La conseillère nationale Judith Bellaïche (pvl, ZH) charge le Conseil fédéral d'étudier comment le piratage éthique pourrait être institutionnalisé et encouragé dans l'Administration fédérale et les entreprises liées à la Confédération. Le piratage éthique vise à chercher et détecter les failles, afin de renforcer la sécurité du réseau et des systèmes informatiques. Pour ce faire, il faudrait des directives qui définissent le cadre du piratage éthique, notamment le processus pour détecter les failles de sécurité et les tests de robustesse. Toute poursuite à l'encontre des pirates impliqués dans ce type de piratage doit être exclue. Le Centre national pour la cybersécurité devrait accompagner et soutenir cette démarche.
Le Conseil fédéral a proposé d'accepter le postulat, lequel a été adopté sans discussion par le Conseil national.

Le rapport faisant suite au postulat Bellaiche (pvl, ZH) a été publié par le Conseil fédéral. Dans ce rapport, le contexte relatif au piratage éthique a été rappelé. «La numérisation a rendu l’économie, l’Etat et la population complètement dépendants du fonctionnement et de la sécurité des technologies de l’information et de la communication.» Les codes à l'origine de ces systèmes informatiques sont longs et complexes, laissant place à de possibles vulnérabilités par lesquelles les cyberattaquant.e.s peuvent accéder aux systèmes sans y avoir été invités, pouvant mener à des cyberattaques. Le présent postulat demandait d'analyser la situation du piratage éthique en Suisse. Ce dernier consiste à ce que les cyberattaquant.e.s, au lieu de lancer une cyberattaque contre le système, préviennent l'institution de la vulnérabilité afin que le système soit amélioré et la cybersécurité renforcée.
Dans son rapport, le Conseil fédéral soutient que les chances sont grandes que le recours au piratage éthique gagne encore en importance à l'avenir. En Suisse, les mesures actuelles montrent encore un large potentiel et aucune mesure légale supplémentaire n'est actuellement nécessaire. Au cours des dernières années, le piratage éthique a «grandement progressé en Suisse» et le rapport pointe plusieurs aspects l'expliquant. Premièrement, lors de l'instauration de l'obligation de signalement des vulnérabilités des institutions critiques (22.073), la base légale pour le piratage éthique a été définie par l'Administration. Deuxièmement, l'économie privée a elle aussi promu le piratage éthique en lançant des programmes de primes aux bogues. Le rapport met en lumière que le succès de ces programmes orientera de nouvelles entreprises vers le piratage éthique. Finalement, la Confédération encourage le piratage éthique, ce dernier étant un élément clé de la cyberstratégie nationale.
Ainsi, le NCSC, qui est devenu l'Office fédéral de la cybersécurité le premier janvier 2024, continuera de coordonner et divulguer les vulnérabilités. L'Administration fédérale perpétuera l'élargissement des mesures visant à promouvoir le piratage éthique et la Confédération encouragera le secteur économique à suivre la voie du piratage éthique en mettant en lumière les bienfaits de ce dernier. Le rapport souligne cependant que si après signalement, les vulnérabilités ne sont pas supprimées par les utilisateurs des programmes, même après mise à disposition d'une mise à jour de la part du détenteur du programme, déceler la vulnérabilité ne fait que peu de sens. C'est pourquoi le rapport affirme qu'une collaboration est essentielle. Pour le Conseil fédéral, en promouvant le piratage étique, l'échange sur les vulnérabilités sera renforcé. Et ceci, sans obliger les signalements de vulnérabilités. De plus, «les conditions sont réunies pour que le potentiel important du piratage éthique soit mieux exploité à l’avenir. Si cet objectif est atteint, il est probable que la prévention contre les cyberattaques soit nettement améliorée et que les pouvoirs publics ainsi que les entreprises puissent nettement mieux se protéger qu’aujourd’hui.»

Le Conseil fédéral estime que puisque les cybermenaces ont gagné en importance ces dernières années, la cybersécurité doit devenir un élément central de la politique de sécurité de la Suisse. C'est la raison pour laquelle il a décidé d'élaborer une nouvelle cyberstratégie nationale, qui lui permet de définir le champ d'action de la Confédération, des cantons et des acteurs privés pour faire face aux cybemenaces. Il s'est basé sur les conclusions des deux premières cyberstratégies de la Confédération, celle de 2012-2017 et celle de 2018-2022, pour rédiger cette nouvelle stratégie.
Dans la première partie de ce rapport, les auteurs s'attachent à classifier et à établir la nature des différentes cybermenaces auxquelles peut être confrontée la Suisse. Ils distinguent ainsi les menaces liées aux cyberattaques, perpétrées par des acteurs étatiques (cyberespionnage, cybersabotage) ou non-étatiques (cybercriminalité), des dysfonctionnements dus à des défaillances humaines ou techniques. A cet égard, les auteurs notent que les facteurs de cybermenaces évoluent constamment, dans la mesure où le contexte dans lequel elles s'insèrent est lui-même exposé à des changements continus. Le Conseil fédéral estime ainsi que la montée des tensions géopolitiques, dans différentes régions du monde, est susceptible de favoriser l'usage des cyberattaques contre les principaux Etats producteurs d'infrastructures informatiques, ce qui pourrait mettre en cause la capacité de la Suisse à disposer de tels outils. Parmi les technologies émergentes, dont le Conseil fédéral appelle à surveiller le développement, figure notamment l'intelligence artificielle. En effet, d'après le gouvernement, son potentiel pourrait permettre de se protéger plus efficacement contre les cyberattaques, mais aussi d'en perpétrer avec davantage de facilité.
Par la suite, le Conseil fédéral présente les efforts déployés pour faire face aux cybermenaces depuis une décennie. Il affirme que cette nouvelle cyberstratégie nationale se base sur les conclusions des deux précédentes. Mais alors que les deux premiers rapports se focalisaient sur l'implantation et le développement de structures permettant de faire face aux cybermenaces qui pouvaient viser la Suisse – par exemple grâce à la création du Centre national de la cybersécurité (NCSC) –, la présente cyberstratégie vise d'abord à définir les priorités de la Confédération en ce qui concerne les projets qui sont déjà en cours d'élaboration ou ceux qui sont envisagés pour les années à venir.
Le Conseil fédéral insiste sur le caractère multisectoriel de la politique de sécurité en vigueur en Suisse et rappelle que, puisque la Suisse est un Etat fédéral, les cantons et les collectivités territoriales disposent d'une large marge de manoeuvre dans l'application de la cyberstratégie nationale, au même titre que les acteurs privés ou les hautes écoles. Le Conseil fédéral identifie toutefois trois grands domaines d'action dans lesquels la Confédération doit jouer un rôle prépondérant : la cybersécurité, la cyberdéfense et la poursuite pénale contre la cybercriminalité. La cybersécurité, correspond à la lutte des autorités contre les cybermenaces qui visent le pays, la cyberdéfense consiste à protéger les infrastructures critiques de la Confédération contre les cyberattaques et la poursuite pénale contre la cybercriminalité ressortit aux dispositifs déployés par la Confédération et les cantons pour lutter contre la cybercriminalité. A cet égard, le Conseil fédéral précise que «la poursuite pénale pour la cybercriminalité est d'abord du ressort des cantons». Lorsque la Confédération joue un rôle en matière de lutte contre la cybercriminalité, les principaux acteurs de l'action des autorités fédérales sont l'Office fédéral de la police (Fedpol) et le Ministère public de la Confédération (MPC).
Dans ce rapport, le gouvernement s'attache également à définir les rôles qui incombent aux différents acteurs impliqués dans la nouvelle cyberstratégie nationale. Ainsi, pour renforcer les moyens d'action des cantons dans leur lutte contre la cybersécurité, il leur conseille de nommer une personne responsable de planifier leur politique en matière de cybersécurité. Par ailleurs, le Conseil fédéral a décidé de constituer un comité chargé de coordonner l'action de tous les acteurs associés à la cyberstratégie nationale. Cette démarche vise notamment à mesurer l'évolution des travaux et des projets menés dans le cadre de la cyberstratégie nationale. Le NCSC, qui assure le secrétariat de cette instance, est chargé d'informer régulièrement le Conseil fédéral de l'état d'avancement du processus de mise en oeuvre de la cyberstratégie nationale. D'après le gouvernement, l'Etat doit uniquement jouer un rôle «subsidiaire» et «partenarial» dans le déploiement de la nouvelle cyberstratégie. Cela signifie que les institutions étatiques ne doivent intervenir que lorsque les acteurs privés ne sont pas en mesure d'agir et qu'une action de l'Etat permettrait de garantir la sécurité de l'ensemble de la collectivité.
Le Conseil fédéral identifie cinq objectifs stratégiques en ce qui concerne la lutte contre les cybermenaces. Il s'agit tout d'abord de défendre une approche qui fait la part belle à la responsabilisation des acteurs susceptibles d'être visés par des cybermenaces, notamment en intensifiant la prévention et en établissant des dispositifs permettant de mieux informer la population. Puis, le Conseil fédéral entend renforcer la fiabilité des infrastructures critiques présentes sur le territoire suisse en travaillant en partenariat avec les cantons. Le troisième objectif fixé par la Confédération relève des ressources dont disposent les autorités pour détecter, puis répondre à d'éventuels cyberincidents. En outre, le Conseil fédéral a également à coeur, comme mentionné plus haut, d'améliorer la capacité de la Confédération à engager des poursuites pénales contre les auteurs de cyberattaques. Enfin, le dernier objectif du gouvernement concernant la lutte contre la cybercriminalité, vise à permettre à la Suisse de jouer un rôle clé dans la coopération internationale contre les cybermenaces, notamment en considérant la Genève internationale comme une scène majeure des débats autour de la cybersécurité.
Dans l'ensemble, la nouvelle cyberstratégie nationale du Conseil fédéral s'attache à défendre ce qu'il appelle une «approche exhaustive basée sur les risques». Il s'agit de prendre en compte un large éventail de menaces potentielles afin de limiter au maximum les risques résiduels.