Infrastructures
Cyber-Angriff

Obli­ga­tion de signa­ler des cybe­rat­taques: il faut un cadre clair

News 13.04.2022

L’éco­no­mie est favo­rable, sur le prin­cipe, à l’in­tro­duc­tion d’une obli­ga­tion pour les exploi­tants d’in­fra­struc­tures cri­tiques de signa­ler les cybe­rat­taques. Cette obli­ga­tion doit tou­te­fois repo­ser sur une coopé­ra­tion forte entre la Confé­dé­ra­tion et les entre­prises, et s’ap­puyer sur une ter­mi­no­lo­gie claire. Enfin, il faut abso­lu­ment évi­ter des dis­po­si­tions pénales pré­ju­di­ciables.
Numérisation
TIC
Infrastructures

La consul­ta­tion sur le pro­jet visant à intro­duire une obli­ga­tion faite aux exploi­tants d'in­fra­struc­tures cri­tiques de signa­ler les cybe­rat­taques s’est ache­vée la semaine der­nière. Le nombre de cybe­rat­taques diri­gées contre des entre­prises et des ins­ti­tu­tions suisses explose. eco­no­mie­suisse est d’ac­cord qu’il faut inves­tir dans des mesures de pro­tec­tion appro­priées. Cela vaut en par­ti­cu­lier pour les infra­struc­tures dites cri­tiques, qui doivent pré­sen­ter une rési­lience accrue d’un point de vue sys­té­mique. Même en cas de cybe­rat­taque, elles doivent pou­voir rem­plir leur fonc­tion impor­tante pour l’éco­no­mie et la société. Par consé­quent, eco­no­mie­suisse n’a pas d’ob­jec­tions à ce que les exploi­tants d'in­fra­struc­tures cri­tiques soient sou­mis à une obli­ga­tion de signa­ler. Elle demande tou­te­fois de modi­fier et de pré­ci­ser le pro­jet de loi.

UNE TER­MI­NO­LO­GIE EXHAUS­TIVE ET CLAIRE

Aux yeux des milieux éco­no­miques, la sécu­rité juri­dique est déci­sive. Il faut des infor­ma­tions claires quant aux entre­prises concer­nées par la nou­velle obli­ga­tion de signa­ler, aux domaines et aux infor­ma­tions à four­nir. Les obli­ga­tions de signa­ler génèrent des charges admi­nis­tra­tives sup­plé­men­taires et ne devraient donc être intro­duites que de manière ciblée. Une telle obli­ga­tion doit s’ap­pli­quer uni­que­ment à des domaines où une dété­rio­ra­tion voire une défaillance cau­se­raient des dif­fi­cul­tés d’ap­pro­vi­sion­ne­ment durables, des per­tur­ba­tions impor­tantes de la sécu­rité publique ou d’autres consé­quences dra­ma­tiques.

Le pro­jet est trop géné­ral éga­le­ment en ce qui concerne les évé­ne­ments à signa­ler. Il ne dis­tingue pas clai­re­ment des inci­dents qui n’ont pas ou peu d’in­ci­dence sur les pro­ces­sus com­mer­ciaux de ceux qui entravent l’ex­ploi­ta­tion d’in­fra­struc­tures cri­tiques ou qui ren­ferment un risque élevé. Les entre­prises auraient du mal à sai­sir et à appli­quer des cri­tères trop larges.

LA COOPÉ­RA­TION EN TANT QUE SOLU­TION ET OBJEC­TIF

L’ob­jec­tif d’une obli­ga­tion de signa­ler doit être que dans des cas pré­cis et clai­re­ment défi­nis une entre­prise entre en dis­cus­sion avec les auto­ri­tés. Il doit être aussi simple que pos­sible d’ou­vrir cette dis­cus­sion. Les moda­li­tés des échanges doivent même être construc­tives. La valeur ajou­tée du NCSC, telle que des éva­lua­tions tech­niques et autres ser­vices de sou­tien, est impor­tante à cet égard. Un «sys­tème d’alerte pré­coce» et une éva­lua­tion fiable de la menace seraient éga­le­ment tout à fait dans l’in­té­rêt de l’éco­no­mie. Une obli­ga­tion de signa­ler doit géné­ra­le­ment obéir à une logique de ser­vice et non être uti­li­sée comme un ins­tru­ment de contrôle à l’égard des entre­prises concer­nées. C’est le seul moyen de ren­for­cer la confiance des entre­prises dans l’uti­lité des ins­tru­ments mis en place.

Pour que l’obli­ga­tion de signa­ler soit accep­tée, il faut mon­trer encore plus clai­re­ment com­ment les pres­ta­tions de sou­tien pro­fi­te­ront concrè­te­ment aux entre­prises concer­nées. De même, il convient d’ex­pli­quer clai­re­ment dans quelle mesure les nou­velles obli­ga­tions sont rai­son­na­ble­ment pro­por­tion­nelles au béné­fice. Les charges sup­plé­men­taires pèse­ront davan­tage sur les PME et les petits exploi­tants d’in­fra­struc­tures cri­tiques. Il faut une contre­par­tie claire, qui ne res­sort pas encore suf­fi­sam­ment du pro­jet.

LES DIS­PO­SI­TIONS PÉNALES NE SONT PAS CIBLÉES

eco­no­mie­suisse rejette, dans l’en­semble, les dis­po­si­tions pénales du pro­jet de loi. En effet, les dis­po­si­tions pré­vues enga­ge­raient la res­pon­sa­bi­lité pénale per­son­nelle des res­pon­sables et seraient pré­ju­di­ciables à la mise en confor­mité des entre­prises et non favo­rables. Les per­sonnes qui s’ex­posent à des sanc­tions dans un domaine sujet à des erreurs comme la cyber­sé­cu­rité, alors qu’elles ont pris toutes les pré­cau­tions rai­son­nables, seraient clai­re­ment moins enclines à assu­mer de telles res­pon­sa­bi­li­tés. Cela accroî­trait encore la pres­sion sur un mar­ché de l’em­ploi qui est déjà assé­ché et qui ne compte pas suf­fi­sam­ment d’ex­perts et de spé­cia­listes.

Accé­der à la réponse à la consul­ta­tion

Arnaud Midez
Responsable de projets Économie extérieure
+41 22 737 41 36
arnaud.midez@economiesuisse.ch
Lukas Federer
Responsable suppléant du département Énergie, infrastructures et environnement
+41 44 421 35 17
lukas.federer@economiesuisse.ch
Infrastructure policy
Infra­struc­tures
Aller au thème clé
Cela pourrait être également intéressant