Au sujet des décisions de principe du Conseil fédéral concernant la cybersécurité
Le 3 juillet, le Conseil fédéral a pris des décisions de principe en vue de la création d’un centre de compétence dans le domaine de la cybersécurité. Le « Advisory Board Cybersecurity » de la SATW salue la décision de mettre en place un centre de compétence, de nommer un «Monsieur ou Madame Cyber» et de créer une délégation du Conseil fédéral dont feront partie les chefs du DFF, du DDPS et du DFJP. Cependant, au vu de la menace qui continuent de peser sur le pays, les mesures planifiées ne vont pas assez loin. C’est pourquoi l’instance susnommée demande, par lettre ouverte à Monsieur le Président de la Confédération Alain Berset, de prendre des mesures complémentaires.
Lettre ouverte
Décisions de principe du Conseil fédéral concernant la cybersécurité: bien que la direction soit bonne, le processus est trop long et les mesures insuffisantes.
Monsieur le Président de la Confédération,
Le 3 juillet, le Conseil fédéral a pris des décisions de principe concernant la mise en place d’un centre de compétence en matière de prévention et de lutte contre les cyberrisques. Depuis 2015, l’Académie suisse des sciences techniques SATW considère la cybersécurité comme l’une de ses thématiques principales. Avec son « Advisory Board Cybersecurity », la SATW dispose en son sein d’un prestigieux groupe d’experts issus des domaines de l’économie, des sciences et de la politique. Par un travail de milice, ce groupe fait avancer cette thématique fondamentale pour la Suisse de manière ciblée et donne des réponses à des questions urgentes concernant la cybersécurité.
L’Advisory Board salue la décision du Conseil fédéral concernant la mise en place d’un centre de compétence ainsi que la position hiérarchique qu’il a prévu d’attribuer à un «Monsieur ou Madame Cyber». Nous estimons que la délégation comprenant les chefs du DFF, du DDPS et le DFJP occupera une importante position centrale. À notre avis, les décisions du Conseil fédéral comportent toutefois des aspects risquant de freiner le développement cyberphysique des valeurs économiques, sociales et culturelles de la Suisse:
- Absence de fonction dirigeante: les décisions du Conseil fédéral prévoient d’attribuer au centre de compétence uniquement une fonction de coordination et non de direction. L’une des importantes faiblesses de la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC 1.0) n’est ainsi pas corrigée.
- Absence de mesures immédiates: selon ces décisions, des activités coordonnées au niveau national ne seraient menées que dans un cadre très restreint jusqu’à fin 2018. Au vu de la situation se faisant de plus en plus menaçante, la Suisse ne peut pas se permettre d’attendre la mise en œuvre concrète de la SNPC 2.0 décidée début 2018. Le risque de perdre des avantages de localisation durement acquis (confiance, stabilité et fiabilité), qui constituent aussi des avantages concurrentiels dans le contexte de la digitalisation, est réel.
- Manque de ressources: les décisions ne mentionnent pas dans quelle mesure des ressources supplémentaires urgemment nécessaires seront attribuées aux départements afin de gérer les cyberrisques. La question financière doit impérativement être réglée pour garantir une certaine marge de manœuvre.
Pour les raisons mentionnées ci-dessus, l’Advisory Board de la SATW demande au Conseil fédéral de clarifier les points suivante:
- Dans le cadre de la SNPC 2.0 et des responsabilités interdépartementales à définir, le centre de compétence doit se voir attribuer la prérogative de donner des instructions. L’activité de coordination à elle seule ne suffit pas à garantir la mise en œuvre efficace et rapide.
- Le «Monsieur ou Madame Cyber» doit être nommé/e en priorité et doit entrer en fonction au plus tard au premier trimestre 2019. Cette personne devra rapporter directement au Conseil fédéral et avoir un accès direct et rapide à la délégation du Conseil fédéral susmentionnée.
- Comme mesure d’urgence, des postes supplémentaires en suffisance devront être attribués à la MELANI et à l’organe de coordination de la SNPC afin d’accélérer et de terminer jusqu’à fin 2018 la planification de la mise en œuvre de la SNPC 2.0.
- Les budgets 2019 du DFF, du DDPS et du DFJP (au moins) devront prévoir des ressources financières et un contingent de personnel suffisant pour 2019, afin de pouvoir commencer la mise en œuvre de la SNPC 2.0 la même année.
En tant que réseau important dans le domaine des sciences techniques, la SATW serait heureuse d’apporter son expertise lors de la conception et de la réalisation des mesures préconisées et de participer activement aux étapes suivantes.
Nous souhaiterions convenir d’un entretien personnel avec vous, afin de vous présenter notre vision de la thématique et de préciser la suite du processus ainsi que la contribution de la SATW. En plus des deux signataires, une délégation restreinte de l’ « Advisory Board Cybersecurity » de la SATW participerait également à cet entretien.
Nous espérons avoir éveillé votre intérêt et nous réjouissons d’un échange personnel en votre compagnie.
Avec nos salutations distinguées,
Éric Fumeaux, vice-président de la SATW
Adolf J. Dörig, président du Conseil scientifique Cybersécurité de la SATW
Les membres suivants du Conseil scientifique Cybersécurité de la SATW ont contribué à la formulation de la présente lettre ouverte:
- Prof. Karl Aberer, Vice-president for Information Systems, EPFL
- Umberto Annino, Head Security Governance, SIX et président Information Security Society Switzerland ISSS
- Dr Alain Beuchat, Chief Information Security Officer, UBS
- Dr Matthias Bossardt, Head Cyber Security Services, KPMG
- Roger Halbheer, Chief Security Advisor in EMEA, Microsoft
- Martin Leuthold, Head of Network & Security, Member of the Management Board, SWITCH
- Prof. Hannes P. Lubich, professeur d’ICT System Management, Haute école spécialisée du nord-ouest de la Suisse (FHNW)
- Prof. Adrian Perrig, Professor and Head of Institute of Information Security, EPF Zurich
- Prof. Bernhard Tellenbach, Professor and Head of Research Area, professeur à la Haute école des sciences appliquées de Zurich (ZHAW)
- Prof. Stephanie Teufel, professeure et directrice iimt, Université de Fribourg
- Daniel Walther, Chief Information Security Officer, The Swatch Group Services Ltd
- Dr Andreas Wespi, Manager Software Solution, IBM Research Lab