{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20223415,Language='FR')/Transcripts"}},"ID":20223415,"Language":"FR","BusinessShortNumber":"22.3415","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"Prise en compte int\u00e9grale de la s\u00e9curit\u00e9 des infrastructures critiques lors de l'acquisition de TIC par une Empa TI?","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>D'une importance capitale pour la Suisse, les infrastructures critiques englobent tous les syst\u00e8mes sociaux et techniques qui sont indispensables au bon fonctionnement d'une soci\u00e9t\u00e9 d\u00e9mocratique. Or, les infrastructures critiques dans le domaine des TIC se retrouvent de plus en plus souvent dans la ligne de mire des cybercriminels, comme lors de l'attaque par ran\u00e7ongiciel contre Swissport ou lors de cyberattaques contre des communes suisses. De m\u00eame, l'inqui\u00e9tude grandit \u00e0 l'\u00e9gard de certains fournisseurs \u00e0 propos du manque de transparence sur les aspects s\u00e9curitaires ou \u00e0 propos des risques g\u00e9opolitiques.</p><p>Afin de garantir en permanence l'int\u00e9grit\u00e9 des infrastructures critiques et la s\u00e9curit\u00e9 de l'approvisionnement de la Suisse, il faut accorder davantage d'importance aux aspects de s\u00e9curit\u00e9 et de transparence d\u00e8s l'acquisition de TIC. Cette situation soul\u00e8ve les questions suivantes\u00a0:</p><p>a. Le Conseil f\u00e9d\u00e9ral partage-t-il l'avis selon lequel, lors de l'acquisition de TIC dans le domaine des infrastructures critiques, les aspects li\u00e9s \u00e0 la s\u00e9curit\u00e9 doivent \u00eatre consid\u00e9r\u00e9s dans leur int\u00e9gralit\u00e9 et pris en compte lors de l'adjudication, en plus du prix et de la prestation\u00a0? </p><p>b. Est-il dispos\u00e9 \u00e0 examiner si les exploitants d'infrastructures critiques doivent aussi respecter des param\u00e8tres d'\u00e9valuation tels que les comp\u00e9tences en mati\u00e8re de formation et de surveillance, des ressources en personnel suffisantes, le savoir-faire tout au long du cycle de vie et en mati\u00e8re d'architecture globale ainsi que la transparence et la v\u00e9rifiabilit\u00e9\u00a0? </p><p>c. Estime-t-il lui aussi que la s\u00e9curit\u00e9 des syst\u00e8mes peut \u00eatre am\u00e9lior\u00e9e gr\u00e2ce \u00e0 des informations transparentes sur le fournisseur/fabricant, sur les processus de d\u00e9veloppement et de production, sur le code source sous-jacent, sur la cha\u00eene d'approvisionnement et, enfin, sur le cycle de vie (d\u00e9veloppement, production, int\u00e9gration, exploitation et mise hors service) ?</p><p>d. Quel regard porte-t-il sur la cr\u00e9ation d'un organisme de contr\u00f4le national qui serait ind\u00e9pendant (Empa TI) et qui pourrait contr\u00f4ler tout le processus d'acquisition d'infrastructures critiques, c'est-\u00e0-dire en tenant compte d'un plus grand nombre de param\u00e8tres d'\u00e9valuation\u00a0?</p>","ReasonText":"<p>D'une importance capitale pour la Suisse, les infrastructures critiques englobent tous les syst\u00e8mes sociaux et techniques qui sont indispensables au bon fonctionnement d'une soci\u00e9t\u00e9 d\u00e9mocratique. Or, les infrastructures critiques dans le domaine des TIC se retrouvent de plus en plus souvent dans la ligne de mire des cybercriminels, comme lors de l'attaque par ran\u00e7ongiciel contre Swissport ou lors de cyberattaques contre des communes suisses. De m\u00eame, l'inqui\u00e9tude grandit \u00e0 l'\u00e9gard de certains fournisseurs \u00e0 propos du manque de transparence sur les aspects s\u00e9curitaires ou \u00e0 propos des risques g\u00e9opolitiques.</p><p>Afin de garantir en permanence l'int\u00e9grit\u00e9 des infrastructures critiques et la s\u00e9curit\u00e9 de l'approvisionnement de la Suisse, il faut accorder davantage d'importance aux aspects de s\u00e9curit\u00e9 et de transparence d\u00e8s l'acquisition de TIC. Cette situation soul\u00e8ve les questions suivantes\u00a0:</p><p>a. Le Conseil f\u00e9d\u00e9ral partage-t-il l'avis selon lequel, lors de l'acquisition de TIC dans le domaine des infrastructures critiques, les aspects li\u00e9s \u00e0 la s\u00e9curit\u00e9 doivent \u00eatre consid\u00e9r\u00e9s dans leur int\u00e9gralit\u00e9 et pris en compte lors de l'adjudication, en plus du prix et de la prestation\u00a0? </p><p>b. Est-il dispos\u00e9 \u00e0 examiner si les exploitants d'infrastructures critiques doivent aussi respecter des param\u00e8tres d'\u00e9valuation tels que les comp\u00e9tences en mati\u00e8re de formation et de surveillance, des ressources en personnel suffisantes, le savoir-faire tout au long du cycle de vie et en mati\u00e8re d'architecture globale ainsi que la transparence et la v\u00e9rifiabilit\u00e9\u00a0? </p><p>c. Estime-t-il lui aussi que la s\u00e9curit\u00e9 des syst\u00e8mes peut \u00eatre am\u00e9lior\u00e9e gr\u00e2ce \u00e0 des informations transparentes sur le fournisseur/fabricant, sur les processus de d\u00e9veloppement et de production, sur le code source sous-jacent, sur la cha\u00eene d'approvisionnement et, enfin, sur le cycle de vie (d\u00e9veloppement, production, int\u00e9gration, exploitation et mise hors service) ?</p><p>d. Quel regard porte-t-il sur la cr\u00e9ation d'un organisme de contr\u00f4le national qui serait ind\u00e9pendant (Empa TI) et qui pourrait contr\u00f4ler tout le processus d'acquisition d'infrastructures critiques, c'est-\u00e0-dire en tenant compte d'un plus grand nombre de param\u00e8tres d'\u00e9valuation\u00a0?</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>Question a.: Le Conseil f\u00e9d\u00e9ral a soulign\u00e9 la n\u00e9cessit\u00e9 d'adopter une approche globale en mati\u00e8re de s\u00e9curit\u00e9 dans sa strat\u00e9gie nationale pour la protection des infrastructures critiques. Aussi les exploitants de ces infrastructures devraient-ils, lorsque leurs projets d'acquisition l'imposent, conna\u00eetre les risques que comportent leurs cha\u00eenes d'approvisionnement et tenir compte de ces derniers. Dans cette optique, ils peuvent par exemple recourir \u00e0 des analyses des aspects li\u00e9s \u00e0 la politique de s\u00e9curit\u00e9 des fournisseurs et de leurs produits ou encore inclure des crit\u00e8res de s\u00e9curit\u00e9 dans le cahier des charges de l'appel d'offres. Pour les exploitants qui y sont soumis, le droit des march\u00e9s publics admet l'utilisation de crit\u00e8res de ce type. L'\u00e9galit\u00e9 de traitement des soumissionnaires doit toutefois \u00eatre garantie. Il n'est donc pas possible de restreindre de facto le march\u00e9 \u00e0 une poign\u00e9e de soumissionnaires pour des raisons de s\u00e9curit\u00e9 d'ordre g\u00e9n\u00e9ral.</p><p>Question b.: Le Conseil f\u00e9d\u00e9ral est dispos\u00e9 \u00e0 examiner si, dans certains cas, des prescriptions suppl\u00e9mentaires en mati\u00e8re d'acquisition de TIC sont n\u00e9cessaires et si celles-ci devraient figurer dans le cahier des charges de l'appel d'offres. Il estime toutefois qu'au vu des grandes disparit\u00e9s qui existent entre les exploitants d'infrastructures critiques et de la vari\u00e9t\u00e9 des secteurs concern\u00e9s, l'\u00e9laboration de prescriptions g\u00e9n\u00e9rales n'est pas indiqu\u00e9e. Il est dans l'int\u00e9r\u00eat \u00e9conomique des exploitants d'infrastructures critiques d'appliquer les crit\u00e8res de s\u00e9curit\u00e9 pertinents dans le cadre de leurs projets d'acquisition. Des prescriptions g\u00e9n\u00e9rales ne tiendraient gu\u00e8re compte de la complexit\u00e9 des processus d'acquisition, qu'elles ralentiraient tout en engendrant des co\u00fbts suppl\u00e9mentaires. En outre, elles constitueraient une atteinte \u00e0 la libert\u00e9 \u00e9conomique des adjudicateurs priv\u00e9s.</p><p>Question c.: Oui, le Conseil f\u00e9d\u00e9ral partage cet avis.</p><p>Question d.: Le Conseil f\u00e9d\u00e9ral reconna\u00eet que les capacit\u00e9s de contr\u00f4le doivent \u00eatre d\u00e9velopp\u00e9es en Suisse. En l'occurrence, la mise en place d'un organisme ind\u00e9pendant est en cours dans le canton de Zoug sous la forme d'un institut national de test pour la cybers\u00e9curit\u00e9 (NTC). Le Centre national pour la cybers\u00e9curit\u00e9 apporte son expertise \u00e0 ce projet. L'objectif du NTC est de fournir une assistance aux entreprises et aux autorit\u00e9s en proposant des contr\u00f4les de s\u00e9curit\u00e9 avanc\u00e9s pour les syst\u00e8mes et les applications informatiques. L'institut a fait ses preuves, entre autres, avec le contr\u00f4le des fonctionnalit\u00e9s et de la s\u00e9curit\u00e9 du syst\u00e8me de certificat COVID suisse.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1660694400000)\/","SubmittedBy":"Pult Jon","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1664496000000)\/","ResponsibleDepartment":7,"ResponsibleDepartmentName":"D\u00e9partement des finances","ResponsibleDepartmentAbbreviation":"DFF","IsLeadingDepartment":true,"Tags":"4|8|15|34","Category":null,"Modified":"\/Date(1690499146157)\/","SubmissionDate":"\/Date(1652054400000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5114,"SubmissionLegislativePeriod":51,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique d'Etat|Politique internationale|\u00c9conomie|M\u00e9dias et communication"}}