Plaidoyer en faveur d’un centre de compétence pour la cybersécurité
La motion Eder, qui demande la création d’un centre de compétence pour la cybersécurité, a été adoptée presque à l’unanimité à la fin de l’année dernière, contre l’avis du Conseil fédéral. Les services en ligne, et internet en général, ont atteint depuis longtemps une taille critique, également en
Suisse. Les menaces susceptibles de leur porter atteinte ne concernent plus seulement les grands acteurs. Une attaque de l’infrastructure suisse des technologies de l’information et de la communication (TIC) aurait des répercussions négatives durables pour la place économique helvétique.
Le 4 juillet 2018, le Conseil fédéral a finalement réagi de mauvaise grâce à la motion Eder: il nommera un Monsieur ou une Madame Cyber, une personnalité de haut rang, qui n’aura cependant aucun pouvoir directionnel, en dépit de ce que demandait la motion. De plus, les départements concernés n’arrivent apparemment pas à se mettre d’accord sur une procédure commune. Ce n’est guère une surprise dans le paysage politique suisse, mais cela garantira une fois de plus l’insatisfaction générale et l’absence de solution en perspective. Dans le domaine de la cybersécurité, la Suisse accumule du retard. Le parlement ne doit rien céder sur la mise en oeuvre de la motion Eder et doit sommer le Conseil fédéral d’accomplir cette mission.
Il importe à présent d’élaborer un projet de centre de compétence conforme à cette motion. Tous les acteurs de la Confédération, des cantons et du secteur privé doivent impérativement y être intégrés.
Le projet proposé doit garantir la coordination des actuelles parties prenantes (en particulier les autorités cantonales, les autorités judiciaires, l’armée et le DFAE), ainsi que la pleine protection de l’ensemble de la place économique suisse, et notamment des PME. Les PME représentent une part prépondérante des performances économiques du pays et sont tout aussi vulnérables que les infrastructures sensibles. Mais, aujourd’hui, par manque de ressources propres et de savoir-faire, elles ne sont souvent pas en mesure d’utiliser ou de financer des technologies de sécurité extrêmement complexes.
L’objection selon laquelle le Conseil fédéral s’est au moins préoccupé de la question, qu’il a cherché la meilleure solution «en fonction des circonstances» et que la situation a progressé, se révèle malheureusement erronée. Investir des ressources importantes dans une mauvaise solution entraîne des répercussions plus négatives que positives. Si la démarche n’est pas coordonnée, ce sont les agresseurs qui seront les premiers gagnants. Ils profitent déjà aujourd’hui du manque de collaboration de toutes les parties concernées en Suisse et à l’étranger.
Seul un organe centralisé, s’appuyant sur un état des lieux exhaustif, pourra identifier les initiatives fructueuses et consolider la cybersécurité. Son efficacité passe par un pouvoir directionnel clairement défini. A ce propos, des représentants de l’économie privée ont déclaré à plusieurs reprises qu’ils ne voyaient aucun problème à collaborer avec un service étatique. En revanche, il est inacceptable pour eux de devoir travailler sur le même thème avec plusieurs services en même temps. Actuellement, les sociétés informatiques sont régulièrement contactées par l’OFAE, Melani, l’Ofcom et d’autres services fédéraux pour les demandes les plus diverses, ce qui n’est ni crédible ni efficace.
Dans le domaine de la cybersécurité, la Suisse accumule du retard