La déclaration des cyberincidents affectant la sécurité des infrastructures critiques pourrait devenir obligatoire. Le Conseil fédéral a adopté vendredi un rapport sur le sujet et confié des mandats pour approfondir la question d'ici à fin 2020.

Il n'existe pas en Suisse d'obligation générale de signaler les cyberincidents. Les informations portant sur des infrastructures critiques telles que l'approvisionnement en énergie, la télécommunication et les secteurs des finances et des assurances s'échangent sur une base volontaire via la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI).

Vu l'évolution rapide des cyberrisques, cela ne suffit peut-être pas pour identifier à temps les menaces dans tous les secteurs. La stratégie nationale contre les cyberrisques prévoit donc l'examen d'obligations de notifier dans ce domaine. Le Conseil national a demandé au gouvernement un rapport sur le sujet.

Quatre solutions

Selon le document, quatre solutions sont envisageables. Il serait possible d'introduire une centrale d'enregistrement des incidents affectant la sécurité, d'étendre et de renforcer les points de contact entre les secteurs, de prévoir des points de contact décentralisés et une centrale d'enregistrement des cyberincidents ou de renoncer à une obligation de déclarer.

Selon le Conseil fédéral, il est essentiel de clarifier si les cyberincidents doivent être annoncés à un point de contact séparé ou s'il faut compléter les points de contact sectoriels partiellement existants pour le signalement des incidents de sécurité. Il faut aussi évaluer le seuil à partir duquel les incidents doivent être déclarés, les délais à respecter, la possibilité de déclarations anonymes et de sanctions en cas de non-respect de l'obligation.

Le Conseil fédéral a chargé le Centre de compétences pour la cybersécurité du Département de la défense et l'Office fédéral de la protection de la population de clarifier ces questions en collaboration avec les autorités concernées et les milieux économiques. Une extension des obligations générales de déclarer les défaillances concernant les infrastructures critiques sera également examinée.

Un projet devra être remis au Conseil fédéral d'ici à fin 2020. Il rendra alors les décisions de principe sur les futures obligations. (ats/nxp)