{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20161022,Language='FR')/Transcripts"}},"ID":20161022,"Language":"FR","BusinessShortNumber":"16.1022","BusinessType":19,"BusinessTypeName":"Question urgente","BusinessTypeAbbreviation":"QU","Title":"Faire toute la lumi\u00e8re sur la cyberattaque contre l'entreprise RUAG","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Il est particuli\u00e8rement probl\u00e9matique que l'entreprise RUAG, qui est sp\u00e9cialis\u00e9e dans le cyberespace et la s\u00e9curit\u00e9, ait \u00e9t\u00e9 victime r\u00e9cemment d'une cyberattaque lanc\u00e9e par une entit\u00e9 anonyme. Le 23 mai 2016, le Conseil f\u00e9d\u00e9ral a donn\u00e9 des informations sur les premiers \u00e9l\u00e9ments concernant l'attaque de cyberespionnage contre l'entreprise RUAG. Quelques questions restent cependant sans r\u00e9ponse. Aussi le conseil f\u00e9d\u00e9ral est-il pri\u00e9 de r\u00e9pondre aux questions suivantes\u00a0:</p><p>1. Comment et pourquoi des hackeurs ont-ils pu acc\u00e9der \u00e0 des donn\u00e9es de l'administration f\u00e9d\u00e9rale par le biais de l'entreprise RUAG\u00a0? Ne faudrait-il pas proc\u00e9der \u00e0 une meilleure s\u00e9paration entre les syst\u00e8mes informatiques de l'entreprise RUAG et ceux de l'administration f\u00e9d\u00e9rale\u00a0?</p><p>2. Ces derni\u00e8res ann\u00e9es, l'administration f\u00e9d\u00e9rale - notamment le DFAE - a d\u00e9j\u00e0 \u00e9t\u00e9 victime de cyberattaques \u00e0 plusieurs reprises.</p><p>a. A-t-on utilis\u00e9 le m\u00eame maliciel lors de ces attaques\u00a0?</p><p>b. Qu'entendent faire le Conseil f\u00e9d\u00e9ral et le DDPS en particulier pour que l'on puisse pr\u00e9venir ce type de cyberattaques \u00e0 l'avenir\u00a0?</p><p>c. Existe-t-il une bonne pratique \u00e0 laquelle on pourrait recourir pour lutter contre le risque constitu\u00e9 par les cyberattaques\u00a0? Dans l'affirmative, la Conf\u00e9d\u00e9ration s'en inspire-t-elle\u00a0?</p><p>3. Dans quelle mesure le Conseil f\u00e9d\u00e9ral voit-il la n\u00e9cessit\u00e9 de faire examiner la s\u00e9curit\u00e9 de l'ensemble de l'architecture du syst\u00e8me informatique (notamment la centralisation des donn\u00e9es) pour identifier les failles potentielles et, par cons\u00e9quent, les risques pour la s\u00e9curit\u00e9\u00a0?</p><p>4. Le Conseil f\u00e9d\u00e9ral estime-t-il que la Centrale d'enregistrement et d'analyse pour la s\u00fbret\u00e9 de l'information (Melani) est suffisante ou qu'il faut cr\u00e9er des comp\u00e9tences ou des services sp\u00e9cialis\u00e9s suppl\u00e9mentaires pour prot\u00e9ger les infrastructures importantes pour la s\u00e9curit\u00e9, ou am\u00e9liorer la coop\u00e9ration avec le secteur priv\u00e9\u00a0?</p><p>5. La Suisse ne peut pas lutter seule contre la cybercriminalit\u00e9.</p><p>a. De l'avis du Conseil f\u00e9d\u00e9ral, les accords actuels sont-ils suffisants pour lutter contre la cybercriminalit\u00e9\u00a0?</p><p>b. Dans quelle mesure la coop\u00e9ration internationale en la mati\u00e8re peut-elle ou devrait-elle \u00eatre encore renforc\u00e9e\u00a0?</p><p>6. Comment le Conseil f\u00e9d\u00e9ral peut-il donner la garantie que la Strat\u00e9gie nationale de protection de la Suisse contre les cyberrisques (SNPC) est mise en oeuvre de fa\u00e7on uniforme dans tous les d\u00e9partements\u00a0?</p><p>7. A-t-on connaissance d'autres attaques (cyberattaques, \u00e9coutes, etc.) dont le public n'a pas \u00e9t\u00e9 inform\u00e9 \u00e0 ce jour\u00a0?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. La cible de l'attaque \u00e9tait bien RUAG et non l'administration f\u00e9d\u00e9rale. Il semblerait que les pirates informatiques n'aient pas eu acc\u00e8s aux r\u00e9seaux de l'administration f\u00e9d\u00e9rale. Le Conseil f\u00e9d\u00e9ral a d\u00e9j\u00e0 ordonn\u00e9 une v\u00e9rification de la dissociation des r\u00e9seaux.</p><p>2.a. L'analyse technique permet de conclure qu'il s'agit de la m\u00eame famille de maliciels.</p><p>2.b. Des attaques d'une telle ampleur ne peuvent pas \u00eatre \u00e9vit\u00e9es dans tous les cas. Il est important de disposer d'un processus de gestion des risques qui fonctionne et tienne tout particuli\u00e8rement compte des processus critiques et des informations sensibles afin de limiter les d\u00e9g\u00e2ts, m\u00eame lorsqu'il n'a pas \u00e9t\u00e9 possible de d\u00e9jouer l'attaque. Par ailleurs, le pr\u00e9sent cas a montr\u00e9 l'importance de la coop\u00e9ration au niveau national et avec l'\u00e9tranger en pareille situation.</p><p>2.c. La Conf\u00e9d\u00e9ration utilise plusieurs instruments pour identifier et minimiser les cyberrisques conform\u00e9ment \u00e0 la Strat\u00e9gie nationale de protection contre les cyberrisques (SNPC). La SNPC pr\u00e9voit seize mesures qui s'\u00e9tendent \u00e0 tous les domaines et mettent aussi l'accent sur les \u00e9volutions au niveau international. L'Office f\u00e9d\u00e9ral de la protection de la population et l'Office f\u00e9d\u00e9ral de l'approvisionnement \u00e9conomique effectuent des analyses des risques et des vuln\u00e9rabilit\u00e9s, et s'appuient pour ce faire sur le guide pour la protection des infrastructures critiques qui tient compte des standards courants et des bonnes pratiques. Sur la base des r\u00e9sultats de ces analyses, des mesures d'am\u00e9lioration des capacit\u00e9s de r\u00e9sistance et de r\u00e9g\u00e9n\u00e9ration sont \u00e9labor\u00e9es de concert avec les autorit\u00e9s et les exploitants d'infrastructures critiques.</p><p>3. Le Conseil f\u00e9d\u00e9ral est d'avis qu'il s'agit l\u00e0 d'une priorit\u00e9 et a \u00e9dict\u00e9 des prescriptions de s\u00e9curit\u00e9 informatique en ce sens. Celles-ci pr\u00e9voient que, pour chaque syst\u00e8me informatique de l'administration f\u00e9d\u00e9rale, le besoin de protection soit \u00e9valu\u00e9 et les mesures de s\u00e9curit\u00e9 n\u00e9cessaires soient fix\u00e9es et mises en oeuvre. L'architecture du syst\u00e8me informatique est aussi soumise \u00e0 des contr\u00f4les\u00a0; de m\u00eame, les failles et les risques en mati\u00e8re de s\u00e9curit\u00e9 sont identifi\u00e9s. Dans le cadre du contr\u00f4le de l'efficacit\u00e9 de la SNPC, d'autres mesures pourraient \u00eatre prises.</p><p>4. Le partenariat public-priv\u00e9 entre Melani et l'\u00e9conomie repr\u00e9sente la solution ad\u00e9quate pour une collaboration efficace avec le secteur priv\u00e9\u00a0; il doit \u00eatre encore renforc\u00e9. Pour ce faire, on s'appuiera prioritairement sur les structures et les formes de collaboration existantes, et on consolidera encore les comp\u00e9tences actuelles. Une premi\u00e8re \u00e9tape a \u00e9t\u00e9 franchie dans ce sens avec la fondation de \"Swiss Cyber Experts\" en 2014. L'association r\u00e9unit en effet des experts de l'\u00e9conomie, de l'administration et du monde scientifique.</p><p>5. Seule une coop\u00e9ration au niveau international permet de lutter efficacement contre la cybercriminalit\u00e9. En 2012, la Suisse a adh\u00e9r\u00e9 \u00e0 une convention du Conseil de l'Europe sur la cybercriminalit\u00e9, ce qui facilite la collaboration avec d'autres pays dans la lutte contre la cybercriminalit\u00e9. L'Office f\u00e9d\u00e9ral de la police (Fedpol) collabore par ailleurs \u00e9troitement avec des organisations de police internationales comme Interpol et Europol. Le Centre europ\u00e9en de lutte contre la cybercriminalit\u00e9 (EC3) constitue un centre de coordination important dans ce contexte. Fedpol rejoindra en outre le r\u00e9seau de contacts du G-7 contre la cybercriminalit\u00e9, qui devrait faciliter l'\u00e9change d'informations avec de nombreux pays, notamment en Asie ou en Afrique.</p><p>La convention du Conseil de l'Europe peut aussi \u00eatre ratifi\u00e9e - sur invitation - par des \u00c9tats qui ne sont pas membres du Conseil de l'Europe. La Suisse s'engage en faveur du d\u00e9veloppement de cette convention et si\u00e8ge au sein d'un groupe de travail du Conseil de l'Europe qui se penche sur le th\u00e8me \"\u00c9vidence in the Cloud\" et l'acc\u00e8s aux donn\u00e9es au-del\u00e0 des fronti\u00e8res nationales.</p><p>En outre, il existe encore d'autres initiatives pour lutter contre la cybercriminalit\u00e9 soutenues par la Suisse, parmi lesquelles la \"Global Alliance against Child Sexual Abuse Online\" et sa \"Virtual Global Task Force\". Cette alliance a \u00e9t\u00e9 lanc\u00e9e en 2012 sur initiative commune de l'UE et des \u00c9tats-Unis. Elle compte actuellement 54 \u00c9tats membres, dont la Suisse (repr\u00e9sent\u00e9e par Fedpol). Son objectif est de renforcer la collaboration internationale dans la lutte contre les abus sexuels \u00e0 l'encontre d'enfants commis en ligne.</p><p>Du point de vue du Conseil f\u00e9d\u00e9ral, ces mesures sont suffisantes pour pouvoir lutter efficacement contre la cybercriminalit\u00e9 aussi \u00e0 l'avenir.</p><p>6. Un comit\u00e9 de pilotage interd\u00e9partemental accompagne \u00e9troitement la mise en oeuvre de la SNPC au niveau strat\u00e9gique. L'organe de coordination de la SNPC apporte quant \u00e0 lui son soutien au niveau op\u00e9rationnel et informe le Conseil f\u00e9d\u00e9ral de ses activit\u00e9s tous les six mois. De plus, il est le mandant du contr\u00f4le de l'efficacit\u00e9, qui est actuellement effectu\u00e9 par une entreprise externe. Les premiers r\u00e9sultats devraient \u00eatre disponibles en automne 2016. Le contr\u00f4le de l'efficacit\u00e9 permettra de savoir si des r\u00e9sultats ont \u00e9t\u00e9 obtenus avec la SNPC et si la solution d\u00e9centralis\u00e9e a fait ses preuves. Il r\u00e9pondra aussi \u00e0 la question de comment envisager l'avenir.</p><p>7. Des cyberattaques ont lieu aujourd'hui quotidiennement et sous diff\u00e9rentes formes. Le Conseil f\u00e9d\u00e9ral est donc conscient qu'il n'est pas inform\u00e9 de chacune des nombreuses attaques visant les r\u00e9seaux de la Conf\u00e9d\u00e9ration. Il est cependant inform\u00e9 de toutes les attaques importantes.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1465516800000)\/","SubmittedBy":"Le Groupe du Centre. Le Centre. PEV.","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1465516800000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1750803885100)\/","SubmissionDate":"\/Date(1464825600000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5004,"SubmissionLegislativePeriod":50,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique d'Etat|Politique de s\u00e9curit\u00e9|M\u00e9dias et communication"}}