{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20224591,Language='FR')/Transcripts"}},"ID":20224591,"Language":"FR","BusinessShortNumber":"22.4591","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"\u00c9tablir des lignes directrices pour les acquisitions dans le domaine des infrastructures informatiques critiques","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>Les infrastructures critiques sont les processus, les syst\u00e8mes et les installations essentiels pour l'\u00e9conomie et la prosp\u00e9rit\u00e9. Elles sont soumises \u00e0 une pression de plus en plus forte comme le montre clairement la guerre en Ukraine. La s\u00e9curit\u00e9 tout au long de leur cycle de vie est donc d'une importance capitale pour la Suisse, en particulier dans le domaine informatique, o\u00f9 l'on a une capacit\u00e9 d'innovation tr\u00e8s rapide diam\u00e9tralement oppos\u00e9e \u00e0 l'obligation de contracter des engagements de plusieurs ann\u00e9es lors des acquisitions. Cette opposition cr\u00e9e des d\u00e9calages en mati\u00e8re de s\u00e9curit\u00e9 informatique puisque l'achat est d\u00e9cid\u00e9 \u00e0 un moment pr\u00e9cis et que la d\u00e9cision est valable pour l'exploitation de l'infrastructure \u00e0 long terme. \u00c9tablir des lignes directrices officielles pour les acquisitions dans ce domaine permettrait de rem\u00e9dier \u00e0 ce probl\u00e8me urgent.</p><p>Je prie le Conseil f\u00e9d\u00e9ral de r\u00e9pondre aux questions suivantes.</p><p>a. Est-il aussi d'avis qu'il existe un d\u00e9calage entre la d\u00e9cision d'achat \u00e0 un moment pr\u00e9cis et l'exploitation \u00e0 long terme des infrastructures informatiques critiques\u00a0?</p><p>b. Pense-t-il que des lignes directrices dans ce domaine am\u00e9lioreraient la r\u00e9silience des infrastructures\u00a0?</p><p>c. Est-il dispos\u00e9 \u00e0 \u00e9tablir ces lignes directrices pour les acquisitions en rapport avec les infrastructures informatiques critiques\u00a0?</p><p>d. Pense-t-il qu'une table ronde r\u00e9unissant des repr\u00e9sentants de la Conf\u00e9d\u00e9ration, des cantons, des milieux scientifiques, des entreprises informatiques et des exploitants d'infrastructures critiques apporterait une plus-value dans ce secteur\u00a0?</p><p>e. Est-il dispos\u00e9 \u00e0 faire des acquisitions un th\u00e8me de la strat\u00e9gie nationale pour la protection des infrastructures critiques 2023-2027\u00a0?</p>","ReasonText":"<p>La strat\u00e9gie nationale pour la protection des infrastructures critiques de l'Office f\u00e9d\u00e9ral de la protection de la population de 2017 vise \u00e0 am\u00e9liorer la r\u00e9silience des infrastructures critiques. Cette strat\u00e9gie, dont la r\u00e9vision est pr\u00e9vue fin 2022, n'aborde pas la question des acquisitions. Or, les d\u00e9cisions d'achat constituent la base de la r\u00e9silience des infrastructures critiques, d\u00e9finie comme la \" capacit\u00e9 de r\u00e9sistance, d'adaptation et de r\u00e9tablissement \". Des lignes directrices pour l'acquisition d'infrastructures informatiques critiques contribueraient donc \u00e0 permettre une approche plus int\u00e9grale et \u00e0 long terme de la s\u00e9curit\u00e9 de l'ensemble du syst\u00e8me et \u00e0 augmenter ainsi la s\u00e9curit\u00e9 des syst\u00e8mes tout au long de leur cycle de vie.</p>","DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p>a. Lors de l'acquisition de composants, lesquels seront utilis\u00e9s sur une longue p\u00e9riode, le d\u00e9fi est toujours de savoir comment int\u00e9grer les potentielles \u00e9volutions futures dans la d\u00e9cision d'achat. Cela ne vaut pas seulement pour le domaine de la s\u00e9curit\u00e9, mais s'applique aussi de mani\u00e8re plus g\u00e9n\u00e9rale aux d\u00e9veloppements technologiques et \u00e9conomiques. Dans cette optique, il est tr\u00e8s important d'appliquer des processus d'acquisition de mani\u00e8re pr\u00e9cise, en tenant compte de toutes les \u00e9ventualit\u00e9s. S'agissant des achats informatiques, il convient par exemple de clarifier qui s'occupe du support technique du syst\u00e8me \u00e0 moyen et long terme, quelles sont les exigences de s\u00e9curit\u00e9 \u00e0 respecter dans ce cadre ou encore quelles sont les obligations des prestataires en mati\u00e8re de gestion des incidents de s\u00e9curit\u00e9 et des failles. Si l'on tient compte de tels \u00e9l\u00e9ments dans le processus d'acquisition, le risque de d\u00e9calage de s\u00e9curit\u00e9 entre le moment de l'achat et l'exploitation ult\u00e9rieure peut \u00eatre r\u00e9duit. </p><p>b. Oui, des lignes directrices aident les responsables \u00e0 proc\u00e9der de mani\u00e8re m\u00e9thodique lors de l'identification des facteurs cl\u00e9s du processus d'acquisition et ce aussi dans le domaine informatique. Il est question ici de toujours tenir compte des exigences sp\u00e9cifiques de chaque achat. Il n'y a pas de proc\u00e9dure universelle.</p><p>c. Des normes internationales bien \u00e9tablies existent pour la gestion des risques dans la cha\u00eene d'approvisionnement (en ce qui concerne la s\u00e9curit\u00e9 des acquisitions informatiques, ISO 27036-3 et NIST 800-161 notamment). Aujourd'hui d\u00e9j\u00e0, des \u00e9l\u00e9ments de ces normes sont dans certains cas des crit\u00e8res obligatoires dans les appels d'offres lanc\u00e9s par la Conf\u00e9d\u00e9ration. Le Conseil f\u00e9d\u00e9ral consid\u00e8re d\u00e8s lors que l'\u00e9tablissement de nouvelles lignes directrices n'est pas utile, mais encourage les exploitants d'infrastructures critiques \u00e0 se r\u00e9f\u00e9rer aux normes internationales existantes.</p><p>d. Le Conseil f\u00e9d\u00e9ral juge superflue la cr\u00e9ation d'un comit\u00e9 suppl\u00e9mentaire, \u00e9tant donn\u00e9 que la Conf\u00e9d\u00e9ration, les cantons et les milieux scientifiques et \u00e9conomiques \u00e9changent d\u00e9j\u00e0 r\u00e9guli\u00e8rement entre eux au sujet des acquisitions (p. ex. \u00e0 l'occasion de la conf\u00e9rence annuelle sur les achats informatiques). De plus, les discussions sur la s\u00e9curit\u00e9 vont encore s'intensifier au sein des organes existants tout au long du cycle de vie des acquisitions.</p><p>e. Dans sa strat\u00e9gie nationale de protection des infrastructures critiques 2018-2022, le Conseil f\u00e9d\u00e9ral a r\u00e9affirm\u00e9 la n\u00e9cessit\u00e9 d'une approche int\u00e9grale des questions de s\u00e9curit\u00e9. Les exploitants et exploitantes d'infrastructures critiques doivent \u00e0 cet effet conna\u00eetre les risques de leur cha\u00eene d'approvisionnement et en tenir compte dans le cadre de tous les projets d'acquisition importants. Il ne consid\u00e8re donc pas n\u00e9cessaire d'approfondir davantage le sujet dans la nouvelle strat\u00e9gie.</p>  R\u00e9ponse du Conseil f\u00e9d\u00e9ral.","FederalCouncilProposal":8,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1676419200000)\/","SubmittedBy":"Gugger Niklaus-Samuel","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1734683913000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"8|9|15|34","Category":null,"Modified":"\/Date(1745522457230)\/","SubmissionDate":"\/Date(1671148800000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5117,"SubmissionLegislativePeriod":51,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique internationale|Politique de s\u00e9curit\u00e9|\u00c9conomie|M\u00e9dias et communication"}}