La conseillère nationale Judith Bellaïche (pvl, ZH) charge le Conseil fédéral d'étudier comment le piratage éthique pourrait être institutionnalisé et encouragé dans l'Administration fédérale et les entreprises liées à la Confédération. Le piratage éthique vise à chercher et détecter les failles, afin de renforcer la sécurité du réseau et des systèmes informatiques. Pour ce faire, il faudrait des directives qui définissent le cadre du piratage éthique, notamment le processus pour détecter les failles de sécurité et les tests de robustesse. Toute poursuite à l'encontre des pirates impliqués dans ce type de piratage doit être exclue. Le Centre national pour la cybersécurité devrait accompagner et soutenir cette démarche.
Le Conseil fédéral a proposé d'accepter le postulat, lequel a été adopté sans discussion par le Conseil national.

Dossier: Cyber Defence

Le rapport faisant suite au postulat Bellaïche (pvl, ZH) a été publié par le Conseil fédéral. Dans ce rapport, le contexte relatif au piratage éthique a été rappelé. «La numérisation a rendu l’économie, l’Etat et la population complètement dépendants du fonctionnement et de la sécurité des technologies de l’information et de la communication.» Les codes à l'origine de ces systèmes informatiques sont longs et complexes, laissant place à de possibles vulnérabilités par lesquelles les cyberattaquant.e.s peuvent accéder aux systèmes sans y avoir été invités, pouvant mener à des cyberattaques. Le présent postulat demandait d'analyser la situation du piratage éthique en Suisse. Ce dernier consiste à ce que les cyberattaquant.e.s, au lieu de lancer une cyberattaque contre le système, préviennent l'institution de la vulnérabilité afin que le système soit amélioré et la cybersécurité renforcée.
Dans son rapport, le Conseil fédéral soutient que les chances sont grandes que le recours au piratage éthique gagne encore en importance à l'avenir. En Suisse, les mesures actuelles montrent encore un large potentiel et aucune mesure légale supplémentaire n'est actuellement nécessaire. Au cours des dernières années, le piratage éthique a «grandement progressé en Suisse» et le rapport pointe plusieurs aspects l'expliquant. Premièrement, lors de l'instauration de l'obligation de signalement des vulnérabilités des institutions critiques (22.073), la base légale pour le piratage éthique a été définie par l'Administration. Deuxièmement, l'économie privée a elle aussi promu le piratage éthique en lançant des programmes de primes aux bogues. Le rapport met en lumière que le succès de ces programmes orientera de nouvelles entreprises vers le piratage éthique. Finalement, la Confédération encourage le piratage éthique, ce dernier étant un élément clé de la cyberstratégie nationale.
Ainsi, le NCSC, qui est devenu l'Office fédéral de la cybersécurité le premier janvier 2024, continuera de coordonner et divulguer les vulnérabilités. L'Administration fédérale perpétuera l'élargissement des mesures visant à promouvoir le piratage éthique et la Confédération encouragera le secteur économique à suivre la voie du piratage éthique en mettant en lumière les bienfaits de ce dernier. Le rapport souligne cependant que si après signalement, les vulnérabilités ne sont pas supprimées par les utilisateurs des programmes, même après mise à disposition d'une mise à jour de la part du détenteur du programme, déceler la vulnérabilité ne fait que peu de sens. C'est pourquoi le rapport affirme qu'une collaboration est essentielle. Pour le Conseil fédéral, en promouvant le piratage étique, l'échange sur les vulnérabilités sera renforcé. Et ceci, sans obliger les signalements de vulnérabilités. De plus, «les conditions sont réunies pour que le potentiel important du piratage éthique soit mieux exploité à l’avenir. Si cet objectif est atteint, il est probable que la prévention contre les cyberattaques soit nettement améliorée et que les pouvoirs publics ainsi que les entreprises puissent nettement mieux se protéger qu’aujourd’hui.»

Dossier: Cyber Defence