{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20153656,Language='FR')/Transcripts"}},"ID":20153656,"Language":"FR","BusinessShortNumber":"15.3656","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"La t\u00e9l\u00e9maintenance des syst\u00e8mes informatiques repr\u00e9sente un danger pour la centrale nucl\u00e9aire de M\u00fchleberg. Surveillance de l'IFSN remise en cause","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>1. La maintenance des syst\u00e8mes informatiques de la centrale nucl\u00e9aire de M\u00fchleberg est assur\u00e9e depuis Berne. Cette affirmation est-elle correcte et pourquoi la BKW n'a-t-elle pas rendu cette information publique\u00a0?</p><p>2. l'Inspection f\u00e9d\u00e9rale de la s\u00e9curit\u00e9 nucl\u00e9aire (IFSN) a-t-elle d\u00e9livr\u00e9 une autorisation permanente pour la t\u00e9l\u00e9maintenance des syst\u00e8mes informatiques de la centrale\u00a0?</p><p>3. Le Nuclear Energy Institute, l'association qui repr\u00e9sente les int\u00e9r\u00eats de l'industrie nucl\u00e9aire am\u00e9ricaine, a publi\u00e9 un article sur la cybers\u00e9curit\u00e9 dans les installations nucl\u00e9aires dans lequel il d\u00e9clare que les syst\u00e8mes essentiels \u00e0 la s\u00e9curit\u00e9, \u00e0 la s\u00fbret\u00e9 et \u00e0 la ma\u00eetrise des situations d'urgence dans les installations nucl\u00e9aires doivent \u00eatre isol\u00e9s d'Internet. Le Conseil f\u00e9d\u00e9ral et plus pr\u00e9cis\u00e9ment l'IFSN partagent-ils cet avis\u00a0?</p><p>4. L'IFSN prend-elle son r\u00f4le d'autorit\u00e9 de surveillance des syst\u00e8mes informatiques du deuxi\u00e8me plus haut niveau de s\u00e9curit\u00e9 suffisamment au s\u00e9rieux\u00a0? L'Agence internationale de l'\u00e9nergie atomique a \u00e9tabli des r\u00e8gles claires en la mati\u00e8re selon lesquelles la t\u00e9l\u00e9maintenance de syst\u00e8mes informatiques du deuxi\u00e8me plus haut niveau de s\u00e9curit\u00e9 ne doit \u00eatre autoris\u00e9e qu'au cas par cas et pour une p\u00e9riode limit\u00e9e.</p><p>5. Pourquoi le plus haut niveau de s\u00e9curit\u00e9 n'est-il pas exig\u00e9 pour les syst\u00e8mes informatiques des installations nucl\u00e9aires\u00a0?</p><p>6. L'IFSN prend-elle son r\u00f4le d'autorit\u00e9 de surveillance des syst\u00e8mes de t\u00e9l\u00e9bureautique suffisamment au s\u00e9rieux\u00a0? Des informations sensibles qui pourraient \u00eatre utilis\u00e9es \u00e0 mauvais escient par des tiers sont trait\u00e9es dans ce domaine \u00e9galement. Un article publi\u00e9 le 12 juin 2015 dans la revue bimensuelle \"Beobachter\" fait \u00e9tat d'un pare-feu d\u00e9fectueux. Selon ce m\u00eame article, des dizaines d'administrateurs ont eu acc\u00e8s \u00e0 des serveurs sensibles et des adresses IP ont \u00e9t\u00e9 envoy\u00e9es par courriel. L'IFSN n'aurait pas \u00e9t\u00e9 suffisamment inform\u00e9e sur les processus pertinents en mati\u00e8re de s\u00e9curit\u00e9.</p><p>7. L'IFSN ne devrait-elle pas renforcer ses exigences en mati\u00e8re de cybers\u00e9curit\u00e9 et s'adapter aux menaces actuelles\u00a0?</p><p>8. La Commission \u00e9lectrotechnique internationale a publi\u00e9 une norme concernant la cybers\u00e9curit\u00e9 dans les centrales nucl\u00e9aires (IEC 62645). Pourquoi l'IFSN ne consid\u00e8re-t-elle pas cette norme comme contraignante\u00a0?</p>","ReasonText":"<p>Les pr\u00e9sentes questions se fondent sur un article du \"Beobachter\" paru le 12 juin 2015 et intitul\u00e9 \"AKW M\u00fchleberg - Einladung f\u00fcr Hacker\" (voir http\u00a0:// <a href=\"http://www.beobachter.ch/dossiers/energie/artikel/akw-muehleberg_einladung-fuer-hacker/\">www.beobachter.ch/dossiers/energie/artikel/akw-muehleberg_einladung-fuer-hacker/</a>). Cet article expose de nombreux vices de s\u00e9curit\u00e9 dans la surveillance des syst\u00e8mes informatiques du deuxi\u00e8me plus haut niveau de s\u00e9curit\u00e9 ainsi que du syst\u00e8me de bureautique de la centrale nucl\u00e9aire de M\u00fchleberg.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. La maintenance du syst\u00e8me informatique de la centrale nucl\u00e9aire de M\u00fchleberg (CN de M\u00fchleberg) est en partie assur\u00e9e depuis le si\u00e8ge principal de BKW SA\u00a0; les syst\u00e8mes de protection informatiques se trouvent sur le site de M\u00fchleberg. La CN de M\u00fchleberg, en tant que partie int\u00e9grante de BKW SA, n'est pas dot\u00e9e d'une personnalit\u00e9 juridique propre. BKW SA, en qualit\u00e9 de d\u00e9tentrice de l'autorisation d'exploiter et d'exploitante, est responsable de la s\u00e9curit\u00e9 et de la s\u00fbret\u00e9 de l'installation nucl\u00e9aire, mesures de s\u00e9curit\u00e9 en mati\u00e8re d'informatique incluses. Le 12 juin 2015, BKW SA a publi\u00e9 un communiqu\u00e9 sur la s\u00e9curit\u00e9 informatique de la CN de M\u00fchleberg.</p><p>2. L'Inspection f\u00e9d\u00e9rale de la s\u00e9curit\u00e9 nucl\u00e9aire (IFSN) s'est acquitt\u00e9e de sa t\u00e2che conform\u00e9ment \u00e0 l'article 40 de l'ordonnance du 10 d\u00e9cembre 2004 sur l'\u00e9nergie nucl\u00e9aire (OENu\u00a0; RS 732.11): apr\u00e8s avoir proc\u00e9d\u00e9 \u00e0 un examen approfondi des demandes d'autorisation dans le cadre de la r\u00e9organisation de l'informatique de la CN de M\u00fchleberg, elle a d\u00e9livr\u00e9 lesdites autorisations. L'autorisation pour les modifications techniques a \u00e9t\u00e9 d\u00e9livr\u00e9e le 19 juillet 2013.</p><p>3. Les syst\u00e8mes de commande et de contr\u00f4le des installations nucl\u00e9aires sont dot\u00e9s de mesures de protection techniques, administratives et organisationnelles. Il s'agit entre autres de la mise en place de s\u00e9parations physiques des r\u00e9seaux, d'un syst\u00e8me redondant ainsi que de concepts restrictifs concernant les zones et les autorisations. Dans sa demande d'autorisation, l'exploitante a appliqu\u00e9 les recommandations techniques de base \u00e9mises par l'Agence internationale de l'\u00e9nergie atomique (AIEA) et l'IFSN a proc\u00e9d\u00e9 \u00e0 leur v\u00e9rification. Ces recommandations figurent dans le document \"IAEA Nuclear Security Series 17\" (IAEA NSS 17) consultable sous <a href=\"http://www-ns.iaea.org/security/nuclear_security_series.asp?s=5&amp;l=35\">http\u00a0://www-ns.iaea.org/security/nuclear_security_series.asp\u00a0?s=5&amp;l=35.</a></p><p>4. L'IFSN a lib\u00e9r\u00e9 l'acc\u00e8s au niveau 2 de l'informatique de proc\u00e9d\u00e9s (selon IAEA NSS 17, niveaux 2 et 3). Conform\u00e9ment \u00e0 ces recommandations de l'AIEA et s'agissant des acc\u00e8s \u00e0 la t\u00e9l\u00e9maintenance, il faut \u00e9tablir dans quelle direction, avec quelles autorisations et sous quelles responsabilit\u00e9s ces acc\u00e8s ont lieu. L'IFSN en a tenu compte en d\u00e9livrant son autorisation.</p><p>5. \u00c0 l'instar de la protection physique, l'informatique conna\u00eet aussi une structure faite de zones (voir IAEA NSS 17, chapitre 5.5.2) avec une r\u00e9sistance croissante contre toute utilisation non autoris\u00e9e. Le plus haut degr\u00e9 de s\u00e9curit\u00e9 s'applique au niveau 1 pour les syst\u00e8mes qui requi\u00e8rent une protection maximale. Le niveau 1 comprend les syst\u00e8mes de protection primaires du r\u00e9acteur. Les niveaux 2 \u00e0 5 sont prot\u00e9g\u00e9s de mani\u00e8re \u00e9chelonn\u00e9e et dans le respect des recommandations de l'AIEA.</p><p>6. L'IFSN s'est acquitt\u00e9e de sa t\u00e2che conform\u00e9ment \u00e0 l'article 40 OENu. Les d\u00e9cisions de l'IFSN se basent non seulement sur les informations mises \u00e0 disposition par la d\u00e9tentrice de l'autorisation d'exploiter, mais \u00e9galement sur les connaissances que l'IFSN acquiert elle-m\u00eame. L'IFSN a donn\u00e9 son accord en s'appuyant sur l'ensemble de ces renseignements. Le Conseil f\u00e9d\u00e9ral estime qu'il n'y a pas lieu de remettre en question la surveillance par l'IFSN. Les syst\u00e8mes de bureautique informatique, auxquels il est fait allusion dans la question, se trouvent au degr\u00e9 5, le plus bas degr\u00e9 de s\u00e9curit\u00e9. Les mesures ad\u00e9quates de protection ont \u00e9t\u00e9 mises en place \u00e0 cet effet (voir \u00e9galement la r\u00e9ponse \u00e0 la question 5).</p><p>7. Les exploitants des installations nucl\u00e9aires suisses sont tenus d'\u00e9valuer les risques informatiques, de proc\u00e9der \u00e0 des analyses de risques et de mettre en oeuvre les mesures de protection correspondantes. L'article 22 de la loi du 21 mars 2003 sur l'\u00e9nergie nucl\u00e9aire (RS 732.1) d\u00e9finit les obligations, le cas \u00e9ch\u00e9ant les mesures de r\u00e9\u00e9quipement, qui incombent au d\u00e9tenteur de l'autorisation d'exploiter. La lettre g de l'alin\u00e9a 2 s'applique en particulier aussi \u00e0 la s\u00e9curit\u00e9 informatique. Elle oblige le d\u00e9tenteur de l'autorisation d'exploiter \u00e0 r\u00e9\u00e9quiper l'installation dans la mesure o\u00f9 les exp\u00e9riences faites et l'\u00e9tat de la technique du r\u00e9\u00e9quipement l'exigent, et au-del\u00e0 si cela contribue \u00e0 diminuer encore le danger et pour autant que ce soit appropri\u00e9. Cela est contr\u00f4l\u00e9 en permanence par l'IFSN.</p><p>8. La recommandation technique mentionn\u00e9e n'est l\u00e9galement pas contraignante pour les installations nucl\u00e9aires suisses et ne couvrirait par ailleurs qu'une partie de l'informatique en question. Reste que ladite recommandation, comme d'autres recommandations internationales, servent de base d'\u00e9valuation \u00e0 l'IFSN.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1440547200000)\/","SubmittedBy":"Munz Martina","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1497571200000)\/","ResponsibleDepartment":9,"ResponsibleDepartmentName":"D\u00e9partement  de l'environnement, des transports, de l'\u00e9nergie et de la communication","ResponsibleDepartmentAbbreviation":"DETEC","IsLeadingDepartment":true,"Tags":"52|66","Category":null,"Modified":"\/Date(1690523430123)\/","SubmissionDate":"\/Date(1434585600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":4919,"SubmissionLegislativePeriod":49,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Environnement|\u00c9nergie"}}