Lors de sa séance du 12 janvier 2022, le Conseil fédéral a décidé d’ouvrir la procédure de consultation sur l’avant-projet de modification de la loi sur la sécurité de l’information relatif à l’introduction d’une obligation de signaler les cyberattaques contre les infrastructures critiques. Cet avant-projet crée les bases légales nécessaires à l’introduction de l’obligation de signalement et définit les tâches du Centre national pour la cybersécurité (NCSC), qu’il institue comme centrale de signalement des cyberattaques.
Les cyberattaques sont devenues l’une des principales menaces pour la sécurité et l’économie de la Suisse. Chaque jour, des entreprises et des administrations sont victimes d’attaques. En moyenne, le NCSC reçoit plus de 300 annonces par semaine concernant des tentatives de cyberattaques et des cyberattaques réussies. Ces annonces sont faites sur une base volontaire par des entreprises, des autorités et des particuliers. Elles aident les autorités fédérales compétentes à évaluer le niveau de menace et à identifier les modes opératoires à un stade précoce. Le Conseil fédéral entend renforcer le système d’annonce en obligeant les exploitants d’infrastructures critiques à signaler au NCSC les cyberattaques dont ils sont victimes. L’obligation de signaler les cyberattaques vise à permettre au NCSC de dresser un tableau précis de la situation en se basant sur des informations complètes et, ainsi, d’alerter à temps les autres exploitants d’infrastructures critiques.
Obligation de signalement pour les infrastructures critiques
L’obligation de signalement pour les exploitants d’infrastructures critiques s’appliquera aux cyberattaques recelant un potentiel important de dommages. Il s’agit, en particulier, des attaques qui mettent en péril le bon fonctionnement des infrastructures critiques ou qui s’accompagnent d’actes de chantage, de menaces ou de contrainte. Le NCSC assumera le rôle de centrale de signalement. Afin que les signalements soient aussi simples que possible à effectuer, le NCSC mettra à disposition un formulaire électronique qui permettra de saisir facilement les déclarations et, au besoin, de les transmettre directement à d’autres services.
Obligation pour la Confédération de fournir une assistance en cas de cyberattaque
L’avant-projet n’oblige pas seulement les entreprises à participer à la protection contre les cyberattaques, mais définit aussi les tâches de la Confédération en matière de soutien aux entreprises et à la population. À cette fin, le NCSC sera chargé d’avertir le public des cybermenaces et de le sensibiliser aux cyberrisques. Il aura également pour tâches de recevoir les signalements concernant les cyberincidents et les vulnérabilités, de réaliser des analyses techniques et de fournir aux entreprises à l’origine d’un signalement des recommandations sur la manière de procéder. Le NCSC soutiendra en outre les exploitants d’infrastructures critiques (qui comprennent aussi les autorités cantonales et communales) en les aidant dans la gestion des cyberincidents. Cette aide sera proposée en guise de premiers secours et ne devra pas concurrencer les prestations disponibles sur le marché.
Actuellement, la Confédération assume les tâches en matière de protection contre les cyberrisques sur la base des mandats existants, mais celles-ci ne sont pas définies au niveau de la loi. L’inscription de l’obligation de signaler les cyberattaques dans la loi sur la sécurité de l’information permettra également d’y définir les tâches du NCSC, et notamment sa compétence en tant que centrale de signalement.
Source: Le Conseil Fédéral/ Source Photo:TexBr/ Shutterstock