{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20193602,Language='FR')/Transcripts"}},"ID":20193602,"Language":"FR","BusinessShortNumber":"19.3602","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Risques pour la s\u00e9curit\u00e9 au niveau des composants essentiels de mat\u00e9riels informatiques et de logiciels. Cr\u00e9er un organe de contr\u00f4le ind\u00e9pendant?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>La transition num\u00e9rique entra\u00eene une d\u00e9pendance accrue aux syst\u00e8mes et \u00e0 certains composants num\u00e9riques essentiels dans l'ensemble de la soci\u00e9t\u00e9. Les risques pour la s\u00e9curit\u00e9 sont d'autant plus importants. Dans son dernier rapport sur la s\u00fbret\u00e9 de l'information (Melani), publi\u00e9 au mois d'avril 2019, le Conseil f\u00e9d\u00e9ral traite de ces risques en d\u00e9tail. Ceux-ci \u00e9manent notamment de ce que l'on appelle les portes d\u00e9rob\u00e9es (\"backdoors\"); il s'agit de fonctions d\u00e9j\u00e0 install\u00e9es lors de la livraison mais qui sont invisibles pour l'utilisateur l\u00e9gitime et qui permettent \u00e0 des individus malveillants de s'introduire dans les syst\u00e8mes informatiques pour les espionner ou les saboter. Le Conseil f\u00e9d\u00e9ral recommande la mise en place d'une gestion rigoureuse des risques qui englobe tous les fabricants, les fournisseurs et les sous-traitants de composants num\u00e9riques essentiels. Il pr\u00e9cise \u00e9galement qu'une simple obligation contractuelle, faite aux entreprises \u00e9trang\u00e8res du secteur, de respecter le droit suisse ne saurait constituer une garantie suffisante. Pour ce qui est du contr\u00f4le de la cha\u00eene d'approvisionnement, le probl\u00e8me est que, dans le domaine informatique, celle-ci dispose de larges ramifications qui s'\u00e9tendent bien souvent \u00e0 plusieurs pays. Dans ce contexte, la difficult\u00e9 consiste \u00e0 envisager des mesures suppl\u00e9mentaires permettant de r\u00e9duire les risques li\u00e9s \u00e0 la d\u00e9pendance \u00e0 l'\u00e9gard de certains composants num\u00e9riques essentiels.</p><p>La Conf\u00e9d\u00e9ration et les cantons ont cr\u00e9\u00e9 des outils dans de nombreux domaines afin de contr\u00f4ler la qualit\u00e9 des infrastructures et des biens de consommation importants. L'Inspection f\u00e9d\u00e9rale des installations \u00e0 courant fort contr\u00f4le par exemple la qualit\u00e9 des mat\u00e9riels \u00e9lectriques. Le Laboratoire f\u00e9d\u00e9ral d'essai des mat\u00e9riaux et de recherche est n\u00e9 de la n\u00e9cessit\u00e9 de contr\u00f4ler les mat\u00e9riaux requis pour la construction d'infrastructures tels que des routes ou des ponts. Dans le domaine de la s\u00e9curit\u00e9 alimentaire aussi, la Conf\u00e9d\u00e9ration dispose de m\u00e9canismes qui lui permettent de garantir le respect de certaines normes de base.</p><p>Compte tenu de l'importance strat\u00e9gique et de la vuln\u00e9rabilit\u00e9 des syst\u00e8mes informatiques, il est indispensable de mettre en place des outils de contr\u00f4le et d'essai dans le secteur des composants num\u00e9riques essentiels. Un organe de contr\u00f4le ind\u00e9pendant permettrait non seulement d'am\u00e9liorer la gestion des risques dans les domaines sensibles, mais elle offrirait \u00e9galement \u00e0 la Suisse la possibilit\u00e9 de faire un usage cibl\u00e9 de son avantage en mati\u00e8re de localisation sur ce march\u00e9 d'avenir qu'est la cybers\u00e9curit\u00e9. Dans un contexte de rivalit\u00e9 mondiale croissante en mati\u00e8re d'informatique et compte tenu de la concentration des fabricants dans quelques grandes puissances, un organe de contr\u00f4le sis dans un pays neutre et politiquement stable comme la Suisse disposerait des meilleures conditions possible pour attirer des clients \u00e9trangers int\u00e9ress\u00e9s par un label de type \"swiss secure\".</p><p>Dans ce contexte, je prie le Conseil f\u00e9d\u00e9ral de r\u00e9pondre aux questions suivantes.</p><p>1. Que pense-t-il de la cr\u00e9ation d'un organe de contr\u00f4le visant \u00e0 r\u00e9duire les risques pour la s\u00e9curit\u00e9 li\u00e9s aux composants num\u00e9riques essentiels au moyen d'outils similaires \u00e0 ceux qui existent dans d'autres domaines\u00a0?</p><p>2. Sur quelles structures existantes la mise en place d'un tel organe pourrait-elle s'appuyer\u00a0?</p><p>3. Que pense le Conseil f\u00e9d\u00e9ral de l'id\u00e9e d'une coop\u00e9ration avec le secteur informatique suisse, avec les hautes \u00e9coles et avec les associations professionnelles du secteur en vue de la cr\u00e9ation d'un organe de contr\u00f4le des composants num\u00e9riques essentiels\u00a0? Selon quelles modalit\u00e9s les statuts de l'organe et son financement pourraient-ils \u00eatre organis\u00e9s et quels seraient la mission et le r\u00f4le de la Conf\u00e9d\u00e9ration\u00a0?</p><p>4. Est-il aussi d'avis que les tensions g\u00e9opolitiques actuelles dans le secteur informatique mettent la Suisse dans une situation particuli\u00e8rement favorable lorsqu'il s'agit d'endosser un r\u00f4le de premier ordre en vue de r\u00e9duire les risques syst\u00e9miques li\u00e9s aux composants num\u00e9riques essentiels\u00a0?</p><p>5. Pense-t-il que la cr\u00e9ation d'un organe de contr\u00f4le ind\u00e9pendant dans ce contexte repr\u00e9sente une possibilit\u00e9 de faire un usage cibl\u00e9 de son avantage en mati\u00e8re de localisation sur le march\u00e9 d'avenir qu'est la cybers\u00e9curit\u00e9\u00a0? Que pense-il faire d'autre pour renforcer la position de la Suisse dans ce secteur\u00a0?</p>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>Le Conseil f\u00e9d\u00e9ral partage les pr\u00e9occupations de l'auteur de l'interpellation concernant les risques en mati\u00e8re de s\u00e9curit\u00e9 que repr\u00e9sentent les portes d\u00e9rob\u00e9es pouvant affecter les composants mat\u00e9riels et logiciels essentiels. Le Centre de comp\u00e9tences pour la cybers\u00e9curit\u00e9 de la Conf\u00e9d\u00e9ration est en contact avec tous les acteurs afin d'\u00e9laborer des mesures communes visant \u00e0 r\u00e9duire les risques de ce genre. </p><p>1. Compte tenu de la multitude d'\u00e9l\u00e9ments qui constituent les composants mat\u00e9riels et logiciels, de la mondialisation de leur processus de fabrication ainsi que du dynamisme du march\u00e9, le contr\u00f4le syst\u00e9matique des composants num\u00e9riques cl\u00e9s repr\u00e9senterait un d\u00e9fi consid\u00e9rable. Gr\u00e2ce \u00e0 la mise en commun des connaissances sp\u00e9cialis\u00e9es et \u00e0 sa capacit\u00e9 d'appliquer des proc\u00e9dures techniques complexes pour contr\u00f4ler des composants mat\u00e9riels et logiciels, un organe de contr\u00f4le pourrait en effet contribuer \u00e0 une d\u00e9tection plus pr\u00e9coce et \u00e0 une estimation plus pr\u00e9cise des risques. L'opportunit\u00e9 de lui faire \u00e9galement \u00e9tablir des certifications pour l'octroi de labels devrait faire l'objet d'une analyse approfondie. Les processus de certification sont souvent tr\u00e8s chronophages et peuvent rarement \u00eatre effectu\u00e9s int\u00e9gralement. Il n'est gu\u00e8re possible d'exclure toutes les portes d\u00e9rob\u00e9es et failles de s\u00e9curit\u00e9 possibles, notamment dans le cas des composants mat\u00e9riels et logiciels int\u00e9gr\u00e9s. De plus, la certification de mat\u00e9riel informatique ou de logiciels se r\u00e9f\u00e9rerait \u00e0 un \u00e9tat ponctuel. Or, celui-ci change fr\u00e9quemment, sp\u00e9cialement dans le cas des logiciels. La certification ne pourrait vraisemblablement suivre qu'avec peine le rythme d'actualisation. Un autre fait \u00e0 prendre en compte est qu'il n'existe d\u00e9sormais plus gu\u00e8re d'appareils sans informatique embarqu\u00e9e. Le domaine \u00e0 contr\u00f4ler serait donc extr\u00eamement large et peu homog\u00e8ne. Avant que l'on d\u00e9cide de la cr\u00e9ation d'un organe de contr\u00f4le, il faudrait d\u00e9terminer avec pr\u00e9cision, \u00e0 l'aide d'une analyse co\u00fbt/utilit\u00e9 soign\u00e9e, si un contr\u00f4le et une certification seraient judicieux et, si oui, quelles formes ils devraient rev\u00eatir. </p><p>2. La protection de la Suisse contre les cyberrisques est une t\u00e2che commune des milieux scientifiques et \u00e9conomiques et de l'\u00c9tat, l'intervention de ce dernier ayant cependant un caract\u00e8re subsidiaire. S'il fallait cr\u00e9er un organe de contr\u00f4le, le Conseil f\u00e9d\u00e9ral estime qu'il faudrait donner la pr\u00e9f\u00e9rence \u00e0 un organe ext\u00e9rieur \u00e0 l'administration. Une int\u00e9gration aux structures des hautes \u00e9coles serait tout indiqu\u00e9e \u00e0 cet effet. Il faudrait aussi examiner comment les comp\u00e9tences d'entreprises priv\u00e9es pourraient \u00eatre exploit\u00e9es dans ce domaine. \u00c0 l'int\u00e9rieur de l'administration, le nouveau Centre de comp\u00e9tences pour la cybers\u00e9curit\u00e9, \u00e9ventuellement compl\u00e9t\u00e9 par des capacit\u00e9s du Campus cyberd\u00e9fense d'armasuisse, serait une structure possible, mais il devrait \u00eatre consid\u00e9rablement renforc\u00e9 \u00e0 cet effet. </p><p>3. En cas de cr\u00e9ation d'un organe de contr\u00f4le, la participation de l'\u00e9conomie et des hautes \u00e9coles rev\u00eatirait une importance primordiale. La Conf\u00e9d\u00e9ration discute l'id\u00e9e d'un organe de contr\u00f4le et de recherche avec des partenaires issus de l'\u00e9conomie, notamment la commission \"Cybersecurity\" d'ICTswitzerland (association fa\u00eeti\u00e8re de l'\u00e9conomie des TIC) et l'organe consultatif \"Transformation num\u00e9rique\". Dans le cadre de ces discussions, les t\u00e2ches pouvant \u00eatre assum\u00e9es par un organe de ce genre ne sont pas encore suffisamment claires. Les questions de la forme d'organisation et du financement ne pourront \u00eatre \u00e9lucid\u00e9es que dans un second temps. </p><p>4. Les tensions g\u00e9opolitiques dans le domaine de l'informatique offrent effectivement \u00e0 la Suisse des chances de se profiler en tant que place \u00e9conomique en mati\u00e8re de cybers\u00e9curit\u00e9. Elle b\u00e9n\u00e9ficie dans ce domaine aussi d'une excellente r\u00e9putation sur le plan international, et elle est per\u00e7ue et appr\u00e9ci\u00e9e comme un acteur cr\u00e9dible et fiable. En m\u00eame temps, en raison de la faible importance de la Suisse en tant que site de production de composants informatiques, sa puissance sur le march\u00e9 reste faible en comparaison internationale. Pour que l'on puisse r\u00e9duire efficacement les risques syst\u00e9miques \u00e0 l'\u00e9chelon international, il faut une collaboration \u00e9troite avec des partenaires dignes de confiance travaillant dans un contexte analogue \u00e0 celui de la Suisse. La collaboration en mati\u00e8re de recherche au sein de l'Europe rev\u00eat par cons\u00e9quent une importance particuli\u00e8re. </p><p>5. Jusqu'\u00e0 pr\u00e9sent, les labels et certifications qui existent d\u00e9j\u00e0 dans le domaine de la cybers\u00e9curit\u00e9 ont connu une faible diffusion, ce qui am\u00e8ne \u00e0 conclure que la demande est encore limit\u00e9e. Des effets indirects tels que le renforcement du p\u00f4le de recherche seraient cependant pr\u00e9visibles. Le Conseil f\u00e9d\u00e9ral tient beaucoup \u00e0 la mise en place d'une \u00e9conomie de la s\u00e9curit\u00e9 informatique forte et innovante. Avec la mesure 3 de la Strat\u00e9gie nationale de protection de la Suisse contre les cyberrisques (SNPC), il entend cr\u00e9er pour cela des conditions g\u00e9n\u00e9rales favorables. \u00c0 cet effet, il pr\u00e9voit en particulier la mise en place et le d\u00e9veloppement du Centre de comp\u00e9tences pour la cybers\u00e9curit\u00e9 et va examiner d'ici \u00e0 la fin de 2020 quels moyens peuvent \u00eatre engag\u00e9s pour la promotion de l'innovation en mati\u00e8re de cybers\u00e9curit\u00e9. Par contre, le Conseil f\u00e9d\u00e9ral renonce sciemment \u00e0 instaurer des mesures incitatives directes relevant de la politique industrielle, car de telles mesures seraient contraires aux principes de politique \u00e9conomique de notre pays.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1569024000000)\/","SubmittedBy":"Vonlanthen Beat","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1568592000000)\/","ResponsibleDepartment":7,"ResponsibleDepartmentName":"D\u00e9partement des finances","ResponsibleDepartmentAbbreviation":"DFF","IsLeadingDepartment":true,"Tags":"9|15|34","Category":null,"Modified":"\/Date(1690511321587)\/","SubmissionDate":"\/Date(1560384000000)\/","SubmissionCouncil":2,"SubmissionCouncilName":"Conseil des Etats","SubmissionCouncilAbbreviation":"CE","SubmissionSession":5018,"SubmissionLegislativePeriod":50,"FirstCouncil1":2,"FirstCouncil1Name":"Conseil des Etats","FirstCouncil1Abbreviation":"CE","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique de s\u00e9curit\u00e9|\u00c9conomie|M\u00e9dias et communication"}}