{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20163356,Language='FR')/Transcripts"}},"ID":20163356,"Language":"FR","BusinessShortNumber":"16.3356","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Red\u00e9ployer enfin les moyens humains et financiers en faveur de la cybers\u00e9curit\u00e9","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Alors que les cyberattaques se multiplient de mani\u00e8re extr\u00eamement pr\u00e9occupante, le Conseil f\u00e9d\u00e9ral persiste \u00e0 affecter la plupart des moyens de s\u00e9curit\u00e9 humains et financiers \u00e0 des sc\u00e9narios d'o\u00f9 le risque r\u00e9el est quasiment absent, fond\u00e9s sur l'hypoth\u00e8se absurde d'une agression massive men\u00e9e contre la Suisse par une arm\u00e9e \u00e9trang\u00e8re. Ce qui pose les questions suivantes\u00a0:</p><p>1. Quels sont les d\u00e9partements et institutions (Parlement, etc.) qui ont \u00e9t\u00e9 victimes de fuites de donn\u00e9es suite \u00e0 la cyberattaque men\u00e9e contre RUAG\u00a0? Quelles quantit\u00e9s de donn\u00e9es ont-elles \u00e9t\u00e9 d\u00e9rob\u00e9es\u00a0? Quelle part de ces donn\u00e9es provient-elle du DDPS\u00a0?</p><p>2. L'approche \u00e0 la fois d\u00e9centralis\u00e9e et coordonn\u00e9e sur laquelle repose la Strat\u00e9gie nationale de protection de la Suisse contre les cyberrisques (SNPC) est la bonne. Quels sont les moyens humains et financiers affect\u00e9s \u00e0 la mise en oeuvre de cette strat\u00e9gie\u00a0? Quels sont les moyens affect\u00e9s \u00e0 chacune des mesures qui composent cette derni\u00e8re\u00a0?</p><p>3. Pourquoi la SNPC exclut-elle les cas de guerre ou de conflit\u00a0? Ne trouve-t-on pas aujourd'hui justement dans le cyberespace des formes hybrides de conflit marqu\u00e9es par la fluctuation entre situations normales et situations de tension\u00a0?</p><p>4. Qu'entreprend le DDPS en faveur de la cybers\u00e9curit\u00e9\u00a0? Quels moyens humains et financiers affecte-t-il et \u00e0 quelle mesure\u00a0? Quelle part cela repr\u00e9sente-t-il\u00a0?</p><p>5. Quand le DDPS et l'arm\u00e9e fourniront-ils enfin aux autorit\u00e9s civiles et aux exploitants des infrastructures critiques les prestations promises au chapitre 3.5 du rapport annuel SNPC 2014\u00a0? Quels moyens humains et financiers y affecteront-ils\u00a0? Combien de cybersp\u00e9cialistes le DDPS forme-t-il\u00a0?</p><p>6. Quand le Conseil f\u00e9d\u00e9ral red\u00e9ploiera-t-il enfin les moyens humains et financiers aujourd'hui affect\u00e9s \u00e0 la lutte contre des menaces militaires improbables pour les rediriger vers la protection contre des cyberattaques qui non seulement n'ont rien de virtuel mais sont lanc\u00e9es tous les jours\u00a0?</p><p>7. L'\u00e9valuation de l'efficacit\u00e9 pr\u00e9vue dans le plan de mise en oeuvre de la SNPC concernera-t-elle les sept d\u00e9partements\u00a0? L'arm\u00e9e et ses satellites (RUAG, SRC, etc.) seront-ils eux aussi soumis \u00e0 cette \u00e9valuation\u00a0?</p><p>8. Combien de temps le DDPS continuera-t-il de recourir \u00e0 cette vieille ficelle qui consiste \u00e0 produire \u00e0 chaque fois une analyse tous azimuts - et allant donc bien au-del\u00e0 des seuls cas de guerre ou de conflit - de la situation de la cybers\u00e9curit\u00e9, mais de proposer des mesures limit\u00e9es strictement \u00e0 l'autoprotection de l'arm\u00e9e\u00a0?</p><p>9. Avec quels \u00c9tats la Suisse a-t-elle \u00e9chang\u00e9 des informations sur sa strat\u00e9gie de cybers\u00e9curit\u00e9, conform\u00e9ment aux recommandations de l'OSCE sur les mesures de confiance\u00a0? Qu'envisage de faire le Conseil f\u00e9d\u00e9ral pour renforcer la coop\u00e9ration internationale en mati\u00e8re de cybers\u00e9curit\u00e9\u00a0?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>1. La cible vis\u00e9e \u00e9tait RUAG et non l'administration f\u00e9d\u00e9rale. En termes de volume, les fuites sont de l'ordre de 23 gigabits. Il est impossible de savoir avec pr\u00e9cision si des donn\u00e9es des diff\u00e9rents d\u00e9partements enregistr\u00e9es aupr\u00e8s de RUAG ont \u00e9t\u00e9 d\u00e9rob\u00e9es.</p><p>2. En 2013, le Conseil f\u00e9d\u00e9ral a approuv\u00e9 le plan de concr\u00e9tisation de la Strat\u00e9gie nationale de protection de la Suisse contre les cyberrisques (SNPC) et autoris\u00e9 la cr\u00e9ation de 28 postes suppl\u00e9mentaires dont certains pour une dur\u00e9e d\u00e9termin\u00e9e (fin 2017). Ces postes, et les moyens financiers qu'ils n\u00e9cessitent, sont r\u00e9partis en fonction des mesures prises\u00a0:</p><p>- analyse des risques et des vuln\u00e9rabilit\u00e9s dans les secteurs critiques partiels\u00a0: cinq postes (Office f\u00e9d\u00e9ral de la protection de la population et Office f\u00e9d\u00e9ral pour l'approvisionnement \u00e9conomique du pays);</p><p>- concept d'analyse des vuln\u00e9rabilit\u00e9s au sein des infrastructures informatiques de l'administration f\u00e9d\u00e9rale\u00a0: un poste (Unit\u00e9 de pilotage informatique de la Conf\u00e9d\u00e9ration), limit\u00e9 au 31 d\u00e9cembre 2016\u00a0;</p><p>- vue d'ensemble des infractions et coordination des cas complexes internationaux\u00a0: un poste (Office f\u00e9d\u00e9ral de la police), limit\u00e9 au 31 d\u00e9cembre 2017\u00a0;</p><p>- gouvernance d'Internet\u00a0: un poste (Office f\u00e9d\u00e9ral de la communication);</p><p>- coop\u00e9ration internationale dans le domaine de la politique de s\u00e9curit\u00e9\u00a0: deux postes (D\u00e9partement f\u00e9d\u00e9ral des affaires \u00e9trang\u00e8res) ;</p><p>- aper\u00e7u de la situation et analyse des incidents\u00a0: 18 postes (Unit\u00e9 de pilotage informatique de la Conf\u00e9d\u00e9ration, Service de renseignement de la Conf\u00e9d\u00e9ration, Renseignement militaire, Base d'aide au commandement de l'arm\u00e9e).</p><p>3. Strat\u00e9gie nationale visant \u00e0 r\u00e9duire au minimum les cyberrisques, la SNPC se concentre sur la protection des infrastructures critiques. Lors des discussions relatives \u00e0 la poursuite de la strat\u00e9gie, il sera n\u00e9cessaire de prendre en compte le changement de paradigme - notamment l'importance prise par la cybern\u00e9tique dans les moyens d'attaque. En examinant l'efficacit\u00e9 de la SNPC, le Conseil f\u00e9d\u00e9ral devra aussi d\u00e9terminer s'il est toujours pertinent de s\u00e9parer les cyberrisques civils et militaires.</p><p>4. L'Operation Information Center de la Centrale d'enregistrement et d'analyse pour la s\u00fbret\u00e9 de l'information (OIC Melani) est \u00e9tabli aupr\u00e8s du Service de renseignement de la Conf\u00e9d\u00e9ration (SRC). Le SRC a en plus cr\u00e9\u00e9 un secteur charg\u00e9 de la lutte contre les cyberattaques. Dans ce domaine, l'arm\u00e9e joue un r\u00f4le subsidiaire et il ne lui revient pas, \u00e0 l'origine, d'assurer une protection constante de la population civile et des infrastructures critiques. Le SRC emploie 17 personnes dans le domaine de la cybers\u00e9curit\u00e9 et pour l'OIC MELANI\u00a0; l'arm\u00e9e, de son c\u00f4t\u00e9, emploie 25 personnes.</p><p>5. Le D\u00e9partement f\u00e9d\u00e9ral de la d\u00e9fense, de la protection de la population et des sports fournit d\u00e9j\u00e0 des prestations substantielles en faveur des autorit\u00e9s civiles et des exploitants d'infrastructures critiques. Le principe de base de la SNPC est et restera de renforcer les capacit\u00e9s et la responsabilit\u00e9 individuelle des personnes concern\u00e9es. Quant \u00e0 la question d'un \u00e9largissement du r\u00f4le de l'arm\u00e9e dans ce domaine, il faudrait que le Conseil f\u00e9d\u00e9ral et le Parlement m\u00e8nent une discussion de fond afin de d\u00e9terminer quel r\u00f4le elle doit jouer dans la r\u00e9duction des cyberrisques pour l'\u00c9tat, l'\u00e9conomie et la soci\u00e9t\u00e9, une t\u00e2che qui, au niveau de la Conf\u00e9d\u00e9ration, incombe pour l'instant au D\u00e9partement f\u00e9d\u00e9ral des finances.</p><p>6. La s\u00e9curit\u00e9 de la Suisse exige de prendre en compte toute la gamme des menaces et des dangers, comme le pr\u00e9cise le nouveau rapport sur la politique de s\u00e9curit\u00e9. Le domaine \"cyber\" en fait partie. Cela dit, d'autres menaces, comme le terrorisme, conservent toute leur acuit\u00e9. En fait, les menaces dans le cyberespace rev\u00eatent un caract\u00e8re transversal en ceci qu'elles cr\u00e9ent pour une part de nouvelles menaces mais surtout qu'ellent aggravent les menaces existantes, notamment dans le domaine militaire. La protection de toute l'infrastructure informatique du pays ne pourrait jamais \u00eatre garantie par l'arm\u00e9e ni m\u00eame par la seule Conf\u00e9d\u00e9ration, m\u00eame si celles-ci engageaient des moyens colossaux \u00e0 cet effet.</p><p>7. Il faut commencer par contr\u00f4ler l'efficacit\u00e9 des mesures prises ainsi que leur niveau de concr\u00e9tisation. Des organisations des sept d\u00e9partements ont particip\u00e9 \u00e0 la r\u00e9alisation de la SNPC. Les tiers et les services comme RUAG qui n'ont pas \u00e9t\u00e9 impliqu\u00e9s dans l'\u00e9laboration de cette strat\u00e9gie ne sont pas inclus dans son \u00e9valuation. Outre les mesures, il convient d'analyser l'efficacit\u00e9 des interfaces entre la SNPC et l'arm\u00e9e.</p><p>8. Actuellement, il n'existe pas de base l\u00e9gale pour un engagement massif de l'arm\u00e9e dans la d\u00e9fense de l'\u00c9tat, de l'\u00e9conomie et de la soci\u00e9t\u00e9 face \u00e0 des cyberrisques qui d\u00e9passeraient la seule protection de ses propres syst\u00e8mes et structures.</p><p>9. Depuis les d\u00e9buts de l'OSCE, la Suisse s'active pour renforcer la confiance entre les \u00c9tats, y compris dans le domaine \"cyber\". Elle recourt r\u00e9guli\u00e8rement \u00e0 cet organe pour illustrer son approche des cyberrisques (par ex. \u00e0 travers une pr\u00e9sentation globale de la SNPC devant tous les \u00c9tats membres). Vu la nature clairement transnationale du cyberespace, le Conseil f\u00e9d\u00e9ral reconna\u00eet le r\u00f4le important de la coop\u00e9ration internationale dans la r\u00e9duction des cyberrisques. La Suisse poursuit trois objectifs principaux dans sa coop\u00e9ration \u00e0 l'\u00e9chelon international\u00a0: elle participe au d\u00e9veloppement de normes \u00e9tatiques de comportement, elle s'engage pour accro\u00eetre la confiance dans le domaine \"cyber\" et elle promeut des initiatives visant le d\u00e9veloppement des capacit\u00e9s. Outre sa contribution active dans le cadre de l'OSCE dans le but d'\u00e9tablir un climat de confiance entre les \u00c9tats, elle s'engage depuis le mois d'ao\u00fbt 2016 aux c\u00f4t\u00e9s de 24 autres pays dans le seul organe de l'ONU traitant de cybers\u00e9curit\u00e9 pour l'\u00e9laboration de normes de comportement \u00e9tatiques et le renforcement du droit international public. En ce qui concerne le d\u00e9veloppement des capacit\u00e9s et des comp\u00e9tences dans le domaine \"cyber\", il s'agit d'une part d'am\u00e9liorer ses propres capacit\u00e9s et, d'autre part, de r\u00e9duire la fracture num\u00e9rique (\"digital divide\") en lan\u00e7ant des initiatives probantes. En outre, la cybers\u00e9curit\u00e9 fait partie int\u00e9grante de toutes les consultations bilat\u00e9rales en mati\u00e8re de politique de s\u00e9curit\u00e9.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1472601600000)\/","SubmittedBy":"Groupe socialiste","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1529020800000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"4|9|24|34","Category":null,"Modified":"\/Date(1690521282367)\/","SubmissionDate":"\/Date(1464652800000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5004,"SubmissionLegislativePeriod":50,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique d'Etat|Politique de s\u00e9curit\u00e9|Finances|M\u00e9dias et communication"}}