Obligation de signaler des cyberattaques: il faut un cadre clair

La consultation sur le projet visant à introduire une obligation faite aux exploitants d'infrastructures critiques de signaler les cyberattaques s’est achevée la semaine dernière. Le nombre de cyberattaques dirigées contre des entreprises et des institutions suisses explose. economiesuisse est d’accord qu’il faut investir dans des mesures de protection appropriées. Cela vaut en particulier pour les infrastructures dites critiques, qui doivent présenter une résilience accrue d’un point de vue systémique. Même en cas de cyberattaque, elles doivent pouvoir remplir leur fonction importante pour l’économie et la société. Par conséquent, economiesuisse n’a pas d’objections à ce que les exploitants d'infrastructures critiques soient soumis à une obligation de signaler. Elle demande toutefois de modifier et de préciser le projet de loi.

UNE TERMINOLOGIE EXHAUSTIVE ET CLAIRE

Aux yeux des milieux économiques, la sécurité juridique est décisive. Il faut des informations claires quant aux entreprises concernées par la nouvelle obligation de signaler, aux domaines et aux informations à fournir. Les obligations de signaler génèrent des charges administratives supplémentaires et ne devraient donc être introduites que de manière ciblée. Une telle obligation doit s’appliquer uniquement à des domaines où une détérioration voire une défaillance causeraient des difficultés d’approvisionnement durables, des perturbations importantes de la sécurité publique ou d’autres conséquences dramatiques.

Le projet est trop général également en ce qui concerne les événements à signaler. Il ne distingue pas clairement des incidents qui n’ont pas ou peu d’incidence sur les processus commerciaux de ceux qui entravent l’exploitation d’infrastructures critiques ou qui renferment un risque élevé. Les entreprises auraient du mal à saisir et à appliquer des critères trop larges.

LA COOPÉRATION EN TANT QUE SOLUTION ET OBJECTIF

L’objectif d’une obligation de signaler doit être que dans des cas précis et clairement définis une entreprise entre en discussion avec les autorités. Il doit être aussi simple que possible d’ouvrir cette discussion. Les modalités des échanges doivent même être constructives. La valeur ajoutée du NCSC, telle que des évaluations techniques et autres services de soutien, est importante à cet égard. Un «système d’alerte précoce» et une évaluation fiable de la menace seraient également tout à fait dans l’intérêt de l’économie. Une obligation de signaler doit généralement obéir à une logique de service et non être utilisée comme un instrument de contrôle à l’égard des entreprises concernées. C’est le seul moyen de renforcer la confiance des entreprises dans l’utilité des instruments mis en place.

Pour que l’obligation de signaler soit acceptée, il faut montrer encore plus clairement comment les prestations de soutien profiteront concrètement aux entreprises concernées. De même, il convient d’expliquer clairement dans quelle mesure les nouvelles obligations sont raisonnablement proportionnelles au bénéfice. Les charges supplémentaires pèseront davantage sur les PME et les petits exploitants d’infrastructures critiques. Il faut une contrepartie claire, qui ne ressort pas encore suffisamment du projet.

LES DISPOSITIONS PÉNALES NE SONT PAS CIBLÉES

economiesuisse rejette, dans l’ensemble, les dispositions pénales du projet de loi. En effet, les dispositions prévues engageraient la responsabilité pénale personnelle des responsables et seraient préjudiciables à la mise en conformité des entreprises et non favorables. Les personnes qui s’exposent à des sanctions dans un domaine sujet à des erreurs comme la cybersécurité, alors qu’elles ont pris toutes les précautions raisonnables, seraient clairement moins enclines à assumer de telles responsabilités. Cela accroîtrait encore la pression sur un marché de l’emploi qui est déjà asséché et qui ne compte pas suffisamment d’experts et de spécialistes.

Accéder à la réponse à la consultation