{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20133824,Language='FR')/Transcripts"}},"ID":20133824,"Language":"FR","BusinessShortNumber":"13.3824","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Failles de s\u00e9curit\u00e9 au Service de renseignement. Intervention trop tardive du Conseil f\u00e9d\u00e9ral?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Le 30 ao\u00fbt 2013, la D\u00e9l\u00e9gation des Commissions de gestion (D\u00e9lCdG) a publi\u00e9 une version abr\u00e9g\u00e9e de son rapport relatif \u00e0 la s\u00e9curit\u00e9 informatique au sein du Service de renseignement de la Conf\u00e9d\u00e9ration (SRC). Se fondant sur une inspection formelle, ce rapport contenait onze recommandations adress\u00e9es au Conseil f\u00e9d\u00e9ral.</p><p>Les critiques formul\u00e9es par la D\u00e9lCdG ne visent pas seulement le D\u00e9partement f\u00e9d\u00e9ral de la d\u00e9fense, de la protection de la population et des sports (DDPS) et le SRC, mais aussi le Conseil f\u00e9d\u00e9ral dans son ensemble\u00a0: \"Aux yeux de la D\u00e9lCdG, cette situation \u00e9tait due \u00e0 une planification insuffisante, qui remontait \u00e0 la d\u00e9cision du Conseil f\u00e9d\u00e9ral, prise en mai 2008, de transf\u00e9rer le SAP au DDPS.\" (p. 2).</p><p>Je prie le Conseil f\u00e9d\u00e9ral de r\u00e9pondre aux questions suivantes\u00a0:</p><p>1. Les risques et les failles de s\u00e9curit\u00e9 informatique identifi\u00e9es par la D\u00e9lCdG lors de son inspection \u00e9taient-ils d\u00e9j\u00e0 connus du Conseil f\u00e9d\u00e9ral en 2011 et 2012 (notamment le manque de personnel dans le domaine de l'informatique et des contr\u00f4les de s\u00e9curit\u00e9 relatifs aux personnes, la d\u00e9cision de renoncer \u00e0 soumettre les sp\u00e9cialistes externes \u00e0 un contr\u00f4le de s\u00e9curit\u00e9 complet et la d\u00e9cision de renoncer \u00e0 mettre en oeuvre les prescriptions minimales de la Conf\u00e9d\u00e9ration en mati\u00e8re de protection des donn\u00e9es)?</p><p>2. En 2009, le DDPS a propos\u00e9 de r\u00e9unir le Service d'analyse et de pr\u00e9vention (SAP) et le Service de renseignement strat\u00e9gique au sein d'un m\u00eame office f\u00e9d\u00e9ral \"sans ressources suppl\u00e9mentaires\". Pourquoi le Conseil f\u00e9d\u00e9ral a-t-il approuv\u00e9 cette proposition\u00a0? Quelles t\u00e2ches ex\u00e9cutent aujourd'hui au D\u00e9partement de justice et police le personnel qui \u00e9tait charg\u00e9 de l'informatique au SAP\u00a0?</p><p>3. Le 1er mai 2013, soit un an apr\u00e8s le vol des donn\u00e9es, le Conseil f\u00e9d\u00e9ral a d\u00e9cid\u00e9 de renforcer la s\u00e9curit\u00e9 informatique au SRC \u00e0 partir de 2014 ou 2015. Pour quelles raisons la protection des donn\u00e9es hautement sensibles du SRC n'a-t-elle pas \u00e9t\u00e9 d\u00e9finie en mai comme la priorit\u00e9 absolue et pourquoi le personnel n'a-t-il pas \u00e9t\u00e9 imm\u00e9diatement \u00e9toff\u00e9\u00a0?</p><p>4. Le 12 mai 2010, le Conseil f\u00e9d\u00e9ral a charg\u00e9 le DDPS d'\u00e9laborer une esquisse d'acte normatif et les bases formelles d'une loi sur la protection de l'information au sein de la Conf\u00e9d\u00e9ration. Il a ainsi confi\u00e9 cette t\u00e2che essentielle \u00e0 un d\u00e9partement qui n'applique pas syst\u00e9matiquement les prescriptions en vigueur de la Conf\u00e9d\u00e9ration. Le Conseil f\u00e9d\u00e9ral est-il dispos\u00e9 \u00e0 confier la direction du projet \u00e0 un autre d\u00e9partement ou \u00e0 l'ensemble du coll\u00e8ge\u00a0?</p><p>5. Le DDPS n'est pas seulement le d\u00e9partement de tutelle du SRC\u00a0: il est \u00e9galement responsable d'autres t\u00e2ches ayant trait \u00e0 la s\u00e9curit\u00e9. Le Conseil f\u00e9d\u00e9ral juge-t-il que les lacunes identifi\u00e9es par la D\u00e9lCdG dans le domaine de la gestion des risques, de la planification des ressources et de la surveillance pourraient causer des probl\u00e8mes dans d'autres offices du DDPS\u00a0?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>Le Conseil f\u00e9d\u00e9ral a pris position en ce qui concerne le rapport de la D\u00e9l\u00e9gation des Commissions de gestion (D\u00e9lCdG) sur la s\u00e9curit\u00e9 de l'informatique au Service de renseignement de la Conf\u00e9d\u00e9ration (SRC) en date du 30 octobre 2013.</p><p>Le Conseil f\u00e9d\u00e9ral r\u00e9pond ci-apr\u00e8s aux questions concr\u00e8tes.</p><p>1. Tant lors de la d\u00e9cision de transf\u00e9rer les fractions du Service d'analyse et de pr\u00e9vention (SAP) au DDPS que lors de celle de r\u00e9unir le Service de renseignement strat\u00e9gique (SRS) et le SAP en un Service de renseignement de la Conf\u00e9d\u00e9ration (SRC), la situation g\u00e9n\u00e9rale pour le personnel et les finances \u00e9tait connue. Dans le cadre du r\u00e9examen des t\u00e2ches de la Conf\u00e9d\u00e9ration, le SRC a \u00e9t\u00e9 charg\u00e9, en 2011, de r\u00e9diger un rapport sur le d\u00e9veloppement de potentiels de synergie au sein des services de renseignement. Ce rapport a soulign\u00e9 qu'en raison des cr\u00e9dits limit\u00e9s pour le personnel du SRC, l'extension des fonctions de support jug\u00e9es n\u00e9cessaires dans les domaines de l'informatique, de la s\u00e9curit\u00e9, etc., ne pouvait s'effectuer qu'au d\u00e9triment des domaines fondamentaux et que l'informatique devait g\u00e9rer, depuis la fusion et sans ressources suppl\u00e9mentaires, le double d'utilisateurs. \u00c0 la suite de ce rapport, le Conseil f\u00e9d\u00e9ral a exempt\u00e9 le SRC du r\u00e9examen des t\u00e2ches de la Conf\u00e9d\u00e9ration.</p><p>2. Le Conseil f\u00e9d\u00e9ral a suivi, en 2009, l'initiative parlementaire Hofmann Hans 07.404 relative au transfert des t\u00e2ches des services de renseignement civils \u00e0 un d\u00e9partement, dont le but primordial \u00e9tait d'am\u00e9liorer les prestations du service de renseignement. La prise de position du Conseil f\u00e9d\u00e9ral du 23 avril 2008 concernant le rapport du 29 f\u00e9vrier 2008 de la Commission de gestion du Conseil des \u00c9tats visait aussi un engagement optimis\u00e9 des ressources existantes (voir FF 2008 3613 s.). L'informatique du SAP reposait sur la base informatique du DFJP (Informatic Service Center DFJP) qui g\u00e8re jusqu'\u00e0 maintenant la banque de donn\u00e9es int\u00e9rieures ISIS du SRC.</p><p>3. Imm\u00e9diatement apr\u00e8s l'incident de mai 2012 concernant la s\u00e9curit\u00e9, plusieurs services administratifs internes et externes ont \u00e9t\u00e9 charg\u00e9s d'analyser la situation et de d\u00e9finir les mesures \u00e0 prendre. Dans le cadre de ses comp\u00e9tences propres, le SRC a identifi\u00e9 et pris une quarantaine de mesures. Il s'agissait en l'esp\u00e8ce de mesures techniques et d'organisation, ainsi que de restrictions de comp\u00e9tences et d'acc\u00e8s. La protection des donn\u00e9es du SRC avait toujours la priorit\u00e9 absolue. Le Conseil f\u00e9d\u00e9ral a pris connaissance, le 1er mai 2013, des besoins suppl\u00e9mentaires du SRC en personnel, soit onze places de travail, pour la s\u00e9curit\u00e9 et l'informatique. Les huit places de premi\u00e8re priorit\u00e9 ont \u00e9t\u00e9 autoris\u00e9es par le Conseil f\u00e9d\u00e9ral, le 26 juin 2013, les trois places restantes ressortiront en 2014 de l'appr\u00e9ciation g\u00e9n\u00e9rale des ressources du domaine du personnel. Le DDPS a d\u00e9j\u00e0 accord\u00e9 en priorit\u00e9 au SRC, pour 2013, les moyens pr\u00e9vus pour les huit places.</p><p>4. Vu l'importance croissante du projet sur le plan politique et sa complexit\u00e9, le DDPS a mandat\u00e9 un groupe d'experts, le 14 janvier 2011, et en a confi\u00e9 la direction au professeur Markus M\u00fcller (Universit\u00e9 de Berne). Apr\u00e8s avoir \u00e9t\u00e9 inform\u00e9 le 30 novembre des points saillants du concept relatif aux normes, le Conseil f\u00e9d\u00e9ral a \u00e9largi le domaine de la r\u00e9glementation, de la protection des informations \u00e0 la s\u00e9curit\u00e9 de ces derni\u00e8res. Le groupe d'experts a \u00e9t\u00e9 \u00e9toff\u00e9 et pr\u00e9sente la composition suivante\u00a0: les Services du Parlement, les tribunaux f\u00e9d\u00e9raux, la conf\u00e9rence des cantons (Conf\u00e9rence suisse de l'informatique), la Chancellerie f\u00e9d\u00e9rale, le Pr\u00e9pos\u00e9 f\u00e9d\u00e9ral \u00e0 la protection des donn\u00e9es et \u00e0 la transparence, le DFAE, le DFJP, le DDPS et le DFF, ainsi que l'Office f\u00e9d\u00e9ral de la justice, l'UPIC, l'OFIT, la PIO et l'OFCOM. Ce groupe est \u00e0 l'oeuvre, conform\u00e9ment au concept relatif aux normes, pour \u00e9laborer le projet de la loi sur la s\u00e9curit\u00e9 des informations. La proc\u00e9dure de consultation doit d\u00e9marrer au premier trimestre 2014. Le Conseil f\u00e9d\u00e9ral n'a donn\u00e9 aucune directive concernant le transfert de la direction du projet \u00e0 un autre d\u00e9partement.</p><p>5. La D\u00e9lCdG recommande au Conseil f\u00e9d\u00e9ral d'\u00e9laborer des propositions d'am\u00e9lioration de la proc\u00e9dure de contr\u00f4le de l'\u00e9tat de la s\u00e9curit\u00e9 des informations au sein de la Conf\u00e9d\u00e9ration. Les mesures doivent permettre au Conseil f\u00e9d\u00e9ral de reconna\u00eetre \u00e0 temps, dans le cadre d'une proc\u00e9dure institutionnalis\u00e9e, les risques en mati\u00e8re de s\u00e9curit\u00e9 des informations, de d\u00e9cider les mesures n\u00e9cessaires pour r\u00e9duire ces risques et de contr\u00f4ler leur mise en oeuvre. Le Conseil f\u00e9d\u00e9ral suit cette recommandation.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1384905600000)\/","SubmittedBy":"Rytz Regula","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1386892800000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"9","Category":null,"Modified":"\/Date(1690529393493)\/","SubmissionDate":"\/Date(1380153600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":4910,"SubmissionLegislativePeriod":49,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique de s\u00e9curit\u00e9"}}