{"d":{"__metadata":{"id":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')","uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')","type":"itsystems.Pd.DataServices.DataModel.Business"},"BusinessResponsibilities":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/BusinessResponsibilities"}},"RelatedBusinesses":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/RelatedBusinesses"}},"BusinessRoles":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/BusinessRoles"}},"Publications":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Publications"}},"LegislativePeriods":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/LegislativePeriods"}},"Sessions":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Sessions"}},"Preconsultations":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Preconsultations"}},"Bills":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Bills"}},"Councils":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Councils"}},"BusinessTypes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/BusinessTypes"}},"Votes":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Votes"}},"SubjectsBusiness":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/SubjectsBusiness"}},"BusinessStates":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/BusinessStates"}},"Council":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Council"}},"Transcripts":{"__deferred":{"uri":"https://ws.parlament.ch/OData.svc/Business(ID=20234461,Language='FR')/Transcripts"}},"ID":20234461,"Language":"FR","BusinessShortNumber":"23.4461","BusinessType":8,"BusinessTypeName":"Interpellation","BusinessTypeAbbreviation":"Ip.","Title":"NCSC et SRC. Des conceptions et des objectifs divergents","Description":null,"InitialSituation":null,"Proceedings":null,"DraftText":null,"SubmittedText":"<p>En 2022, les r\u00e9sultats de l\u2019enqu\u00eate administrative Oberholzer sur les collectes d\u2019informations du Service de renseignement de la Conf\u00e9d\u00e9ration (SRC) dans le domaine Cyber ont donn\u00e9 lieu \u00e0 des comptes rendus m\u00e9diatiques. Juste avant, le Conseil f\u00e9d\u00e9ral avait d\u00e9cid\u00e9 de rattacher le Centre national pour la cybers\u00e9curit\u00e9 (NCSC) au DDPS \u00e0 partir du 1er&nbsp;janvier 2024.</p><p>Le rapport Oberholzer recommandait de r\u00e9fl\u00e9chir \u00e0 la possibilit\u00e9 de d\u00e9tacher compl\u00e8tement le domaine Cyber du SRC et de cr\u00e9er un pool d\u2019experts ind\u00e9pendant charg\u00e9 d\u2019analyser les donn\u00e9es issues du trafic r\u00e9seau. Il estimait judicieux de rattacher ce pool au NCSC et de le mettre \u00e0 la disposition de toutes les unit\u00e9s organisationnelles de la Conf\u00e9d\u00e9ration qui s\u2019occupent de cybers\u00e9curit\u00e9.&nbsp;</p><p>Le 7&nbsp;d\u00e9cembre 2023, peu avant le transfert du NCSC au DDPS, des m\u00e9dias ont annonc\u00e9 une vague de d\u00e9missions parmi les experts&nbsp;: six des neuf sp\u00e9cialistes du groupe d\u2019intervention en cas d\u2019urgence informatique (GovCERT) ont d\u00e9cid\u00e9 de ne pas rejoindre le DDPS, 20&nbsp;% des effectifs du NCSC ont pr\u00e9f\u00e9r\u00e9 d\u00e9missionner. Des conflits \u00e9thiques ont \u00e9t\u00e9 invoqu\u00e9s, \u00e9tant donn\u00e9 que les collaborateurs du NCSC s\u2019efforcent de combler les failles de s\u00e9curit\u00e9 pour la soci\u00e9t\u00e9 civile et l\u2019\u00e9conomie, alors que le SRC et le DDPS auraient un int\u00e9r\u00eat \u00e0 maintenir certaines failles qu\u2019ils veulent utiliser pour la collecte d\u2019informations.&nbsp;</p><p>Dans l\u2019enqu\u00eate administrative de 2022, on pouvait lire qu\u2019\u00e0 l\u2019\u00e9poque le chef du domaine Cyber du SRC avait fait preuve de peu de compr\u00e9hension pour les directives l\u00e9gales et les proc\u00e9dures institutionnalis\u00e9es au sein des services \u00e9tatiques et que son chef l\u2019avait laiss\u00e9 faire.</p><ol><li>Le Conseil f\u00e9d\u00e9ral a-t-il sous-estim\u00e9 les divergences entre les objectifs du NCSC et ceux du SRC/DDPS ainsi que les diff\u00e9rentes cultures d\u2019entreprise qui en d\u00e9coulent&nbsp;?</li><li>Comment s\u2019assure-t-il que, sous la conduite du DDPS, le NCSC pr\u00e9servera les int\u00e9r\u00eats de la soci\u00e9t\u00e9 civile et de l\u2019\u00e9conomie en se concentrant sur la d\u00e9tection et l\u2019\u00e9limination des failles de s\u00e9curit\u00e9 dans le r\u00e9seau, et ne d\u00e9fendra pas les int\u00e9r\u00eats opportunistes du SRC qui entend utiliser ces failles&nbsp;?&nbsp;</li><li>Comment l\u2019interface entre le NCSC et le SRC est-elle organis\u00e9e et surveill\u00e9e en ce qui concerne l\u2019\u00e9change automatis\u00e9 de donn\u00e9es&nbsp;?</li><li>Comment le Conseil f\u00e9d\u00e9ral s\u2019assure-t-il que les sp\u00e9cialistes du NCSC pourront transmettre de mani\u00e8re s\u00fbre et rapide \u00e0 l\u2019autorit\u00e9 de surveillance comp\u00e9tente (AS-Rens, D\u00e9lCdG) les \u00e9ventuelles erreurs d\u2019interpr\u00e9tation des bases l\u00e9gales dans le domaine Cyber du SRC&nbsp;?</li></ol>","ReasonText":null,"DocumentationText":null,"MotionText":null,"FederalCouncilResponseText":"<p><u>1) </u>Le nouvel Office f\u00e9d\u00e9ral de la cybers\u00e9curit\u00e9 (OFCS) reprend sans changement les t\u00e2ches qui incombaient jusqu\u2019\u00e0 pr\u00e9sent au Centre national pour la cybers\u00e9curit\u00e9 (NCSC). Celles-ci sont compl\u00e9mentaires aux t\u00e2ches du Service de renseignement de la Conf\u00e9d\u00e9ration (SRC). Le SRC est un instrument d\u2019action pr\u00e9ventive de la politique de s\u00e9curit\u00e9. Il assure un service d\u2019alerte pr\u00e9coce et de pr\u00e9vention des menaces pour la s\u00fbret\u00e9 int\u00e9rieure ou ext\u00e9rieure de la Suisse, qui proviennent notamment des cyberattaques.</p><p>Le SRC et l\u2019OFCS sont tous deux plac\u00e9s sous la conduite directe de la cheffe du DDPS. Ils d\u00e9veloppent chacun leur culture d\u2019entreprise afin de remplir au mieux leurs t\u00e2ches dans le cadre de la Strat\u00e9gie nationale de protection de la Suisse contre les cyberrisques (SNPC).</p><p>Le SCR d\u00e9finit les responsabilit\u00e9s et les comp\u00e9tences de la soci\u00e9t\u00e9 civile, de l\u2019\u00e9conomie et de l\u2019\u00c9tat. Tous les d\u00e9partements et tous les offices de l\u2019administration f\u00e9d\u00e9rale travaillent de mani\u00e8re compl\u00e9mentaire, guid\u00e9s par le m\u00eame objectif&nbsp;: accro\u00eetre la protection de la population contre les cyberrisques. Cet objectif vaut aussi pour l\u2019OFCS et le SRC.</p><p>&nbsp;</p><p><u>2)</u> Le 29&nbsp;septembre 2023, le Parlement a adopt\u00e9 la r\u00e9vision de la loi sur la s\u00e9curit\u00e9 de l\u2019information (LSI&nbsp;; RS&nbsp;128) qui porte sur l\u2019introduction d\u2019une obligation de signaler les cyberattaques contre les infrastructures critiques. Selon l\u2019art.&nbsp;73<i>b</i>, al.&nbsp;3, l\u2019OFCS est tenu \u00e0 l\u2019avenir d\u2019informer imm\u00e9diatement les fabricants de produits mat\u00e9riels ou logiciels s\u2019il a connaissance d\u2019une vuln\u00e9rabilit\u00e9 dans ces produits. La loi garantit ainsi que l\u2019OFCS met en \u0153uvre le processus de la divulgation coordonn\u00e9e des vuln\u00e9rabilit\u00e9s.</p><p>Les t\u00e2ches du SRC sont r\u00e9gl\u00e9es \u00e0 l\u2019art.&nbsp;6 de la loi sur le renseignement (LRens&nbsp;; RS&nbsp;121). Toutes les activit\u00e9s de renseignement du SRC qui sont de nature offensive (p.&nbsp;ex. l\u2019utilisation de vuln\u00e9rabilit\u00e9s, cf. art.&nbsp;26 LRens) se d\u00e9roulent selon une proc\u00e9dure soumise \u00e0 autorisation d\u00e9finie par la loi.</p><p>&nbsp;</p><p><u>3)</u> Aucun \u00e9change ne se fait automatiquement. En outre, le SRC n\u2019a pas acc\u00e8s aux informations de l\u2019OFCS sur des vuln\u00e9rabilit\u00e9s. L\u2019OFCS accorde au SRC l\u2019acc\u00e8s aux informations qui concernent l\u2019identit\u00e9 et le mode op\u00e9ratoire des agresseurs. La surveillance du traitement de l\u2019information par le SRC s\u2019effectue dans le cadre de la surveillance des activit\u00e9s du SRC. L\u2019\u00e9change de donn\u00e9es \u00e9tabli par le pass\u00e9 entre l\u2019OFCS (anciennement NCSC) et le SRC se poursuit sur le m\u00eame mode et il est \u00e9galement r\u00e9gl\u00e9 dans la LRens et dans la LSI r\u00e9vis\u00e9e. Le rattachement de l\u2019OFCS au DDPS ne change rien \u00e0 cette pratique.</p><p>&nbsp;</p><p><u>4) </u>La loi sur le personnel de la Conf\u00e9d\u00e9ration (LPers&nbsp;; RS&nbsp;172.220.1) r\u00e8gle \u00e0 l\u2019art.&nbsp;22<i>a</i> les obligations et les droits de d\u00e9noncer de tous les employ\u00e9s de la Conf\u00e9d\u00e9ration. Ceux-ci sont tenus de d\u00e9noncer \u00e0 leurs sup\u00e9rieurs, aux autorit\u00e9s de poursuite p\u00e9nale ou au Contr\u00f4le f\u00e9d\u00e9ral des finances (CDF) tous les crimes et d\u00e9lits poursuivis d\u2019office dont ils ont eu connaissance ou qui leur ont \u00e9t\u00e9 signal\u00e9s dans l\u2019exercice de leur fonction (al.&nbsp;1). L\u2019al.&nbsp;4 int\u00e8gre un droit g\u00e9n\u00e9ral, selon lequel les employ\u00e9s ont aussi le droit de signaler au CDF les autres irr\u00e9gularit\u00e9s dont ils ont eu connaissance ou qui leur ont \u00e9t\u00e9 signal\u00e9es dans l\u2019exercice de leur fonction.</p><p>Le CDF a la possibilit\u00e9, en raison de sa fonction, dans le cadre de l\u2019exercice de son activit\u00e9 de surveillance, de v\u00e9rifier de mani\u00e8re discr\u00e8te et sur site, la plausibilit\u00e9 des reproches soulev\u00e9s. Il est tenu par la loi, lorsqu\u2019il constate, dans le cadre de l\u2019exercice de son activit\u00e9 de surveillance, des d\u00e9fauts dans l\u2019organisation, la gestion administrative ou dans l\u2019ex\u00e9cution des t\u00e2ches, d\u2019informer l\u2019unit\u00e9 administrative comp\u00e9tente&nbsp;; celle-ci lui fait rapport des mesures qu\u2019elle a prises (art.&nbsp;13, al.&nbsp;2, de la loi sur le Contr\u00f4le des finances LCF&nbsp;; RS&nbsp;614.0).</p><p>Ce syst\u00e8me de signalement s\u2019applique \u00e0 tous les employ\u00e9s de la Conf\u00e9d\u00e9ration. Une possibilit\u00e9, pour les employ\u00e9s, d\u2019informer directement l\u2019AS-Rens ou la D\u00e9lCdG n\u2019est ni pr\u00e9vue ni n\u00e9cessaire.</p>","FederalCouncilProposal":null,"FederalCouncilProposalText":null,"FederalCouncilProposalDate":"\/Date(1708473600000)\/","SubmittedBy":"Schlatter Marionna","BusinessStatus":229,"BusinessStatusText":"Liquid\u00e9","BusinessStatusDate":"\/Date(1710510858000)\/","ResponsibleDepartment":6,"ResponsibleDepartmentName":"D\u00e9partement de la d\u00e9fense, de la protection de la population et des sports","ResponsibleDepartmentAbbreviation":"DDPS","IsLeadingDepartment":true,"Tags":"4|9|34","Category":null,"Modified":"\/Date(1763097800030)\/","SubmissionDate":"\/Date(1703116800000)\/","SubmissionCouncil":1,"SubmissionCouncilName":"Conseil national","SubmissionCouncilAbbreviation":"CN","SubmissionSession":5201,"SubmissionLegislativePeriod":52,"FirstCouncil1":1,"FirstCouncil1Name":"Conseil national","FirstCouncil1Abbreviation":"CN","FirstCouncil2":null,"FirstCouncil2Name":null,"FirstCouncil2Abbreviation":null,"TagNames":"Politique d'Etat|Politique de s\u00e9curit\u00e9|M\u00e9dias et communication"}}