Les organisations suisses vont-elles être obligées de déclarer leurs cyberincidents ?
Le Conseil fédéral examine la possibilité d’introduire l’obligation de déclarer les cyberincidents, dans le but de les prévenir et d’évaluer les menaces qui pèsent sur les infrastructures critiques en Suisse.
En Suisse, il n’existe à ce jour aucune obligation de signaler les cyberincidents affectant les infrastructures critiques (approvisionnement en énergie, télécommunications, soins médicaux, etc.). Le Conseil fédéral pourrait changer cela d’ici à fin 2020.
À ce jour, les déclarations en la matière se font sur une base volontaire: tantôt à la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) de la Confédération, tantôt à des Computer Emergency Response Teams (CERT) sectoriels. «Vu l’évolution rapide des cyberrisques, il faut se demander si cet échange volontaire est suffisant pour identifier à temps les menaces dans tous les secteurs», s’interroge le Conseil fédéral, qui examine la possibilité d’introduire une obligation de déclarer les cyberincidents. De quoi rattraper le retard de la Suisse sur l’Union européenne (UE), qui a établi une directive à ce sujet en 2016.
Des options plus ou moins centralisées
En réponse à un postulat déposé par le Parlement, le Conseil fédéral esquisse quatre pistes dans un rapport. Il serait premièrement possible de créer une centrale d’enregistrement des incidents, mais cette solution a comme inconvénient de ne pas tenir compte des spécificités propres à chaque secteur. La deuxième proposition veut étendre les structures existantes avec des points de contact décentralisés, bien qu’ils ne soient pas conçus pour recueillir les déclarations de cyberincidents. La troisième proposition prévoit une forme hybride, avec des points de contact décentralisés et une centrale d’enregistrement des cyberincidents. Enfin, la dernière piste propose de ne rien changer à la situation actuelle.
Le Conseil fédéral estime également nécessaire d’évaluer le seuil à partir duquel les incidents doivent être déclarés, les délais à respecter, la possibilité de faire des déclarations anonymes et des sanctions en cas de non-respect de l’obligation. Le Centre de compétences pour la cybersécurité et l’Office fédéral de la protection de la population doivent désormais clarifier ces questions en collaboration avec les autorités concernées et les milieux économiques. D’ici à fin 2020, le Conseil fédéral devra recevoir un projet lui permettant de prendre une décision.