Le Conseil fédéral est favorable à ce que les infrastructures critiques soient tenues de signaler les cyberattaques
Berne, 11.12.2020 - Lors de sa séance du 11 décembre 2020, le Conseil fédéral a chargé le Département fédéral des finances (DFF) d’élaborer un projet destiné à la consultation concernant l’introduction d’une obligation de signaler les cyberattaques pour les exploitants d’infrastructures critiques. Il a défini des critères pour la conception de cette obligation.
Il existe en Suisse une obligation de déclarer les défaillances dans certains secteurs, mais pas d’obligation générale concernant les cyberattaques. L’échange d’informations sur les cyberattaques visant les infrastructures critiques comme l’approvisionnement énergétique, les télécommunications, le secteur financier ou les assurances s’effectue sur une base volontaire par l’intermédiaire du Centre national pour la cybersécurité (NCSC), rattaché au DFF. La stratégie nationale de protection de la Suisse contre les cyberrisques indique qu’il faut examiner l’introduction d’une obligation de déclarer les cyberincidents. Par ailleurs, en adoptant, le 13 décembre 2019, le rapport en réponse au postulat «Infrastructures critiques. Prévoir une obligation de signaler les incidents graves de sécurité» (postulat 17.3475, Graf-Litscher), le Conseil fédéral a formulé les mandats d’examen correspondants.
En concertation avec les autorités compétentes (aux niveaux cantonal et fédéral) et les milieux économiques, le NCSC a examiné l’opportunité d’instaurer une obligation de signaler les cyberattaques et la manière dont une telle obligation pourrait être conçue. L’Office fédéral de la protection de la population (OFPP) a, quant à lui, étudié s’il fallait instaurer des obligations de déclarer les défaillances concernant les infrastructures critiques ou étendre les obligations existantes, et si ces déclarations devaient être transmises à une centrale. Lors de sa séance d’aujourd’hui, le Conseil fédéral a pris connaissance des résultats de ces travaux et défini les étapes ultérieures.
Critères de l’obligation de déclarer
Le Conseil fédéral a chargé le DFF de préparer, d’ici à la fin de 2021, un projet destiné à la consultation qui crée les bases légales pour l’introduction d’une obligation de déclarer applicable aux infrastructures critiques en cas de cyberattaques et lors de la détection de failles de sécurité. La loi désignera à cet effet une centrale d’enregistrement et définira des critères uniformes pour tous les secteurs afin de déterminer qui doit signaler quels incidents et dans quel délai. Les dispositions concrètes concernant l’obligation de déclarer seront fixées dans des actes législatifs distincts en fonction de la situation spécifique des secteurs concernés. Cette obligation devra être harmonisée avec les obligations de déclarer existantes dans les secteurs et avec celles prévues par le droit sur la protection des données.
Les déclarations envoyées à la centrale d’enregistrement et les données recueillies seront utilisées pour diffuser des alertes rapides. L’identification précoce des méthodes d’attaque et les alertes permettront de renforcer la sécurité de la Suisse et de mieux évaluer la menace. Les données concernant les auteurs des déclarations ne seront pas communiquées.
Par ailleurs, les départements élaboreront des propositions concernant l’instauration ou l’extension, dans la législation existante, des obligations de déclarer les défaillances dans les infrastructures critiques. Ces travaux seront coordonnés par l’OFPP.
Adresse pour l'envoi de questions
Communication du Département fédéral des finances DFF
Tél. +41 58 462 60 33, info@gs-efd.admin.ch
Documents
Auteur
Conseil fédéral
https://www.admin.ch/gov/fr/accueil.html
Secrétariat général DFF
http://www.efd.admin.ch
Secrétariat général du DDPS
https://www.vbs.admin.ch/
Service de renseignement de la Confédération
http://www.ndb.admin.ch
Office fédéral de la protection de la population
http://www.bevoelkerungsschutz.admin.ch/
