Stratégie pour une protection nationale contre les cyberrisques
Le 18 avril 2018, le Conseil fédéral a adopté la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) pour les années 2018 à 2022. Cette stratégie repose sur les travaux réalisés dans le cadre de la première stratégie (qui concernait les années 2012 à 2017) en l’étendant si nécessaire et en la complétant par de nouvelles mesures afin qu’elle réponde aux menaces actuelles. Élaborée en collaboration avec les milieux économiques, les cantons et les hautes écoles, cette deuxième SNPC constitue la base permettant de regrouper les efforts afin de réduire les cyberrisques. La stratégie définit sept objectifs qui devront être atteints dans dix champs d’action. Très variées, les mesures vont de l’acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l’armée et le Service de renseignement de la Confédération, en passant par le renforcement de la gestion des incidents et des crises ainsi que par la collaboration en matière de poursuite pénale de la cybercriminalité.
Mise en œuvre planifiée et pilotée de la stratégie
Afin de concrétiser la stratégie, le Conseil fédéral a adopté le 15 mai 2019 le plan de mise en œuvre de la SNPC 2018-2022. Ce plan de mise en œuvre, qui a été établi en collaboration avec les offices fédéraux concernés, les cantons, les milieux économiques et les hautes écoles, détermine les responsabilités et les calendriers pour les différentes mesures et les objectifs de prestations à atteindre. Les travaux sont accompagnés par un comité de pilotage de la SNPC qui regroupe, outre les services compétents de la Confédération, des représentants des cantons, des milieux économiques et des hautes écoles.
La Confédération se réorganise pour se protéger contre les cyberrisques
La mise en œuvre de la SNPC se fonde sur les décisions de principe prises par le Conseil fédéral le 30 janvier 2019 concernant l’organisation de la Confédération en matière de cyberrisques. Le Conseil fédéral a ainsi décidé de créer une Délégation pour la cybersécurité (Délégation Cyber), composée des chefs du DFF, du DDPS et du DFJP, en vue de faciliter la collaboration interdépartementale et de renforcer son propre rôle de conduite dans ce domaine. La délégation discute des questions stratégiques et opérationnelles au niveau supradépartemental ayant trait aux cyberrisques. En outre, elle examine le degré de mise en œuvre et le développement du contenu de la SNPC. Le Conseil fédéral a également décidé de créer au sein du DFF un centre de compétences pour la cybersécurité placé sous la direction d’un délégué ou d’une déléguée de la Confédération à la cybersécurité. Ce nouveau «Centre national pour la cybersécurité» (NCSC.ch) joue un rôle clé dans la mise en œuvre de la SNPC. Avec son bureau stratégique, il est responsable de la coordination des travaux de mise en œuvre dans toute l’administration fédérale.
Florian Schütz a été nommé délégué fédéral à la cybersécurité le 14 juin 2019 et a pris ses fonctions au mois d’août 2019. Le délégué à la cybersécurité est l’interlocuteur de référence de la Confédération en matière de protection contre les cyberrisques et a notamment pour compétence d’édicter les directives de sécurité informatique applicables à l’administration fédérale. Le NCSC est composé d’une division stratégique et d’une division opérationnelle. Dans le cadre des travaux de mise en place, les aspects stratégiques et opérationnels de la cybersécurité ont été rassemblés au sein d'une nouvelle unité autonome du Secrétariat général du DFF (SG-DFF). La division opérationnelle regroupe la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), le NCSC, GovCERT.ch et le domaine Sécurité informatique de la Confédération. Jusqu’à la fin juin 2020, ces domaines étaient rattachés à l’Unité de pilotage informatique de la Confédération (UPIC).
Un centre de compétence fort pour la cybersécurité
L’ordonnance sur les cyberrisques, que le Conseil fédéral a adoptée le 27 mai 2020, crée les bases légales nécessaires à la mise sur pied et au développement du NCSC. Entrée en vigueur le 1er juillet 2020, cette ordonnance permet au Conseil fédéral de satisfaire aux exigences des milieux économiques et politiques. Ceux-ci réclamaient en effet un centre de compétences fort et doté d’une structure claire, ainsi qu’une centralisation accrue.
