Le Conseil fédéral fixe l’entrée en vigueur de la loi sur la sécurité de l’information

Berne, 08.11.2023 - La loi sur la sécurité de l’information (LSI) et ses quatre ordonnances d’exécution entreront en vigueur le 1er janvier 2024. Le Conseil fédéral en a décidé ainsi lors de sa séance du 8 novembre 2023. Il entend ainsi renforcer la protection des informations et la cybersécurité au sein de la Confédération.

La LSI réunira en un seul acte les bases légales les plus importantes pour la sécurité des informations et des moyens informatiques de la Confédération. Se basant sur des normes internationales, la loi et ses quatre ordonnances d’exécution fixeront des exigences minimales dans ce domaine pour l’ensemble des autorités et des organisations de la Confédération.

La cybersécurité de la Confédération ne se limite pas à sa propre infrastructure informatique. Les informations et les données fédérales doivent également être protégées au niveau des tiers, des cantons et des partenaires internationaux. La LSI et ses quatre ordonnances d’exécution règleront ces questions de manière efficace et selon les besoins actuels.

Trois nouvelles ordonnances et une révision partielle

La mise en œuvre de la LSI requiert l’élaboration de trois nouvelles ordonnances et la révision partielle d’une ordonnance existante :

• La nouvelle ordonnance sur la sécurité de l’information (OSI) réunira, complètera et remplacera deux ordonnances actuelles, l’une concernant la protection des informations et l’autre les cyberrisques. Elle régira la gestion de la sécurité de l’information, la protection des informations classifiées, la sécurité informatique et les mesures relatives à la sécurité personnelle et physique. L’OSI obligera les offices fédéraux à introduire un système de management de la sécurité de l’information (SMSI), qui regroupera les prescriptions, les processus et les mesures nécessaires pour assurer, de manière systématique, la conduite, la mise en œuvre, le contrôle et l’amélioration de la sécurité de l’information. Le SMSI constitue déjà un standard, tant dans l’économie privée qu’au sein des administrations publiques.
L’OSI concernera les cantons dans la mesure où ils traiteront des informations classifiées de la Confédération ou auront accès aux moyens informatiques de celle-ci. Dans ces deux types de situations en tout cas, ils devront respecter les prescriptions applicables ou garantir un niveau de sécurité de l’information au moins équivalent.

• L’ordonnance sur les contrôles de sécurité relatifs aux personnes (OCSP) règlera la procédure en la matière. Ces contrôles visent à déterminer si l’exercice d’une activité sensible par une personne dans le cadre d’une activité de la Confédération présente un risque pour la sécurité des informations. À cette fin, le service spécialisé compétent collecte des données touchant au mode de vie de la personne concernée, notamment à ses relations personnelles étroites et familiales, à sa situation financière et à ses rapports avec l’étranger, et les examine sous l’angle de leur pertinence pour la sécurité de la Suisse. La LSI elle-même fixe des limites claires au traitement de ces données, qui ne peuvent être collectées et évaluées que dans la mesure où elles sont importantes pour la sécurité. Avec cette loi, le législateur a élargi la palette des informations qui peuvent être traitées par les services spécialisés chargés d’effectuer des contrôles de sécurité relatifs aux personnes afin d’évaluer le risque pour la sécurité, améliorant ainsi l’efficacité de ces investigations. Avec le nouveau droit, ces contrôles seront réservés aux personnes qui, dans le cadre de l’exercice de leur fonction, sont susceptibles de causer des dommages considérables à la Confédération, raison pour laquelle moins de contrôles seront effectués à l’avenir.

• La nouvelle ordonnance sur la procédure de sécurité relative aux entreprises (OPSEnt) précisera la procédure découlant des exigences introduites par la LSI dans ce domaine et remplacera l’ordonnance concernant la sauvegarde du secret, limitée aux contrats dont le contenu est classifié du point de vue militaire. La procédure aura lieu lorsque des mandats impliquant l’exercice d’une activité sensible seront confiés par les autorités fédérales à des entreprises dont la fiabilité sera examinée en collaboration avec le Service de renseignement de la Confédération. Il conviendra tout particulièrement d’éviter que des entreprises contrôlées par des services de renseignement étrangers aient accès à des informations classifiées ou à des systèmes informatiques critiques de la Confédération. Pendant toute la durée de l’exécution du mandat, le service spécialisé compétent pourra procéder à des inspections inopinées afin de contrôler la mise en œuvre de la sécurité de l’information. Il pourra également effectuer des audits.

• L’ordonnance sur les systèmes de gestion des données d’identification et les services d’annuaires de la Confédération (OIAM) doit être adaptée à la suite de l’entrée en vigueur de la LSI. Complétant les trois nouvelles ordonnances, elle posera le cadre légal nécessaire à la création d’un système de gestion des données d’identification unifié pour accéder aux services en ligne de toute l’administration au niveau fédéral (cyberadministration). Ces adaptations entreront en vigueur au 1er janvier 2024, pour autant que le Conseil fédéral ait fixé l’entrée en vigueur à cette même date de la loi fédérale sur l’utilisation de moyens électroniques pour l’exécution des tâches des autorités (LMETA).

Lors de sa séance du 8 novembre 2023, le Conseil fédéral a pris connaissance des résultats de la procédure de consultation relative à ces ordonnances, laquelle s’est déroulée entre le mois d’août et la fin du mois de novembre 2022. Les ordonnances ont été accueillies favorablement par la grande majorité des milieux consultés.

Obligation de signaler les cyberattaques contre les infrastructures critiques

Le 29 septembre 2023, le Parlement a adopté une modification de la LSI visant à instituer une obligation de signaler toute cyberattaque portée contre une infrastructure critique. Cette modification exigeant une refonte complète du chapitre 5 de la LSI, le projet relatif aux dispositions d’exécution sera présenté ultérieurement. L’avant-projet créera les bases légales permettant d’obliger les exploitants d’infrastructures critiques à signaler les cyberattaques et définira les tâches du Centre national pour la cybersécurité (NCSC), qui jouera le rôle de service central d’annonce.

Adresse pour l'envoi de questions

Communication DDPS
+41 58 464 50 58
kommunikation@gs-vbs.admin.ch