Protection contre les cyberrisques

État: mai 2019

L'essentiel en bref

Étant donné l’interdépendance croissante des postes de travail ainsi que des systèmes de pilotage et de contrôle, la menace pour les infrastructures informatiques vitales qui dépendent des technologies de l’information et de la communication est toujours plus grande. Des attaques professionnelles sont notamment à l’ordre du jour. Le Conseil fédéral lutte activement contre les cyberrisques et prend les mesures nécessaires pour assurer la sécurité du pays face aux menaces provenant du cyberespace. À cet effet, il a, d’une part, adopté la nouvelle stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) pour les années 2018 à 2022 ainsi que son plan de mise en œuvre et, d’autre part, revu les compétences et tâches en matière de cyberrisques et renforcé les ressources en personnel dans ce domaine. En se basant sur les structures de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI), il met sur pied un Centre de compétences pour la cybersécurité qui assumera la fonction de guichet unique national pour les questions relatives aux cyberrisques. En dirigeant ce centre, le délégué ou la déléguée à la cybersécurité contribuera à concevoir la politique de cybersécurité de la Confédération et la représentera à l’extérieur. En outre, le Conseil fédéral a créé une Délégation pour la cybersécurité (Délégation Cyber), composée des chefs du Département fédéral des finances (DFF), du Département fédéral de la défense, de la protection de la population et des sports (DDPS) et du Département fédéral de justice et police (DFJP). Il entend ainsi faciliter la collaboration interdépartementale et renforcer son propre rôle de conduite en matière de cyberrisques.


Centre de compétences pour la cybersécurité

Le Centre de compétences pour la cybersécurité formera le noyau de la nouvelle organisation, qui sera mise en place en se fondant sur les compétences existantes au sein de MELANI. Le développement de cette dernière permettra de fournir des prestations à l’ensemble de l’économie et de la population. MELANI deviendra ainsi le premier interlocuteur pour les milieux économiques ou politiques ainsi que le grand public pour toute question relative aux cyberrisques. À cet effet, elle élargira sa plateforme d’annonce actuelle et étoffera l’offre proposée sur ses divers canaux d’information (notamment les rapports semestriels, les lettres d’information, les tweets et les articles de son blog) afin d’informer au mieux la population des cyberrisques et des possibilités de protection (voir http://www.melani.admin.ch).

Au sein de l’administration fédérale, le Centre de compétences pour la cybersécurité soutiendra les offices en mettant à leur disposition ses connaissances dans les domaines de la prévention, de la normalisation et de la réglementation. Dans le cadre de la gestion des cyberincidents, il pourra donner des directives aux autres services fédéraux.

La création du centre de compétences ne vise pas à modifier l’organisation et la fonction actuelles de MELANI, à savoir soutenir les exploitants d’infrastructures informatiques vitales, mais bien au contraire les renforce. Ainsi, la collaboration fructueuse avec les entreprises au sein du cercle fermé des clients est maintenue. MELANI conserve par ailleurs son rôle de centre d’analyse permanent. L’observation régulière de la situation soutient la prévention, permet la détection précoce des dangers et constitue une base importante pour la gestion des crises. MELANI se concentre sur l’apport des connaissances et des moyens qui sont seulement à la disposition d’une centrale étatique et auxquels les milieux économiques ne pourraient avoir accès d’une autre façon. Elle réunit les partenaires suivants: le Service de renseignement de la Confédération (SRC), l’Unité de pilotage informatique de la Confédération (UPIC), chargée de la direction stratégique, ainsi que l’équipe de GovCERT.ch. Celle-ci a été créée en 2008 au sein de l’UPIC afin de développer ses propres compétences techniques et d’augmenter ainsi sa capacité de réaction aux incidents.

Les trois piliers de la sûreté de l’information

L’UPIC a mis au point un système global visant à protéger les infrastructures informatiques vitales. Dans ce modèle dit des trois piliers, MELANI assume les tâches suivantes:

1. Prévention

En prenant des mesures préventives appropriées dans les domaines de la technique et de l’organisation, les exploitants d’infrastructures informatiques vitales doivent veiller à limiter le nombre des incidents et à contenir l’étendue des dommages. À cet effet, MELANI fournit aux exploitants concernés des informations importantes et très souvent confidentielles.

2. Détection précoce

MELANI s’emploie à détecter les risques et menaces le plus tôt possible, pour permettre aux exploitants d’infrastructures vitales de mettre en place à temps des dispositifs de défense et d’éviter ou de modifier le recours à certaines technologies risquées.

3. Gestion des crises

Le cas échéant, MELANI soutient les exploitants d’infrastructures vitales dans leurs efforts pour gérer une crise et prend les mesures de coordination nécessaires entre l’État et le secteur privé. Elle informe immédiatement les organismes concernés du secteur privé et de l’administration.

Diagramme représentant par des colonnes le nombre de menaces et incidents annoncés entre 2005 et 2018
Nombre de menaces et d'incidents annoncés à la Centrale d'enregistrement et d'analyse pour la sûreté de l'information (MELANI) durant une période de 14 ans
© EFD / DFF

État des travaux

Le 18 avril 2018, le Conseil fédéral a adopté la nouvelle SNPC pour les années 2018 à 2022. Cette dernière repose sur les travaux réalisés dans le cadre de la première stratégie (qui concernait les années 2012 à 2017) en l’étendant si nécessaire et en la complétant par de nouvelles mesures afin qu’elle réponde aux menaces actuelles. Élaborée en collaboration avec les milieux économiques, les cantons et les hautes écoles, cette deuxième SNPC constitue la base permettant les efforts communs requis afin de réduire les cyberrisques.

La stratégie définit sept objectifs qui devront être atteints dans dix champs d’action. Très variées, ces mesures vont de l’acquisition de compétences ou de connaissances et de la promotion de la coopération internationale aux mesures de cyberdéfense mises en œuvre par l’armée et le SRC, en passant par le renforcement de la gestion des incidents et des crises ainsi que par la collaboration en matière de poursuite pénale des cyberattaques.

Afin de concrétiser la stratégie, le Conseil fédéral a adopté le 15 mai 2019 le plan de mise en œuvre de la SNPC 2018-2022. Ce plan de mise en œuvre, qui a été établi en collaboration avec les offices fédéraux concernés, les cantons, les milieux économiques et les hautes écoles, détermine les responsabilités et les calendriers pour les différentes mesures ainsi que les objectifs de prestations à atteindre. La planification se fonde sur les décisions de principe prises par le Conseil fédéral en janvier 2019 concernant l’organisation de la Confédération en matière de cyberrisques. La création du centre de compétences placé sous la direction du délégué ou de la déléguée à la cybersécurité joue un rôle clé dans la mise en œuvre de la SNPC. Avec son bureau stratégique, le délégué ou la déléguée est responsable de la coordination des travaux de mise en œuvre dans toute l’administration fédérale.

https://www.efd.admin.ch/content/efd/fr/home/themen/Digitalisierung/surete-de-l-information-dans-les-communications-electroniques/fb-schutz_vor_cyber-risiken.html