La Confédération examine la possibilité d’introduire une obligation de déclarer les cyberincidents

Berne, 13.12.2019 - Lors de sa séance du 13 décembre 2019, le Conseil fédéral a adopté le rapport «Obligation de déclarer les incidents graves affectant la sécurité des infrastructures critiques: solutions possibles». Ce rapport décrit les principales questions qui se posent au sujet de l’introduction d’obligations de déclarer et présente plusieurs modèles possibles pour la mise en œuvre de telles obligations. Le Conseil fédéral se fondera sur les résultats de ce rapport pour prendre, d’ici à fin 2020, des décisions de principe sur l’introduction d’obligations de déclarer.

En Suisse, il n’existe pas d’obligation générale de signaler les cyberincidents. Les informations sur les cyberincidents concernant des infrastructures critiques telles que l’approvisionnement en énergie, la télécommunication et les secteurs des finances et des assurances s’échangent sur une base volontaire par l’intermédiaire de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI). Vu l’évolution rapide des cyberrisques, il faut se demander si cet échange volontaire est suffisant pour identifier à temps les menaces dans tous les secteurs. C’est pourquoi la Stratégie nationale de protection de la Suisse contre les cyberrisques prévoit l’examen d’obligations de notifier dans ce domaine. En outre, le Parlement a transmis un postulat (17.3475 Graf-Litscher) qui charge le Conseil fédéral de présenter un rapport sur les possibilités d’introduire des obligations de signaler les incidents de sécurité affectant les infrastructures critiques.

Solutions pour la mise en œuvre

Le rapport «Obligation de déclarer les incidents graves affectant la sécurité des infrastructures critiques: solutions possibles» présente les premiers résultats de cet examen. Il résume les conclusions des travaux réalisés jusqu’à présent et expose plusieurs solutions permettant d’introduire des obligations de déclarer. Ces solutions se fondent sur les obligations existantes de signaler les incidents de sécurité, sur les constatations issues des entretiens menés avec des experts et sur l’analyse des obligations de déclarer mises en place dans d’autres pays. Concernant les solutions possibles, il est essentiel de clarifier si les cyberincidents doivent être annoncés à un point de contact séparé ou s’il faut compléter les points de contact sectoriels qui existent déjà en partie pour le signalement des incidents de sécurité. En lien avec cette structure organisationnelle, il faut évaluer le seuil à partir duquel les incidents doivent être déclarés, les délais à respecter pour les déclarations, la possibilité de faire des déclarations anonymes et celle de définir des sanctions en cas de non-respect de l’obligation.

Décision de principe d’ici fin 2020

Le Conseil fédéral a chargé le Centre de compétences pour la cybersécurité, récemment créé au sein du Département fédéral des finances, et l’Office fédéral de la protection de la population de clarifier ces questions en collaboration avec les autorités concernées des cantons et de la Confédération ainsi qu’avec les milieux économiques. Dans ce contexte, il s’agira également d’examiner si les obligations générales de déclarer les défaillances concernant les infrastructures critiques doivent être étendues. D’ici à fin 2020, le Conseil fédéral devra recevoir un projet lui permettant de prendre des décisions de principe sur les obligations de déclarer concernant les infrastructures critiques.

Adresse pour l'envoi de questions

Communication DFF
Tél. +41 58 462 60 33
Courriel: info@gs-efd.admin.ch