Les exploitants d’infrastructures critiques en Suisse accueillent favorablement l’obligation de signaler des cyberattaques, un projet du Conseil fédéral pour mieux protéger la sécurité et l’économie. Du côté des partis, seule l’UDC s’y oppose, jugeant cette révision inutile.

Les milieux concernés avaient jusqu’à jeudi pour se prononcer sur ce projet. L’Association des entreprises électriques suisses (AES) le soutient pour l’ensemble du secteur directement concerné par la cybermenace.

Elle juge approprié de renforcer le Centre national pour la cybersécurité (NCSC) comme point de contact centralisé de la Confédération pour l’économie, y compris pour le secteur énergétique. En cas de cyberattaque, l’AES attend du centre un soutien rapide dans l’analyse et la compréhension de la situation.

Les centrales nucléaires suisses, en tant qu’infrastructures critiques, sont déjà soumises à l’obligation de notification. Elles doivent annoncer les cyberattaques et autres incidents à l’Inspection fédérale de la sécurité nucléaire (IFSN).

Le groupe Axpo relève lui quelques points. Il n’est ainsi pas toujours possible d’identifier l’origine d’une attaque notamment si elle provient d’un État étranger. Et ce type d’événement devrait être signalé rapidement, même si les informations nécessitent de longues recherches.

Des détails à améliorer

Pour Swissgrid, responsable du réseau de transport de l’électricité, la pratique actuelle de déclaration volontaire est insuffisante. Pour protéger les infrastructures, la Confédération doit être informée de l’origine, des méthodes et de l’ampleur des attaques. Swissgrid salue l’orientation générale du projet mais souhaite des ajustements en matière de protection des données. L’association suisse des télécommunications (asut) soutient aussi globalement le projet.

Les Cantons ont également fait part de leur satisfaction. La révision renforce la résistance contre les cybermenaces, écrit la Conférence des directeurs cantonaux des départements de justice et police (CCDJP). Il est essentiel que le plus grand nombre possible d’infrastructures critiques soient soumises aux nouvelles dispositions. Mais les petites entreprises dont les dommages économiques seraient faibles devraient en être exemptées.

Les directeurs cantonaux de la santé (CDS) accueillent aussi favorablement les propositions du gouvernement. Les domaines critiques seront clairement définis. Reste à savoir si tous les hôpitaux du plus petit à l’échelle régionale aux plus importants de type universitaire, sont à considérer comme infrastructures critiques. Il faudra aussi se demander si les plateformes qui gèrent le dossier électronique du patient ne devraient pas être incluses.

UDC contre

Chez les partis, l’UDC rejette les modifications de la loi sur la sécurité de l’information. Elle entraînera des coûts supplémentaires considérables pour l’économie sans véritable gain de sécurité. L’échange d’informations sur une base volontaire fonctionne. Il y a une relation de confiance entre les entreprises concernées et les autorités.

Le PS ne partage pas cet avis. Il soutient l’obligation d’annonce, mais voudrait que le centre de sécurité endosse aussi une fonction d’alerte. La liste des infrastructures à protéger devrait aussi être réexaminée en permanence.

Pour le PLR, le projet enfonce des portes ouvertes au vu des dangers dans le cyberespace. La révision comble des lacunes puisqu’il manquait jusque-là une base légale au NSCS pour effectuer ses tâches. Les notifications obligatoires donneront une image complète de la situation.

Le Centre est lui aussi d’accord avec les nouvelles compétences du NCSC. La Confédération y gagnera en rapidité de gestion. Le bureau de notification devrait être intégré dans les structures existantes.

Verts et PVL plus revendicatifs

Les Verts aimeraient eux que la cybersécurité soit placée sous l’égide d’un nouveau département fédéral ou à tout le moins d’un secrétaire d’État. D’ici là, le NSCS devrait avoir davantage de compétences notamment en matière de sensibilisation. Les Verts souhaitent aussi une définition plus large des infrastructures critiques.

Pour les Vert’libéraux, le projet doit être amélioré. Les notifications anonymes devraient figurer dans la loi. En outre, il ne faut pas se limiter aux attaques mais inclure aussi les failles de sécurité identifiées. Cela permettrait au NCSC de prendre des mesures préventives. Le PVL n’est pas non plus d’accord avec la possibilité de consulter des données personnelles sensibles.

Le Parti Pirate demande lui aussi un département à part entière pour le numérique. Pour lui, tous les cyberincidents devraient être déclarés pour les exploitations à partir d’une certaine taille mais aussi pour celles qui reçoivent des mandats de l’État.

ATS

Vous avez trouvé une erreur?Merci de nous la signaler.