Qui s’occupe de la cybersécurité suisse? | 

Posted on by Alain Mermoud

L’organisation de notre cyberdéfense ne paraît pas optimale. De nombreuses interrogations apparaissent après le piratage de l’entreprise d’armement RUAG. Une des menaces principales sur la Suisse est informatique. Or, le Département fédéral de la défense, de la protection de la population et des sports ne dirige pas les opérations de protection. Le thème est réparti dans plusieurs structures étanches qui communiquent peu, entre le Département fédéral de justice et police, le Département fédéral des finances et le Département fédéral de la défense, de la protection de la population et des sports. Grands absents: l’économie et la recherche, ainsi que les affaires étrangères, tous trois directement concernés. En résumé, nous sommes face à une usine à gaz qui n’inclut pourtant pas tous les acteurs. Dans ce contexte, je pose au Conseil fédéral les questions suivantes:
1. Sommes-nous bien organisés en matière de cyberdéfense?
2. Qui s’occupe de la cybersécurité en Suisse? Y a-t-il un pilote de cet aspect central de la sécurité helvétique? Et si oui, dirige-t-il l’ensemble des acteurs concernés? Et si non, pourquoi?
3. Ne faut-il pas regrouper les forces actuellement dispersées? Ne faut-il pas tout centraliser à la défense ou à l’économie et la recherche?

Avis du conseil fédéral du 31.08.2016

1. Le Conseil fédéral est conscient de l’importance de cette thématique et a approuvé, en 2012 déjà, la Stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC), ainsi que son plan de mise en oeuvre l’année suivante. La concrétisation de la SNPC est volontairement réalisée de façon décentralisée, dans le cadre d’une approche fondée sur la responsabilité individuelle. La Confédération fournit un appui subsidiaire. Un comité de pilotage a été établi afin de fournir des rapports au Conseil fédéral sur l’état d’avancement de la mise en oeuvre. L’organe de coordination de la SNPC soutient ce processus à l’échelon opérationnel. De plus, la Confédération est active au sein de nombreux organismes nationaux, car la coopération et les échanges notamment avec des acteurs privés permettent de développer les compétences techniques à différents niveaux et donc de renforcer la cybersécurité. Vu la nature transnationale du cyberespace, le Conseil fédéral reconnaît également le rôle important de la coopération internationale dans la réduction des cyberrisques. Par ailleurs, une étude conceptuelle consacrée à la dimension militaire se trouve également en phase de concrétisation. Les synergies entre les dimensions civile et militaire sont mises à profit. La collaboration est bonne. Afin d’identifier les adaptations éventuellement nécessaires, l’efficacité de la SNPC est actuellement soumise à un examen.
2. Le pilotage de la mise en oeuvre de la SNPC incombe au Département fédéral des finances (Unité de pilotage informatique de la Confédération), mais la responsabilité en matière de cybersécurité est assumée plus largement dans toute la Suisse. Différents offices et services, notamment au sein du Département fédéral de l’économie, de la formation et de la recherche ainsi que du Département fédéral des affaires étrangères, sont responsables des seize mesures prévues par la SNPC pour réduire les cyberrisques au minimum, et ils les appliquent de manière systématique. Ils sont représentés au sein du comité de pilotage de la SNPC, entretiennent des contacts réguliers et se rencontrent au moins deux fois par an pour contrôler les progrès réalisés et, le cas échéant, introduire de nouvelles mesures permettant de renforcer la sécurité. L’organe de coordination de la SNPC vérifie constamment l’état d’avancement de la mise en oeuvre et coordonne la collaboration entre les responsables des mesures.
3. La cybersécurité est l’affaire de tous, d’autant plus que les cyberrisques revêtent différentes formes et qu’ils ont des conséquences directes sur l’économie, la société et l’Etat. Des mesures efficaces de réduction de tels risques ne peuvent donc pas être pilotées par un seul service. De plus, une telle centralisation serait contraire aux structures politiques et économiques décentralisées que connaît la Suisse et n’apporterait pas de plus-value. La SNPC vise à renforcer les compétences et la responsabilité individuelle des personnes concernées. Dans ce cadre, il importe de suivre et de coordonner cette approche décentralisée tout en assurant une collaboration étroite entre les différents organes suisses et étrangers afin de conserver une vue d’ensemble de la cybersécurité.
Ni l’armée, ni un département, ni même la Confédération ne pourraient assurer ou piloter seuls la cybersécurité de l’ensemble de l’infrastructure informatique de la Suisse, et ce même en investissant des moyens colossaux.

Source: 16.3606 | Qui s’occupe de la cybersécurité suisse? | Objet | Le Parlement suisse

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.