Oui à l'obligation de signaler les cyberattaques

Les cyberattaques sont devenues l'une des principales menaces pour la sécurité et l'économie de la Suisse. Entre 2020 et 2022, leur nombre a triplé, passant de près de 11'000 à plus de 34'000. Elles touchent indifféremment des entreprises comme des administrations publiques.

Actuellement, iI manque une vue d'ensemble, car les signalements au Centre national pour la cybersécurité (NCSC) se font sur une base volontaire. Une obligation de signaler permettra d'avoir un meilleur aperçu des cyberattaques survenues en Suisse et leur mode opératoire, a déclaré Gerhard Andrey (Vert-e-s/FR) au nom de la commission.

Energie, transports, eau, santé constituent des infrastructures essentielles. La sécurité de ces infrastructures est devenue d'autant plus importante depuis la guerre en Ukraine, selon Edith Graf-Litscher (PS/TG). Le grand défi est de faire face à des assaillants qui changent sans cesse de méthode, a ajouté la cheffe du Département fédéral de la Défense Viola Amherd.

Le signalement sera obligatoire si une cyberattaque grave met en péril le fonctionnement de l'infrastructure critique touchée. Le National veut également étendre l'obligation d'annonce aux vulnérabilités des équipements informatiques.

Le NCSC guichet unique

Le Centre national pour la cybersécurité (NCSC), créé en 2019, devra fonctionner comme guichet unique pour les annonces de cyberattaques. Afin que les signalements soient aussi simples que possible, il mettra à disposition un formulaire électronique qui pourra être rempli facilement.

En outre, le NCSC devra offrir une évaluation technique et apporter un soutien subsidiaire dans la gestion de l'attaque, comme un "premier secours", a indiqué la conseillère fédérale. Si un exploitant enfreint l'obligation d'annonce, il est passible d'une amende de 100'000 francs au maximum.

L'UDC aurait voulu biffer la sanction. "Le risque d'amende risque de démotiver certains en matière de cybersécurité", a relevé David Zuberbüller (UDC/UR). Il faut au contraire créer une incitation maximum à la transparence.

"L'objectif n'est pas de punir", a répondu la ministre de la Défense. Cette disposition est prévue seulement si une entreprise refuse activement de signaler un problème grave. Elle a été largement suivie.

Délai de 24 heures

Pour garantir une alerte précoce, le signalement devra être fait dans les 24 heures suivant la détection de la cyberattaque ou de la vulnérabilité numérique. "Les premières heures sont cruciales", a précisé Fabien Fivaz (Vert-e-s/NE).

David Zuberbüller (UDC/UR) a mis en doute cette règle. En cas d'attaque de masse, un tel délai est trop court et devrait être prolongé à 72 heures. Il faut laisser la possibilité aux entreprises d'évaluer elles-mêmes l'ampleur de l'attaque avant de la signaler.

Viola Amherd a précisé que si une entreprise n'a pas toutes les informations en mains dans le délai requis, elle peut compléter ultérieurement son signalement. Elle a à nouveau convaincu la majorité.

Centrales nucléaires, transports, hôpitaux

Les domaines d'activité soumis à l'obligation d'annoncer sont vastes. Par infrastructures critiques, le projet liste les autorités, les hôpitaux, les entreprises actives dans l'énergie, les hautes écoles, les organisations ayant des tâches publiques (sauvetage, traitement des eaux), les banques et les assurances.

Il y a aussi les services informatiques et de télécommunications, la SSR et les agences de presse, les fournisseurs de médicaments, les services postaux et les transports publics, l'aviation, l'approvisionnement en biens alimentaires, les registres de domaines Internet, les services numériques et fabricants informatiques.

Lors de la consultation, les milieux intéressés se sont montrés largement favorables à cette révision de la loi sur la sécurité de l'information. Le dossier passe au Conseil des Etats.