2026. Les demandes d’exception en vertu de l’art. 47g, al. 2, ORAT doivent être déposées dans les trois mois suivant l’entrée en vigueur de l’ordonnance. Les fournisseurs disposent ainsi de suffisamment de temps pour résilier le contrat ou déposer une demande en vertu de
Annexe Termes et abréviations
Le chapitre «Termes et abréviations» de l’ORAT est complété avec les termes et abré viations suivants:
- FRMCS (Future Railway Mobile Communication System): futur système de communication mobile ferroviaire pour les réseaux ferroviaires européens.
- Adresse globale (Global Title): adresse réseau utilisée par le protocole de signa lisation utilisé pour acheminer les messages de signalisation (SMS, appels, autres services mobiles) entre différents opérateurs.
5 Conséquences
5.1 Conséquences pour la Confédération
La mise en œuvre des mesures prévues pour renforcer la sécurité du réseau et la protection contre les cybermenaces entraînera des besoins en personnel et des charges financières supplémentaires pour la Confédération. Les surcoûts pourront tou tefois être couverts par les ressources existantes. Les travaux requis pour les modifi cations et les innovations proposées peuvent être assumés avec le personnel et les moyens financiers dont dispose l’OFCOM. La phase initiale n’induira probablement pas de coûts spécifiques. Les éventuelles activités de surveillance récurrentes devraient se monter annuellement jusqu’à 270’000 francs.
5.2 Conséquences pour les cantons, les communes, les centres urbains, les
agglomérations et les régions de montagne Pour les cantons, les communes, les centres urbains, les agglomérations et les régions de montagne, le projet n’a pas d’incidences financières ni en termes de personnel.
5.3 Conséquences pour l’économie nationale
Les modifications prévues des ordonnances ont des retombées économiques qui vont bien au-delà des avantages dans le domaine de la politique de sécurité. L’amélioration des mesures techniques et organisationnelles dans le domaine des technologies de l’information et de la communication renforce la résilience des infrastructures numé riques critiques. Une sécurité élevée permet de réduire les pannes, les risques de cy berattaques ou les défaillances techniques, ce qui, d’un point de vue macroécono mique, renforce la continuité des services essentiels fournis par l’État et le secteur privé. Cela implique notamment des normes de sécurité adaptées et une définition claire des responsabilités en matière d’exploitation des infrastructures informatiques critiques. Des services numériques stables ont un effet positif sur l’attractivité de la Suisse. Ils créent des conditions fiables pour les entreprises qui dépendent d’infras tructures de données et de communication sécurisées. Parallèlement, une meilleure résilience renforce la confiance de la population, de l’économie et des partenaires in ternationaux envers les services numériques de l’État, ce qui réduit les coûts de tran saction et améliore l’efficacité.
Les coûts de réglementation, visés à l’art. 5 de la LACRE, qui incombent aux entre prises concernées par les nouvelles exigences de sécurité dans le domaine de la ra diocommunication mobile sont difficiles à calculer ou à estimer avec précision, notam ment parce que les opérateurs sont organisés de manière très différente et que bon nombre d’entre eux ont déjà partiellement mis en œuvre les mesures proposées. De plus, des facteurs techniques et organisationnels s’influencent mutuellement, compli quant encore davantage une évaluation uniforme. Des enquêtes auprès de toutes les entreprises seraient nécessaires pour déterminer les coûts avec précision. Ce procédé représenterait une charge considérable pour les entreprises aussi bien que pour les autorités, et n’aboutirait qu’à une multitude d’évaluations individuelles. Ni le temps 28/32
ni les ressources humaines nécessaires ne sont disponibles. Les mesures concernant les NOC et les SOC sont très probablement celles qui auront la plus grande incidence sur les coûts réglementaires supplémentaires. Sur la base d’une estimation approxi mative, ceux-ci devraient se monter à 2 millions de francs par an et par opérateur de réseau mobile. Il s’agit principalement de coûts de personnel. Toutes les entreprises seront confrontées aux mêmes exigences et, selon leur situation actuelle, à des coûts supplémentaires. Il est probable aussi que ces coûts auront des effets positifs pour l’emploi, car des postes de travail seront créés en Suisse.
Les nouvelles exigences imposées aux opérateurs de réseaux mobiles impliquent une révision, voire parfois une extension des stratégies de sécurité. Des investissements supplémentaires seront très probablement nécessaires, notamment pour le dévelop pement de véritables réseaux centraux 5G. A court terme, de tels investissements en traîneront certes des coûts supplémentaires, mais ils accéléreront à moyen terme la transition technologique en incitant à abandonner plus tôt des technologies obsolètes et coûteuses telles que la 3G. D’un point de vue économique et à long terme, ces mesures de modernisation permettent de réduire les coûts d’exploitation et de mainte nance, et renforcent la capacité d’innovation et la compétitivité de l’ensemble du sec teur.
L’égalité de traitement entre les concessionnaires de radiocommunication mobile et les opérateurs de réseau mobile virtuel complet peut, dans certains cas, nuire au modèle économique de ces derniers. Toutefois, elle se justifie par des considérations macroé conomiques en termes de coûts-bénéfices car elle crée des conditions de concurrence équitables tout en réduisant les risques. Cela permet d’éliminer les distorsions du mar ché existantes. Les fournisseurs ne tirent pas d’avantages concurrentiels en renonçant à des mesures de sécurité. La confiance des consommateurs, qui dépendent de ser vices sûrs indépendamment du fournisseur, est en outre renforcée. Un marché des télécommunications fonctionnel et transparent garantit en effet la stabilité économique et la fourniture de services numériques critiques fiables, en particulier dans un contexte de dépendance croissante vis-à-vis des chaînes de valeur numériques.
L’obligation d’évaluer la conformité des installations de réseau critiques incombe aux fabricants (quelques dizaines au maximum, pour la plupart internationaux). Cette charge de travail supplémentaire est difficile à estimer, mais pour un grand fabricant qui propose de nombreux produits, elle devrait correspondre à un poste de travail à temps plein. Les dispositions du projet s’alignent sur l’évolution du cadre réglementaire international, ce qui signifie que ces coûts supplémentaires devraient de toute façon être consentis par les fabricants. Les opérateurs de réseau mobile auront aussi à as sumer des coûts supplémentaires, car les projets de déploiement du réseau prendront plus de temps. Parallèlement, un contrôle rigoureux des mesures de sécurité augmente les chances que les infrastructures fonctionnent à long terme sans perturbations graves. Cette fiabilité accrue réduit les risques macroéconomiques tels que les pertes de production, les pertes de données ou les pannes, et a un effet stabilisateur sur les processus économiques interconnectés. Si un contrôle révèle des failles graves, il y aura certes des coûts supplémentaires, mais ceux-ci seront bien inférieurs aux dom mages économiques que risquerait de causer la mise en service de systèmes non sé curisés.
Dans l’ensemble, les mesures prévues renforcent la souveraineté numérique de la Suisse, favorisent des conditions de marché stables et équitables et réduisent les risques de sécurité pour l’économie et la société. Les retombées économiques qui en
découlent se traduisent par une sécurité accrue, une plus grande efficacité et un ren forcement à long terme de la place économique suisse.
5.4 Conséquences pour la société
Les nouvelles réglementations proposées améliorent la protection des données des clients finaux. Le projet de loi renforce également la fiabilité des installations de télé communication. Les conséquences pour la société, en particulier pour les abonnés fi naux de réseau mobile doivent être vues comme bénéfiques. Par exemple, l’usage de GT leasing limités aux opérateurs de réseau mobile ou exploitant d’un réseau de télé communication limiteront des usages malveillants tels que des envois massifs de spam, « smishing » ou trafic SMS frauduleux utilisant la réputation du GT légitime. Il sera donc plus facile en cas d’abus ou d’utilisation inadéquate d’identifier l’opérateur fautif et de prendre des mesures afin de restreindre, voir faire cesser les activités des entités concertées à des fins de protection des abonnés ou consommateurs.
La modification de la disposition relative à la transmission de numéros permettra de mieux protéger les consommateurs contre les appels frauduleux, déloyaux et impor tuns. En revanche, la nouvelle réglementation concernant la sous-attribution pourrait contraindre certains consommateurs à changer de fournisseur ou à faire transférer leur numéro vers un autre fournisseur.
5.5 Autres conséquences
Le projet ne devrait pas avoir de conséquences sur l’environnement ou autres.
6 Aspects juridiques
6.1 Délégation de compétences législatives et forme de l’acte
Les dispositions du projet mettent notamment en œuvre les art. 48a, al. 2, let. a et 28, al. 6, let. a et d, LTC. Ces dispositions permettent au Conseil fédéral d'édicter des pres criptions sur la sécurité des informations, des infrastructures, des services de télécom munication et des ressources d’adressage afin de prévenir les dangers, d’éviter les dommages et de réduire les risques. Il peut notamment édicter des dispositions con cernant la disponibilité, l’exploitation, la garantie d’infrastructures redondantes, la noti fication des perturbations, la traçabilité des incidents ainsi que la déviation ou l’empê chement de communications et la suppression d’informations, tels que prévus à l’al. 1. L’art. 48a, al. 2, LTC accorde au Conseil fédéral une marge de manœuvre relativement importante dans les domaines où il peut légiférer.
Les présentes dispositions se basent en outre sur les délégations de compétence pré vues par les art. 31, al. 1, 32, 32a et 33, al. 2 LTC. Le Conseil fédéral peut sur cette base édicter des dispositions sur l’importation, l’offre, la mise à disposition sur le mar ché et la mise en service d’installations de télécommunication, en particulier en ce qui concerne les exigences essentielles en matière de sécurité technique et d’évaluation de la conformité.
Le projet contient des règles de droit qui, conformément à l’art. 182 de la Constitution fédérale de la Confédération suisse du 18 avril 199926 (Cst.), doivent être édictées sous la forme d’une ordonnance du Conseil fédéral, pour autant que la Constitution ou la loi
26 SR. 101
le lui permettent. Par le présent projet, le Conseil fédéral fait usage de sa compétence d’édicter des dispositions relatives à la sécurité des installations de télécommunication ainsi qu’à la disponibilité et à l’exploitation des infrastructures de télécommunication importantes pour la sécurité. La possibilité pour le Conseil fédéral de déléguer à l’OFCOM le soin d’édicter les prescriptions techniques et administratives nécessaires est prévue à l’art. 62, al. 2, LTC (voir aussi art. 105, al. 1, OST et art. 41, al. 1, OIT). Ce faisant, l’OFCOM doit tenir compte des normes applicables au niveau international.
6.2 Compatibilité avec les engagements internationaux de la Suisse
Les mesures prévues pour les installations de réseau ne sont pas soumises à l’accord entre la Suisse et l’UE sur la reconnaissance mutuelle en matière d’évaluation de la conformité (ARM CH-UE)27 et ne constituent pas des entraves techniques au com merce. Le projet est donc compatible avec les engagements internationaux de la Suisse qui découlent de l’ARM Suisse-UE.
L’obligation de localiser en Suisse certaines infrastructures ou centres opérationnels selon l’art. 96f, al. 2, OST à des fins de sécurité technique est admissible en vertu des art. XIV let. a (protection de l’ordre public), XIV let. c iii et XIVbis (sécurité) de l’Accord général sur le commerce des services AGCS (voir les développements à ce sujet ad art. 96f al. 2). Il en va de même des nouvelles exigences sécuritaires portant sur les installations de télécommunication en vertu de l’art. XIV, let. a, ch. i (sécurité) de l’an nexe 1A de l’Accord instituant l’OMC (Accord général sur les tarifs douaniers et le com merce GATT) et des art 2.10, 5.4 et 5.7 (sécurité nationale) de l’Annexe 1A.6 de l’Ac cord instituant l’OMC (Accord sur les obstacles techniques au commerce OTC).
6.3 Soumission au frein aux dépenses
Le projet ne prévoit ni nouvelles dispositions en matière de subventions, ni nouveaux crédits d’engagement, ni plafonds de dépenses. Il n’est donc pas soumis au frein aux dépenses (art. 159, al. 3, let. b, Cst.).
6.4 Respect des principes de subsidiarité et d’équivalence fiscale
Le projet n’a aucune conséquence sur les principes de subsidiarité et d’équivalence fiscale.
6.5 Protection des données
Les mesures prévues ont été évaluées sous l’angle des risques en matière de protec tion des données. L’ampleur du traitement des données prévu ne nécessite pas d’ana lyse d’impact plus approfondie.
27 SR 0.946.526.81
6.6 Liste des abréviations
ComCom Commission fédérale de la communication
DETEC Département fédéral de l’environnement, des transports, de l’énergie et de la communication
ENISA European Network and Information Security Agency
Full MVNO Opérateur de réseau mobile virtuel complet
GSMA GSM Association
GT Global Title
MNC Code de réseau mobile
NCS Stratégie nationale en matière de cybersécurité
OFCOM Office fédéral de la communication
OFCS Office fédéral de la cybersécurité
OFJ Office fédéral de la justice
PTA Prescriptions techniques et administratives
RAN Radio Acess Network
UE Union européenne
6.7 Bibliographie
Conseil fédéral (2023a): Cyberstratégie nationale (CSN), FR.pdf, 04.2023
Conseil fédéral (2023b): Stratégie nationale pour la protection des infrastructures cri tiques, https://www.babs.admin.ch/fr/protection-des-infrastructures-critiques, 16.06.2023
NCS (2023): Objectif: Fiabilité et disponibilité de l’infrastructure et des services numé riques, https://www.ncsc.admin.ch/ncsc/fr/home/strategie/ziele-massnahmen/ncs-ziel- sichere-verfuegbare-digitale-dl-infrastruktur.html, consulté pour la dernière fois le 10.05.2026
EU (2020): Cybersecurity of 5G networks - EU Toolbox of risk mitigating measures, https://digital-strategy.ec.europa.eu/en/library/cybersecurity-5g-networks-eu-toolbox- risk-mitigating-measures, 23.01.2020