Publicité

La Confédération s’arme face aux cyberattaques avec un office dédié à ce fléau

Le Conseil fédéral veut transformer le Centre national pour la cybersécurité en office fédéral, avec un accroissement des ressources prévu. Les spécialistes saluent cette annonce, mais formulent en parallèle plusieurs exigences précises

Johanna Gapany, conseillère aux Etats engagée sur ce dossier. (KEYSTONE/Peter Klaunzer) — © PETER KLAUNZER / keystone-sda.ch
Johanna Gapany, conseillère aux Etats engagée sur ce dossier. (KEYSTONE/Peter Klaunzer) — © PETER KLAUNZER / keystone-sda.ch
Anouch Seydtaghia
Anouch Seydtaghia

Place aux actes. Après des évaluations, rapports et réponses à de multiples interventions parlementaires, le Conseil fédéral agit face au déferlement de cyberattaques qui ravagent le pays. Mercredi, il a décidé de changer le statut de l’actuel Centre national pour la cybersécurité (NCSC): il deviendra un office à lui seul, ce qui devrait lui permettre d’obtenir davantage de moyens, en parallèle avec un élargissement de ses compétences.

Lors de cette annonce mercredi, le Conseil fédéral a été extraordinairement sobre pour décrire la situation en Suisse. Dans son communiqué, il se borne à écrire que «la cybersécurité a pris une importance considérable à tous les niveaux» et note «l’importance croissante que revêt la cybersécurité». Deux phrases jumelles alors que la situation est critique: PME, grandes entreprises et administrations, des Transports publics de Lucerne aux Laiteries Réunies de Genève, se font pirater, rançonner, voire paralyser.

Quel département?

Le NCSC, qui existe au sein du Département fédéral des finances (DFF) depuis sa création en 2019, deviendra un office. Cela devrait lui donner davantage de poids, sans doute plus de moyens et son responsable pourra participer aux réunions de chefs d’office au sein du département. Quel département? Mystère, le Conseil fédéral n’ayant pas tranché. Un rapport à ce sujet est attendu pour la fin de 2022, avant sans doute une décision début 2023.

Lire aussi: Répression contre les cybercriminels: le procureur de la Confédération appelle à l’aide

Actuellement, le NCSC compte une quarantaine d’employés, contre une trentaine fin 2021. Mercredi, le Conseil fédéral a décidé de créer 25 postes supplémentaires dédiés à la protection contre les cyberrisques, dont dix iront au NCSC. Celui-ci est principalement chargé d’émettre des alertes concernant des vagues de cyberattaques, de lancer des campagnes de sensibilisation, voire parfois de contacter directement des entreprises jugées très vulnérables. Il est possible, mais pas certain, qu’il intensifie ses relations avec le monde économique.

Motion balayée

Les réactions à ces annonces sont positives. «Cela démontre la prise de conscience de la Confédération face à un problème qui nécessite des moyens plus conséquents que ceux en place actuellement, affirme la conseillère aux Etats Johanna Gapany (PLR/FR). Je le vois d’un œil positif et réaliste. Positif, car ce changement doit renforcer la lutte contre la cybercriminalité et qu’il va dans le sens de la motion que j’avais déposée en décembre dernier. Réaliste, car il s’agit d’un pas davantage nécessaire qu’ambitieux et il y a encore beaucoup à faire.» Johanna Gapany avait déposé une motion le 30 septembre dernier, demandant que le Conseil fédéral soit «chargé d’étendre la protection fédérale contre les cyberattaques aux cantons, aux communes et aux PME dans leur ensemble». Mais le Conseil fédéral avait alors balayé cette demande.

Et Johanna Gapany demande davantage par rapport à l’annonce de mercredi: «Il ne s’agit pas de se substituer aux entreprises ou aux privés, mais de tout mettre en œuvre pour lutter efficacement contre la cybercriminalité, affirme la conseillère aux Etats. Ce qui est maintenant nécessaire, c’est un registre centralisé des attaques et un échange d’informations entre les cantons, comme ce qui se fait du côté romand notamment.»

Lire aussi: Et si la Confédération prenait en charge la cybersécurité du pays?

«Aller plus loin»

En novembre 2021, l’organisation CH++, qui milite depuis plus d’un an pour une meilleure numérisation de la Suisse, lançait un appel pour la création d’un Secrétariat d’Etat à la cybersécurité. Comment réagit-elle à l’annonce de ce mercredi? «C’est une énorme victoire, une excellente nouvelle pour la lutte contre la cybercriminalité et un succès important pour CH++», affirme Olga Baranova, sa secrétaire générale. Mais la création d’un office est-elle suffisante? «Oui, peu importe la forme, poursuit la responsable. Un secrétariat d’Etat aurait eu des compétences au niveau international, mais si cet office est doté de ses privilèges, cela ira très bien.»

Tout comme Johanna Gapany, CH++ exige plus des autorités. «Il faut aller plus loin, avec la création d’un Département fédéral des technologies, poursuit Olga Baranova. Le parlement doit bientôt débattre de l’accroissement du nombre de départements de sept à neuf, cela s’inscrirait parfaitement dans cette veine.» En parallèle, CH++ demande une augmentation des effectifs dédiés à la cybersécurité.

La question des moyens

Au niveau académique, la satisfaction est aussi de mise. «La décision du Conseil fédéral est une bonne nouvelle, car la protection des citoyens et des infrastructures fait partie des missions du gouvernement. Et il faudra voir si les moyens alloués sont appropriés par rapport à l’ampleur de la tâche», relève Jean-Pierre Hubaux, professeur à l’EPFL et directeur académique du Centre pour la confiance numérique (C4DT).

Reste une question importante: la Confédération devrait-elle en faire davantage pour protéger les entreprises et les privés, ou alors est-ce au secteur privé d’en faire plus? «Par souci d’efficacité, en Suisse on tend à privilégier souvent l’engagement du secteur privé, répond Jean-Pierre Hubaux. Mais en son sein, l’Etat doit tout de même disposer des compétences suffisantes. Ceci d’une part pour assurer les missions qui sont trop sensibles pour être confiées au secteur privé, et d’autre part pour pouvoir assurer pertinemment le suivi des travaux confiés aux entreprises sélectionnées.»

Pour le professeur, «la cybersécurité est un domaine de haute technologie, très évolutif, et donc atteindre cette masse critique de compétences en interne est crucial et peut s’avérer difficile, notamment au vu de la grande pénurie de spécialistes sur le marché de l’emploi. Mais cette annonce est de toute façon une bonne nouvelle.»

Economie suisse