Longtemps à la traîne en matière de cybersécurité, la Confédération met les bouchées doubles en légiférant et en projetant de créer un Office fédéral dédié au domaine. Cette évolution est observée avec intérêt et un brin de circonspection.
Révision de la loi sur la sécurité de l’information (LSI) introduisant une obligation de signaler les attaques informatiques dont sont victimes les infrastructures critiques, transformation annoncée du Centre national pour la cybersécurité (NCSC) en office fédéral: la Confédération multiplie – enfin, est-on tenté de dire - les initiatives dans le domaine de la cybersécurité. Cette dernière «a pris une importance considérable», rappelle le gouvernement dans un communiqué diffusé la semaine dernière.
Le Département fédéral des finances, auquel est rattaché le NCSC, a ainsi été chargé de présenter les propositions concernant la future organisation de cet office. Ses contours devraient être précisés d'ici à la fin de l’année et ses effectifs renforcés. Cette décision a été prise suite à l'évaluation positive de l'efficacité de la stratégie nationale de protection de la Suisse contre les cyber-risques 2018-2022, indique Berne. Celle-ci devra mettre davantage l'accent sur l'impact direct sur les PME, les communes et la population.
Les chiffres parlent d’eux-mêmes: le nombre de cyberattaques ne cesse d’augmenter. En comparaison annuelle avec 2020, la Suisse en a subi 65% de plus en 2021. Et tout indique que la hausse se poursuit cette année. Des communes, des entreprises publiques et des PME sont touchées, avec des conséquences parfois graves (fuite de données, rançonnage, dégâts d’image, etc.). Trop souvent, les entités touchées taisent ces attaques, contribuant à masquer la gravité de la situation et encourageant ainsi les criminels de la Toile à poursuivre leurs activités délictueuses.
L’idée de renforcer la collecte d’informations relatives à ces piratages fait ainsi son chemin en Suisse. La LSI prévoit d'introduire une obligation de signaler les attaques informatiques dont sont victimes les infrastructures comme les banques, les assurances, hôpitaux ou laboratoires, mais aussi les services postaux, les transports publics ou encore d'autres entreprises spécialisées, comme les services informatiques, à l’exclusion des communes et des PME. Consultée à ce propos, la CVCI estime qu’au vu de l’importance de la problématique, une telle obligation pourrait être envisagée pour les PME dans la mesure où elle n’implique pas des démarches administratives lourdes.
Dans sa réponse à une motion déposée au Conseil des Etats en septembre dernier, le Conseil fédéral a jugé que la protection des cantons, des communes et des PME contre les cyberattaques n’était pas de son ressort. Il n’empêche que la Confédération doit à notre sens apporter sa contribution à la protection des infrastructures et de la population dans ces secteurs également. Il en va de notre sécurité et de notre prospérité. En ce sens, la création d'un registre centralisé des attaques et un renforcement des échanges d’informations entre les cantons constituent des pistes qu’il s’agira d’explorer rapidement. Quant aux PME, elles doivent plus que jamais continuer à sensibiliser leur personnel aux dangers de la Toile.
Soyez le premier à commenter