Loi sur la sécurité de l'information. Inscription d'une obligation de signaler les cyberattaques contre les infrastructures critiques (MCF 22.073)

Als PDF speichern

À l'air du numérique, la sécurité a pris une toute autre couleur. Cette nouvelle fenêtre doit, elle aussi être protégée. Ainsi, la sécurité des données et des infrastructures, les cyberrisques ou encore la collaboration entre les différents acteurs sont des sujets qui ne cessent de revenir sous la coupole fédérale tout comme dans les médias. En décembre 2022, le Conseil fédéral a publié un message sur la mise en place d’une obligation de signaler les cyberattaques contre les infrastructures critiques. Dans le cadre de ce message, différentes options ont été envisagées pour formuler une nouvelle loi afin de consolider la sécurité cyber. Le Conseil fédéral a mis l'accent sur la collaboration et l'efficacité.

En 2016, après l'acceptation par l'EU d'une directive concernant le signalement des cyberattaques visant les infrastructures critiques et de discussions internes, la Suisse a chargé le département fédéral des finances (DFF) de fournir, d'ici fin 2021, les bases légales pour introduire une obligation de signaler les cyberattaques contre les infrastructures critiques, dont le secteur bancaire, l'armée, le système de soins médicaux ou encore les infrastructures relatives au transport routier. Cette analyse a également révélé des manquements au niveau du centre national pour la cybersécurité (NCSC). C'est pourquoi une partie du projet final est réservée à la spécification des tâches assignées au NCSC. En cas de cyberattaques concernant les infrastructures critiques suisses, le NCSC devra réceptionner les signalements obligatoires mais aussi les signalements volontaires pour permettre à la Confédération d'avoir une vue d'ensemble sur les failles du système.

Sur la base des propositions du DFF, le Conseil fédéral a estimé que la seule option qui permettait de renforcer les relations entre le gouvernement et les infrastructures critiques, mais aussi l'efficacité et la sécurité reposait sur l'obligation de reporter les cyberattaques touchant aux infrastructures critiques. En effet, les suggestions basées sur la bonne volonté des infrastructures critiques et l'extension des mesures existantes n'étaient pas suffisantes et s'accompagnaient de lourds désavantages comme des procédures trop compliquées ou de la confiance aveugle de la part du gouvernement envers les infrastructures critiques.

Finalement, le Conseil fédéral a fait attention à ce que le projet final repose sur des procédures simples, que les signalements soient récompensés par un service de conseil assuré par le NCSC, et que le non-respect des conditions soit puni par une sanction pécuniaire pouvant s'élever jusqu'à CHF 100'000, dont CHF 20'000 directement à la charge de l'entreprise exploitant l'infrastructure critique concernée. Toutefois, le Conseil fédéral estime que cette dernière mesure restera symbolique en raison d'une collaboration de longue date entre les infrastructures critiques et le gouvernement.

La CPS-CN est favorable par 16 voix contre 1 et 6 abstentions au projet qui vise à rendre le signalement des cyberattaques envers les infrastructures critiques obligatoires. Elle salue notamment la définition des tâches du NCSC dans la loi. La commission, considérant le sujet comme très important, a souhaité approfondir les réglementations en adoptant une proposition supplémentaire qui vise « à étendre l’obligation de signaler aux vulnérabilités des systèmes informatiques, et non seulement aux cyberattaques ».
Du côté du Conseil national, la sécurité numérique est considérée comme très importante par les député.e.s, ce qui s'est largement ressenti dans les discussions. Il est intéressant de relever que la minorité opposée au projet n'a pas remis en cause le but de la mesure mais les moyens employés pour y arriver. En effet, l'UDC a critiqué le choix du Conseil fédéral de punir financièrement les institutions ne reportant pas les infractions plutôt que de trouver une incitation qui motiverait tous les acteurs.
Le Conseil national a accepté l'objet par 132 voix contre 55, dont 54 provenant de l'UDC (aucune abstention).

La CPS-CE a proposé à l'unanimité d'accepter la modification de la loi fédérale sur la sécurité de l'information (LSI) qui vise à rendre le signalement des cyberattaques envers les infrastructures critiques obligatoires.
Une proposition de revenir à la version initiale, avancée par le Conseil fédéral, a été évoquée. Il a en effet été suggéré de revoir la décision du Conseil national « d'obliger la signalisation des vulnérabilités concernant des moyens informatiques essentiels pour l'exploitation et encore inconnus du public ». Cette suggestion a été évincée malgré une commission très partagée. Alors que la majorité a estimé que l'effort à fournir était minime comparé aux bienfaits de la mesure, la minorité a souligné le manque d'informations vis-à-vis du nombre d'acteurs concernés et s'est montrée réticente face à une telle disposition.
La modification de la LSI sera discutée au Conseil des Etats.